Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 1 por PPTP

En esta demostración veremos de manera sencilla cómo podemos configurar un Windows Server 2008-R para permitir el acceso remoto a nuestra red usando VPNs (Virtual Private Network).

Veremos la configuración de conexión usando dos de los protocolos clásicos: primero PPTP y luego con L2TP+IPSec en la siguiente nota.

Para usar una estructura lo más simple posible, en este caso no utilizaré ambiente de Dominio, sino simplemente 3 máquinas en grupo de trabajo.

La segunda parte en Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 2 por L2TP-IPSec, SSTP y IKEv2

SRV1: Windows Server 2008-R2, servidor Interno de nuestra red al que deseamos acceder remotamente.
Interfaz de Red: IP 192.168.1.1/24 Puerta de Enlace: 192.168.1.254

VPN1: Windows Server 2008-R2, servidor VPN con dos interfaces de red una interna y otra externa conectada a la supuesta “Internet”
Interfaz interna: 192.168.1.254/24
Interfaz externa: 131.107.0.1/16

CL1: Windows 7, cliente que se conectará remotamente
Inerfaz de Red: 131.107.0.2/16

Un diagrama para que sea más claro

Lo primero que haré, será compartir en SRV1 una carpeta que usaré como prueba de conexión del cliente remoto.

Y luego en el Network and Sharing Center, hacemos click en Public Network y seleccionamos que es una Work Network

Para asegurarnos que todo está correcto podemos verificar el compartido desde VPN1 haciendo un simple NET VIEW \\SRV1

Ahora vamos a configurar el servidor VPN1 como servidor de acceso remoto. Para eso abrimos el Server Manager y seguimos el procedimiento de acuerdo a las figuras siguientes

Ahora vamos a configurar el servidor VPN y para eso abrimos Administrative Tools / Routing and Remote Access

Con botón derecho sobre el servidor elegimos Configure and Enable Routing and Remote Access

Y seguimos el asistente

Es importante que seleccionemos adecuadamente la interfaz externa, pues el sistem implementará filtrado de paquetes permitiendo únicamente el ingreso por VPN. No podremos ni siquiera hacer un simple PING desde el exterior.

Elgiré asignar un rango específico de direcciones IP para la VPN

No usaremos Radius

Y finalizamos, aceptando luego el aviso sobre el DGCP Relay Agent

A los efectos de la práctica crearé en VPN1 un usuario normal de prueba al cual le otorgaré el permiso de acceso remoto

Desde Administrative Tools / Computer Management

Y como método adicional de seguridad configuraremos la interfaz externa, dejando conectado sólo TCP/IPv4, y deshabilitaremos todo lo que corresponda a NetBIOS

Teniendo ya configurado el servidor VPN, ahora vamos al cliente CL1, que recuerdo está conectado a la red externa emulando Internet.

Vamos al Network and Sharing Center y elegimos Setup a New Connection or Network

Y seguimos el asistente

si queremos optimizar la velocidad de conexión vamos a las propiedades de la interfaz y seleccionamos que directamente use PPTP sin probar otros métodos

Y nos conectamos

Si queremos podemos ver los detalles de la conexión

Ahora ya podremos conectarnos a los recursos compartidos de la red, aunque hay algo muy importante y no por todos conocido.
Debemos recordar que localmente en CL1 hemos iniciado sesión con un usuario, llamémoslo “LocalUser”.
Luego hicimos la conexión a VPN1 usando el usuario “VPNUser”
Cuando tratemos de conectarnos a un recurso de un servidor, en este caso SRV1, el sistema usa para autenticar el nombre/contraseña de “LocalUser” el cual no es válido en el servidor que tiene el recurso.
Y por lo tanto cuando vamos a hacer la primera conexión a un servidor debemos especificar un nombre/contraseña válidos en el mismo.
En el siguiente ejemplo, yo estoy usando la cuenta Administrator con su correspondiente contraseña válidos en SRV1

Con esto hemos demostrado la conexión VPN usando protocolo PPTP.

Si observamos en el Status de la conexión, ficha Details, veremos que nos hemos conectado usando protocolo PPTP, la autenticación es MS-CHAPv2 y el cifrado es MPPE-128 (MPPE = Microsoft Point to Point Encryption)

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Alexander Chozo  On 12/12/2011 at 18:18

    Como seria en el caso de configurar un server VPN con una sola tarjeta de red. Es posible?
    Gracias

    • Delprato  On 13/12/2011 at 07:07

      No se debe ni puede tener un servidor VPN con una única conexión de red.
      Un servidor VPN permite conectar una “red insegura” con una “segura”. Si tiene una única placa de red permitiría conexiones desde “red insegura” en una placa que está en una “red segura”

  • GLT  On 27/12/2011 at 19:33

    Y qué pasa si es un SBS 2011 con una sola tarjeta de red? Por definición no permite más…

    Gracias.

    • Delprato  On 28/12/2011 at 20:07

      Un servidor VPN requiere dos interfaces ya que por seguridad no es recomendable acceso desde una red pública directamente sobre una red privada interna.
      Con SBS realmente no he trabajado nunca. Lo que sí he escuchado varias veces es “hay que usar los asistentes, ni se te ocurra tratar de administrarlo como a un servidor normal”
      Por lo que se ve buscando en la web, se puede pero no es lo mismo dependiendo la versión, por ejemplo un SBS Essentials no tiene el asistente

  • Percy Villanueva  On 24/01/2012 at 20:26

    Deseo configurar una VPN para poder compartir una Carpeta en mi Sede Principal y que mis clientes accesen a ellas desde mis sucursales. Dispongo de 02 Servidores (Server 2008 R2). Por lo que veo se adapta al esquema del ejemplo. Mi idea es Configurar :
    Un Servidor de DATOS (1 NIC direccion interna LAN sin internet)
    Un Servidor VPN (2 NIC – 1 direccion interna LAN – 1 direccion externa con acceso internet mediante Router ADSL) Pero tengo ciertas dudas:

    1. Veo que los clientes necesitan de una Internet address en este caso seria la direccion IP externa de mi Servidor VPN, esa direccion debe de ser una IP Pública?
    2. Puedo usar la IP Publica de mi Router ADSL y configurar la NAT para mi servidor VPN?
    3. Es necesario de un dominio http://www.midominio.com?
    4. Es posible mi solución o que me falta y que consideraciones debo de tener en cuenta?

    Agradesco tu atencion.

    • Delprato  On 25/01/2012 at 07:24

      Hola Percy, trato de usar este espacio para comentarios sobre la nota, y no sobre el tema. De otra forma esta nota se convertiría en un soporte :)
      Para consultas puedes dirigirte, por ejemplo, a los foros de Microsoft Technet que en este caso está en: http://social.technet.microsoft.com/Forums/es-ES/wsnies/threads

      De todas formas contesto rápidamente las preguntas, pero por favor luego dirige las preguntas al foro

      1.- No, pueden estar en una red privada. Necesitan conectividad a Internet, y que el Router soporte “VPN Pass-through” (deje pasar VPN)
      2.- Si. En el Router debes redirigir el tráfico al VPN interno de TCP-1723 y PROTOCOLO GRE (47)
      3.- No. Puedes llegar con la IP pública del sitio central, o cualquier nombre resoluble en Internet
      4.- Tienes todo lo necesario por lo que comentas

      • Percy Villanueva  On 25/01/2012 at 19:19

        Gracias Guillermo,
        disculpa las molestias.
        he terminado de configurar el Servidor VPN siguiendo tu procedimiento y veo que se ha quedado sin conexion a internet, Esto debe ser así?

      • Delprato  On 26/01/2012 at 06:50

        En realidad no se ha quedado sin Internet, sino que por omisión la Puerta de Enalace se ha movido a la VPN. Esto es así, y en general es conveniente porque se asimila a tener un cliente en la red interna, pero con una conexión a Internet sin ningún tipo de control de seguridad.

        Si quieres, en las propiedades avanzadas de TCP/IP de la conexión del cliente puedes desmarcar la opción de usar la puerta de enlace en la red remota
        Pero en ese caso, recuerda lo que nombré al principio, y además dependiendo cómo asignes IPs a la VPN seguramente deberás crear en el cliente una entrada en la tabla de ruteo indicando que para llegar a la “red de la central” debe enviar la info por la VPN
        ROUTE ADD w.x.y.z MASK m.m.m.m a.b.c.d
        (w.x.y.z MASK m.m.m.m) esta es la red de la central
        a.b.c.d es la IP del servidor VPN en la VPN

  • daniel  On 09/08/2012 at 14:48

    Gracias por el tutorial, me sirvio de mucho, pero creo q se debe incluir un poco mas de teoría, pero buen el manual, saludos.

    • Delprato  On 09/08/2012 at 15:19

      Gracias por el comentario Daniel
      El objetivo de estos “paso a paso” es justamente un “hágalo”, pero de todas formas me estás dando la idea, y creo que haré una nota aparte con la teoría, aunque seguro demoro porque estoy en un momento de mucho trabajo (del de verdad :))
      La dificultad de hacer las notas sobre teoría, es poder interpretar cuáles son los conocimientos previos necesarios par comprender la nota. Por ejemplo, podemos explicar cómo funciona la VPN, pero antes hay que conocer direccionamiento IP y enrutamiento, y algunos temas más aún
      Calculo que la haré, ya que esta nota es de las más populares, lo que no prometo es cuándo :)

  • carlos martin  On 27/11/2012 at 10:01

    bueno tarde a todo una consulta tengo una vpn con routers cisco rv042 conectado con ip fija se conecta bien, pero no puedo entrar a la otra pc ( solo quiero entrar a la otra pc con el numero de ip colocandolo la direccion y entrar y hacer cambio) desde ya gracias
    tengo windows server 2008 y windwos xp y windows seven

    • Delprato  On 27/11/2012 at 15:11

      Hola Carlos, deberías consultar con el soporte de Cisco, tiene inclusive foros donde puedes poner la pregunta

  • David  On 10/12/2012 at 05:38

    Hola. Buen tutorial. Tengo un par de consultas:
    1- Cuando configuro la VPN sobre un servidor con 2 interfaces, le indico cual es la externa que tiene el acceso a internet correctamente, pero una vez configurado todo la VPN funciona correctamente pero el servidor se queda sin conexión a internet. ¿Como puedo solucionar esto?
    2- Cuando conecto a la VPN desde un cliente, éste pierde la conexión con internet, como puedo hacer que siga teniendo internet mientras permanece conectado a la VPN?

    Gracias, un saludo.

    • Delprato  On 10/12/2012 at 15:22

      Hola David, contesto usando los números de las preguntas
      1- Si te fijas la interfaz externa (IPv4 / Netowrk Interfaces) en Enrutamiento y Acceso Remoto (RRAS) verás que, por omisión, el sistema ha colocado filtros tanto de entrada como de salida que permiten *solamente* los protocolos de VPN.
      Sólo debes incluir las correspondientes reglas para los protocolos que necesites. No es seguro pero un “Any to Any, All protocols”, es peligroso pero no se restringe nada

      2- En realidad no pierde la conexión a Internet, sino que al conectarse le cambia la Puerta de Enlace y se la pone en la VPN. Esto es así por seguridad, por ejemplo tú haces toda la configuración de seguridad de Internet en tu red interna, y alguien se conecta y tiene una conexión a Internet y otra en tu red interna, sin ningún tipo de control
      También se puede solucionar. En las propiedades avanzadas de TCP/IP de la conexión de discado, verás algo así como “Usar Puerta de Enlace en la red remota”, simplemente lo desmarcas
      Otra opción, es que no hagas esto último, pero si la 1- y que el cliente pueda acceder a Internet a través del servidor VPN

      • David  On 11/12/2012 at 13:48

        Perfecto, pude solucionar lo de que los clientes puedan tener su conexión normal con internet, aunque es cierto que es interesante que el tráfico pase por la red interna.
        En cuanto a incluir las reglas correspondientes para los protocolos que necesito en el servidor donde monto la VPN, ¿podrías detallarme un poco más cómo hacerlo? No encontré donde se colocan los filtros de entrada y salida dentro de “Enrutamiento y Acceso remoto”. En la selección de IPv4 me deja ver “General”, “Rutas estáticas”, “Agente de retransmisión DHCP” y “IGMP”.

        Gracias por la ayuda, un saludo.

      • David  On 12/12/2012 at 07:21

        Estupendo, ya pude configurarlo de modo que el servidor también tenga acceso a internet y que los clientes VPN mantengan su propia conexión de internet. Para que puedan usar internet a través de la conexión de la VPN, ¿como hay que configurarlo?

        Gracias, un saludo.

      • Delprato  On 12/12/2012 at 14:32

        Hola David, simplemente volviendo a marcar la opción de usar la Puerta de Enlace en la red remota (en la conexión de discado)

      • David  On 13/12/2012 at 12:02

        Volví a marcar la opción pero desde los clientes no conecta con internet, es más, provocan que el propio servidor se quede sin acceso a internet también durante unos minutos cuando un cliente lanza una petición a internet…. es extraño la verdad

        Gracias por la ayuda, un saludo!

  • Sistemas  On 08/01/2013 at 08:15

    David. Muchas gracias por el tutorial. Una pregunta. En vez de tener que crear dos subredes, una entre SRV1 y VPN1, y la otra entre VPN1 y el ROUTER que nos saca a internet, ¿Podríamos hacer una sola red entre SRV1 y el ROUTER que te saca a internet, y habilitar DMZ en el router, metiendo a VPN?. Si es así, ¿qué IP´s habría que indicarle al VPN1 que son la interna y la externa?. Te pongo las IP´s que pondría yo.

    ROUTER
    IP: 192.168.1.254

    SRV1
    Interfaz de Red: IP 192.168.1.1/24
    Puerta de Enlace: 192.168.1.254

    VPN1
    Interfaz interna: 131.107.0.1/16 (por poner…)
    Interfaz externa: 192.168.1.2/24

    • Delprato  On 08/01/2013 at 08:47

      Hola Sistemas, el tutorial lo he preparado yo no David :-)
      La red entre SRV1 y VPN1 es la que simula ser la red interna
      Y la red entre VPN1 y CL1 es la que simula ser Internet
      En este caso VPN1 sería el reemplazo del Router

      Si entre VPN1 e Internet tienes un Router, que es lo normal, la dirección pública debería tenerla el Router
      Y si como es normal ese Router está haciendo NAT, entonces tienes que redirigir TCP-1723 y Protocolo GRE a la interfaz externa de VPN1. No hace falta configurar DMZ en el router porque de esa forma dejaría pasar todo
      Inclusive algunos Routers ya tienen una opción para configurar que es para tener un servidor VPN interno, y hacer el “port forwarding”: Todo lo que llegue a “Interfaz externa Router” puerto TCP1723, enviarlo a “Interfaz externa de VPN1” puerto TCP1723

      • Sistemas  On 08/01/2013 at 09:22

        Hola Guillermo. Perdón por la confusión. Tu respuesta me lo aclara todo. Te lo planteaba porque quería evitarme el hecho de tener 2 redes, una entre la ip interna del router y la externa del VPN1, y la segunda red entre ip externa de VPN1 y el resto de mis equipos. Siendo así, se obliga siempre a que VPN sea enrutador de la red interna, y a todos los equipos de la red interna se les obliga a usar VPN1 como gateway para salir a internet. Es que yo quería hacer VPN1 sólo servidor de VPN sin obligarle a hacer de enrutador entre mis equipos de la red interna y el router que sale a internet.

        Muchas gracias

      • Delprato  On 08/01/2013 at 09:36

        El tema es que un servidor VPN *debe* tener dos interfaces de red para funcionar correctamente
        La funcionalidad de VPN es permitir las conexiones desde una “red insegura” (una interfaz), a una “red segura” (otra interfaz)
        Y por lo tanto tienen que estar en dos redes diferentes

        Otra alternativa a considerar, aunque tiene ventajas e inconvenientes, es que directamente el Router sea servidor VPN, la mayoría lo permite
        Por un lado simplificas, por otro cuidado con la seguridad

        Otra alternativa más, sería con ambos, el Router (con NAT) y además el servidor VPN, pero la configuración se complica bastante pues habría que configurar tablas de Routing en los equipos de la red interna, aunque depende de cómo asigne IPs el servidor VPN

  • Maria Teresa Gelvez  On 28/05/2013 at 20:21

    yo he seguido paso a paso tu tutorial, pero no se que estoy haciendo mal el asunto es que cuando intento hacer la conexion por vpn desde mi seven al servidor me saca de internet tanto el servidor como a la maquina, no se que hacer o no se si el procedimiento que estoy realizando no es el adecuado. Estoy tratando de hacer una central de backup de toda mi red de equipos en el servidor que esta en windows server 2008, quiero direccionar los backup de cada equipo que se guarden en el servidor, a mi parecer lo mas logico seria crear una vpn para poder hacerlo, ya que la red de conexion de area local con ip estaticas me sacan a internet los equipos quisiera saber 1. Crear una vpn es el procedimiento correcto para llegar a ese objetivo? o debo hacer otra cosa? 2. porque me saca d internet cundo conecto el equipo por vpn al servidor?

    • Delprato  On 28/05/2013 at 20:30

      Hola María Teresa
      Hacer un backup a través de una VPN no es una buena opción, y menos sobre Internet donde no tienes garantizado ningún ancho de banda
      Como si fuera poco los backups suelen ser “grandes”, y las VPNs muy lentas debido al proceso de cifrado/descifrado que sobrecarga en general bastante a los procesadores

      El que cuando un cliente se conecta por VPN, lo desconecte de Internet, es el comportamiento por omisión, y en general el deseable; ningún administrador que controle la seguridad de sus máquinas con Internet quiere que aparezca en su red una máquina que “puentea” el cortafuegos, y que a todos los efectos es como que estuviera en la red interna. Es un tema importante de seguridad con Internet

      Se puede evitar, pero no es fácil, y depende si el direcionamiento de la VPN es el mismo o diferente al de la red interna

  • Oscar Rojas  On 13/07/2013 at 01:14

    hola tengo una pregunta, tengo 2 server 2008 en diferentes cuidades, necesito conectar los 2 para compartir datos, bien ahora server1 lo necesito usar como proxy, con el server2 tengo usuarios y maquinas fijas, conecto server2 a server1 por vpn y conecta bien necesito utilizar el gateway del server1, esto conecta bien del server2 al server1, el problema es que los usuarios o maquinas que estan en el server2 (DC) pierden internet, como hago para conectar el server2 al server1 x vpn y que todo salga por la vpn -el server1 o sea utilizar la ip publica del server1.
    le agradezco mucho su ayuda gracias.

  • Oscar Rojas  On 17/07/2013 at 19:06

    Muchas gracias por la respuesta excelente la nota, le comento que si puedo conectar los 2 servidores y puedo verlos pero no puedo ver los clientes que estan en la red del otro servidor, tambien le comento del servidor1 es en USA, y necesito que los usuarios del servidor2 que esta fuera de USA, necesito que salgan por la IP publica del servidor1 para que puedan navegar en sitos que solo en USA estan disponibles,muchas gracias por su respuesta son de gran ayuda

    • Delprato  On 18/07/2013 at 09:09

      Primero que nada ¿qué es “no ver”? :-) porque una cosa es el entorno de red, y otra muy distinta es poder acceder. Por ejemplo PING con nombre o con dirección IP ¿responde?
      Si no responde, lo primero a revisar son los cortafuegos, ya que por omisión, salvo los controladores de dominio, los otros no responden
      Si descartamos lo anterior, entonces lo primero a revisar es por el lado de IP

      Como ejemplo tomo Sitio1 y Sitio2. El el servidor VPN1 tiene que tener una entrada en la tabla de “Routing” indicando cómo llegar a la red del Site2 enviándole a VPN2
      E igual a la inversa: El VPN2 debe tener una entrada indicando que para llegar a la red de Site1, debe enviar a VPN1

      Respecto al tema de salida a Internet, es otro tema diferente. En VPN2 habría que configurar que la Puerta de Enlace (Default Gateway) apunte al primer lugar. Lo que habría que ver es cómo hacen en este sitio para controlar el acceso a Internet. Y cuidado que de esta forma todo irá al sitio central

  • Oscar Rojas  On 19/08/2013 at 02:09

    necesito ayuda servidor1 cuenta con- usuarios en la misma red que la utilizan como puerta de enlace cuando el servidor1 se conecta al servidor2 en USA por una VPN todo se conecta bien y puedo navegar con el servidor1, ahora bien los usuarios del servidor1 no pueden conectar a internet, necesito que los usuarios del servidor1 enruten todo por la vpn para navegar en sitios en USA.

  • sebastian  On 15/11/2013 at 16:52

    URGENTE AYUDA POR FAVOR!
    Les cuento, tengo una VPN y UNO de los equipos q se conecta requiere que tenga una direccion ip fija para hacer andar una impresora fiscal, la VPN esta configurada para q asigne un rango, pero no se como hacer para que a ese equipo en particular siempre usa esa IP deteminada! alguna idea?? gracias!!

    • Guillermo Delprato  On 15/11/2013 at 18:20

      Hola Sebastián, todo bien pero estos comentarios no son un foro de soporte, deberías recurrir alguno de los que hay

      Y si me permites dar un par de consejos, no uses mayúsculas ya que se interpreta como gritar, ni pidas cosas con urgencia pues seguramente te mandarán a uno de pago

      Todo bien por mi parte, pero este no es el lugar :)

      • sebastian  On 15/11/2013 at 20:42

        si no es una especie de foro, según todo lo leído en este thread estoy muy confundido (o vos) sobre lo q es un un foro… y si pongo en mayuscula es por q estoy gritando! por q necesito esa info URGENTE q tal ves algun alma caritavia me la pueda dar… queres q te pague? si sabes lo q estoy preguntando y solo me lo das si te pago no hay problema, valdria la pena yo luego lo compartiria con la gente q lo necesite gratuitamente como corresponde… saludos

      • Guillermo Delprato  On 17/11/2013 at 20:37

        ¿Ya te has serenado? bien, si es así sigue leyendo
        Las diferencias entre un foro y un blog son realmente muchas e importantes, desde la plataforma software que se usa, hasta la forma de contribuir

        Un blog permite que uno o varios autores escriban notas de un tema que les parezca interesante, y que pueden abrir o no comentarios sobre la nota
        Acá tienes un ejemplo, y si quieres una definición un poco más completa revisa http://es.wikipedia.org/wiki/Blog

        En cambio en foro, no hay notas, hay gente que pregunta y otra que responde, aunque también puede hacer preguntas. Los foros de Internet generalmente se especializan por temas. Si quieres un ejemplo: http://social.technet.microsoft.com/Forums/es-es/home
        Y si quieres una mejor definción mirá http://es.wikipedia.org/wiki/Foro_(Internet)
        He dedicado en el pasado mucho tiempo a los foros, aunque ya no lo hago http://social.technet.microsoft.com/profile/guillermo%20delprato%20%5Bms-mvp%5D/?type=forum&referrer=http://social.technet.microsoft.com/Forums/es-es/home?forum=wsades&filter=alltypes&sort=lastpostdesc

        Respecto a cómo dirigirse a otra persona en Internet, hay algunas reglas de educación que normalmente uno trata de mantener como una forma básica de respeto. Hay muchas, pero si te interesa un poco el tema puedes comenzar por acá http://es.wikipedia.org/wiki/Netiqueta

        Respecto a si cobro o no, ni siquiera la publicidad que puede aparecer en el sitio, y es porque estoy usando la plataforma (WordPress) en su forma gratuita. Todos los artículos, en este momento más de 200, son para el que le interese y nada más. Yo tengo otro ingreso del cual vivo

        Respecto al problema que tienes, primero que nada recuerda que es TU problema y la responsabilidad que haz asumido cuando te haz hecho cargo de la posición que ocupas. Así que debes tener en cuenta que tu urgencia no necesariamente es la urgencia de los demás
        Y como si fuera poco, es fácil encontrar la solución buscando en Internet, pero se necesitan más datos ya que no das la información suficiente, por ejemplo cómo se asignan las direcciones IP a los clientes
        De todas formas, y para que veas que voluntad no falta Assign a Windows VPN Client a Static IP – Windows Networking & Remote Access:
        http://msmvps.com/blogs/robwill/archive/2009/11/15/static-ip-for-windows-vpn-client.aspx

      • sebastian erzi  On 17/11/2013 at 22:17

        me estas explicando q es un foro?? q manera de perder tu tiempo viejo… gracias por el ultmo link. saludos

      • Guillermo Delprato  On 18/11/2013 at 08:04

        Entre otras cosas :D

  • Iván  On 24/01/2014 at 12:37

    Guillermo, me sirvió de mucha ayuda tu Blog, muy bien explicado…..Felicidades y sigue adelante…

  • MIguel Correa  On 02/04/2014 at 23:14

    Excelente Blog y excelente tino para responder a los desubicados….10 de 10….
    He logrado la conexión entre el servidor y el cliente pero no logro poder ver las carpetas ni archivos compartidos del Server.
    He usado el “Net Use” como indicas pero me sale: “Error de sistema 86”
    “La contraseña de red especifica no es valida” y ya he probado con todos los usuarios incluido el de administrador el de la conexión, etc.
    Por donde puede estar mi falla??….
    Saludos y Gracias de antemano.

    • Guillermo Delprato  On 03/04/2014 at 08:16

      Gracias por el comentario Miguel, me alegro te sirva, y respecto a lo otro, si, es así, cuesta a veces, pero hay que guardar las formas :-)

      – ¿La conectividad está? por ejemplo, si haces PING al servidor ¿responde? (cuidado el cortafuegos)
      – ¿Qué sistemas operativos en cliente y servidor?
      – ¿Que sucede si haces “net use \\Dir-IP-Servidor” en lugar de usar el nombre?
      – En el NET USE ¿incluyes “/user: y /password”? porque por omisión envía usuario/contraseña del usuario que inició sesión en el equipo?

      Comenta, a ver si lo podemos solucionar

      • MIguel Correa  On 08/04/2014 at 23:04

        Estimado Guillermo gracias por la pronta respuesta, .
        – La conectividad si esta, cuando hago ping al servidor, si responde, sin perdidas.
        – Los Sistemas Operativos son: Windows Server 2008 y Windows 7 Pro
        – Cuando hago: “net use \\Dir-IP-Servidor” solo me indica: “Se ha completado el comando correctamente”….y nada mas
        – Antes me daba otro error, pero ahora me aparece lo siguiente:
        “Error de sistema 1219.

        Las conexiones múltiples para un servidor o recurso compartido compatible por el mismo usuario, usando más de un nombre de usuario, no están permitidas. Desconecte todas las conexiones anteriores al servidor o recursos compartido e inténtelo de nuevo.”

        Saludos y Gracias de antemano.

      • Guillermo Delprato  On 09/04/2014 at 08:58

        Ya hay dos puntos para revisar de lo que comentas:-)

        – “Net use se ha completado…” Al comando le falta la indicación de la unidad “NET USE x: …” o “NET USE * …” y por supuesto probar si se accede a la unidad mapeada
        – Y de todas formas el error 1219 y el texto que da, es justamente el punto importante
        Entre un cliente y un servidor (en el sentido más amplio, entre dos máquinas) no puede haber más de una sesión con usuarios diferentes, esto fue siempre así. Por lo tanto el problema ya está identificado, hace una conexión con un usuario, y luego con el NET USE tratas de especificarle otro usuario diferente
        ¿Estás tratando de conectarte al mismo servidor que tiene la VPN? Porque esa sería la causa más inmediata

        Algo para probar: Con “NET USE” puedes ver si ya hay una sesión abierta
        Y con NET “USE * /DELETE” eliminar todas las sesiones, porque la conexión puede venir de cualquier configuración, por ejemplo si ya hay un mapeo, por ejemplo, de Documents

  • MIguel Correa  On 09/04/2014 at 17:42

    Hola Guillermo, ya encontré cual era el problema del acceso. En el explorador de Windows del Win7, coloque el nombre completo del servidor Win2008, y me reconoció el equipo y sus recursos compartidos. Debe ser porque es un Win Server que requería el nombre completo…Al menos salió.
    Pero tengo otra duda que quería consultarte ya que este tema de acceso se soluciono, en un post mas arriba indicas que la conexión que se debe de hacer es a través de 2 tarjetas de red o conexiones Lan, esta parte no lo entendí muy bien (“Un servidor VPN permite conectar una “red insegura” con una “segura”. Si tiene una única placa de red permitiría conexiones desde “red insegura” en una placa que está en una “red segura””).
    Ya que en este momento mi servidor win2008 esta conectado al switch de la empresa para que lo usuarios puedan acceder y loguearse al dominio, pero a la vez esta tarjeta esta configurada para que tenga salida al internet. Como debería ser la configuración Física y lógica de las tarjetas y cables, etc.???
    Como siempre gracias de antemano por tu gran ayuda.

    • Guillermo Delprato  On 09/04/2014 at 17:58

      Me alegro se solucionara el tema Miguel

      Respecto a la otra pregunta, no hagas que un DC sea servidor VPN, trae variados problemas, desde que un DC con más de una dirección IP trae problemas, hasta muy importantes de seguridad. Supongo que no pondrás en la máquina más expuesta a problemas de seguridad de Internet (VPN) a lo más valioso que tienes (la lista de usuarios y contraseñas del dominio)

      El servidor VPN debería tener una placa conectada a la red interna y otra al Router

      • MIguel Correa  On 09/04/2014 at 18:07

        Ok de acuerdo, pero disculpa la ignorancia en este campo. Cual debería ser la configuración correcta?. Si mi servidor Windows2008 es mi servidor de Dominio y a su vez servidor de base de datos (BD pequeña porque es una PYME, es mas solo una de contabilidad) y no hay otro servidor ni equipo disponible. Y tengo un usuario que esta fuera del local (distancia bien lejos) y que necesita acceder a la base de datos.
        Hasta el momento están trabajando que este único usuario que accede a la BD desde afuera se conecta con ESCRITORIO REMOTO de Windows y utiliza el software directamente en el servidor, lo cual me parece muy riesgoso para el tema de seguridad y par el tema propio de acceso sin restricción al servidor. Bueno esta es la figura que yo he encontrado recién que veo este caso.
        Espero no abrumarte con este tema pero a raíz de lo que me comentas ya me descuadraste mi sugerencia de conectarse por VPN para dar solución a este requerimiento.
        Muchas gracias

      • Guillermo Delprato  On 09/04/2014 at 18:46

        Revisa la documentación del Router a ver si permite actuar como servidor VPN (muchos lo permiten). O hacer una VPN Router-Router entre el remoto y el local (la mayoría lo permite)
        Para no comprometer la seguridad, la otra que queda es poner otra máquina como servidor VPN

      • MIguel Correa  On 09/04/2014 at 19:06

        Muchas gracias por la ayuda, voy a revisar y proponer el VPN Router-Router. Se que no es el tema del blog, pero tu voluntad de ayuda y de compartir conocimiento es grande y muy profesional.
        Muchas gracias Guillermo nuevamente…Saludos.

      • Guillermo Delprato  On 09/04/2014 at 19:12

        Un gusto Miguel

  • Kingkaizerr  On 18/07/2014 at 17:58

    ya alli con esa configuracion puedo acceder el sevidor de maenra de escritorio remoto a?

    • Guillermo Delprato  On 18/07/2014 at 19:46

      Una vez que el cliente está conectado por VPN a la red interna, es tal cual como si estuviera localmente
      Si recibe la configuración correcta no debería tener problemas con nada

  • Nestor  On 31/12/2014 at 05:47

    Hola Guillermo ,

    Gracias por el tutorial.
    Quiero implementar una VPN de diversas sucursales a una central.
    Te quiero comentar para ver si me quedo claro.
    Para que puedan acceder a recursos compartidos de un servidor de la central.
    Corrigeme si me equivoco:
    SRV1: seria mi servidor local el cual contiene los recursos compartidos.
    Aqui deberia configurar:
    Ejemplo: 192.168.1.1 ip SRV1 192.168.1.254 puerta de enlace del cortafuegos.
    (Esto ya lo tengo ya que tiene conexion a internet)
    Y ya esta.

    Entonces en mi caso tengo un router y cortafuegos:
    Ahora mismo tengo configurado el router para que le derive todos los paquetes al cortafuegos. Debo tener ip publica.
    Entonces entiendo que debo abrir algun puerto en el cortafuegos como el 1723? y luego esto debo redireccionarlo a mi mi SRV1 internamente?

    Luego una pregunta des la red donde se conecta el cliente externo windows 7
    Debe haver alguna configuracion especial en ese cliente o esa red?
    Cuando haga nueva conexion
    Debo poner la ip publica para conectarme?

    Gracias de antemano

    • Guillermo Delprato  On 31/12/2014 at 08:24

      Hola Néstor, voy respondiendo cada una de las preguntas
      – La conexión VPN siempre se hace a una IP pública, la que da conectividad a Ineternet
      – Algunos Routers ya tienen la redirección de PPTP, pero atención que lo que hay redirigir son un PUERTO (TCP-1723), y un PROTOCOLO (GRE – Protocol ID47)
      – No comprendo bien cómo está hecha la conexión. Si el Router es el “más externo”, entonces la conexión se hace a la IP pública del Router que debería redirigir a SRV1, permitiendo el paso por el cortafuegos intermedio ¿es así la conexión?
      – Y quizás lo más importante, si la idea es interconectar sucursales, entonces el procedimiento es otro, ya que en esta nota es para que un cliente se conecte a la red, por ejemplo alguien que trabaja desde su casa, o desde un sitio remoto. Para interconectar sucursales lo que conviene es directamente interconectar directamente las redes, y no cada cliente individualmente. Se dice una conexión “Sitio a Sitio”, o “Site to Site” VPN
      Tienes dos notas referentes a cómo se hace, dependiendo de la versión del sistema operativo
      Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) | WindowServer:
      https://windowserver.wordpress.com/2013/02/02/windows-server-2012-conectando-sitios-por-vpn-site-to-site-vpn/
      Demostración Conectando Redes por VPN con PPTP – (Site to Site VPN) | WindowServer:
      https://windowserver.wordpress.com/2012/03/24/demostracin-conectando-redes-por-vpn-con-pptp-site-to-site-vpn/

      • Nestor  On 05/01/2015 at 04:41

        Hola Guillermo
        Gracias por contestar tan rapido y feliz año.
        Efectivamente el router es el mas externo y es el que tiene la IP publica. Y este router esta configurado para derivar todos los paquetes al cortafuegos que es donde tengo definidas todas las reglas.

        Entonces entiendo que debo hacerlo en el router.

        La idea global es que tengo una sucursal central. Y el resto de sedes deben conectarse a la central. No deben conectarse entre ellas.
        Entonces debo hacer un Site to Site de cada una de las sedes a la central?

        Un saludo y gracias de nuevo

      • Guillermo Delprato  On 05/01/2015 at 06:52

        Hola Nestor, gracias igualmente, mis mejores deseos para ti
        Correcto, en ese caso hay que hacerlo en el Router. El Router debe estar haciendo “Routing”, no “NATing”. Cuidado con esto
        Si estuviera haciendo NAT, entonces las VPN conviene configurarlas en los Routers

        Exactamente, debes usar “VPN Site-to-Site”, esto transparentará toda la red. Si no deseas que las sedes se puedan comunicar entre ellas, puedes hacerlo a nive del cortafuegos, o con filtrado de paquetes en el servidor VPN

  • Luis Muro  On 01/02/2015 at 05:12

    hola amigo guillermo.
    muy bueno tu aporte a todos nosotros que estamos en esta area tecnologica tan cambiante dia a dia…una consulta amigo, estoy implementando una vpn para conectar un usuario que esta en una planta para que se conecte a una aplicacion de nomina que esta en el servidor q esta en la sede nueva como a 5 kmts, tengo server 2008 con una sola tarjeta de red en la sede nueva y en planta los clientes tienen windows 7, en ambos sitios hay internet, ya configure el servicio de enrutamiento en el servidor y probe localmente y me funciona la vpn, pero cuando realice la prueba desde planta empleando la ip externa del router me da error 800 y no me conecto al servidor..mi pregunta es que puedo estar haciendo mal o que me falta,,,porque localmente me funciona la vpn pero externamente no me funciona. Muchas gracias por tus aportes.

    • Guillermo Delprato  On 02/02/2015 at 07:32

      Hola Luis, es muy raro que hayas podido configurar un servidor con una única placa de red como servidor VPN, porque normalmente no lo permite, ya que la función de VPN es conectar una red “insegura” como por ejemplo Internet, con una red “segura” como es la interna
      El asistente de configuración VPN permite seleccionar cuál será la interfaz externa y coloca filtros IP justamente para que se pueda conectar únicamente los protocolos de VPN (PPTP, L2TP+IPSec, SSTP y IKEv2)
      Ese error (800) es que no llega al servidor, y normalmente se soluciona permitiendo en el Router el protocolo PPTP. El protocolo PPTP usa PUERTO TCP-1723 y PROTOCOLO 47 (GRE)
      Un servidor VPN configurado correctamente no permite conexiones VPN desde el lado interno :)

  • Luis Muro  On 02/02/2015 at 11:17

    Buen dia amigo guillermo, gracias por tu respuesta,,,efectivamente el equipo servidor tiene una sola tarjeta de red y haciendo pruebas puedo conectarme desde la red local, lo cierto tambien es que no he tocado los puertos en el router porque pensaba q tenia que habrirlos en el firewall de windows solo en el equipo que va ser cliente ……de hecho configure un usuario local en el servidor con los permisos de conectarse remotamente y es el que estoy usando,,,esta en lo correcto?

    • Guillermo Delprato  On 02/02/2015 at 14:38

      Luis, lo normal es que no funcione VPN con una única placa de red
      En el Router, no es sólo abrir, sino que hay que redirigir lo que te comenté antes al servidor interno

  • Luis Muro  On 02/02/2015 at 12:06

    Guillermo otra inquietud..le puedo colocar otra tarjta de red al mismo servidor para hacer vpn remoto,, o sea una externa y otra interna en el mismo equipo donde quiero hacer vpn…este equipo antes tendria un router …¿o se lo coloco despues el router?? gracias amigo

    • Guillermo Delprato  On 02/02/2015 at 14:41

      No tiene sentido Luis una VPN interna, si necesitas cifrado de datos en la red interna es mejor y seguro implementar IPSec
      Para configurarlo “bien” la estructura debería ser:
      Internet — Router — PlacaPública-Servidor-PlacaPrivada — Switch Interno
      Observando la figura de la nota: el Router debe quedar entre “Internet” y “VPN1”

      • Luis Muro  On 06/03/2015 at 12:06

        Hola amigo Guillermo…..
        sabes que ya instale el servidor VPN como me indicaste con las dos tarjetas de red y todo ok,,, tengo una Nic llamada LAN que es la interna y otra Nic llamada WAN que es la externa,,,el cable de red del modem entra a la tarjeta WAN del servidor y este es el encargado de realizar el DHCP para la red interna 192.168.x.x.,,,ok todo bien pero los clientes internos no pueden salir a internet y solo el servidor tiene salida,,,Amigo por favor como hago para que mis equipos internos tengan salida a internet a través del servidor vpn???en los clientes internos coloco como puerta de enlace la ip del servidor vpn y nada, coloco la ip externa y nada….

      • Guillermo Delprato  On 06/03/2015 at 18:58

        Hola Luis Muro, vamos por partes porque hay varios lugares a revisar
        Primero que nada aclarar la infraestructura que tengas, porque para no entrar en las múltiples variantes que se pueden crear, en la esta nota, el servidor tiene la dirección IP pública; esto no siempre es así, todo depende del tipo de conexión que tengas
        Me hablas de un “modem” por lo que supongo que estás usando ADSL ¿es así? Siendo así hay dos posibilidades de acuerdo a quién haga el discado (llamada) porque ése será el que reciba la IP pública, y puede ser el modem, o el servidor
        Lo más común, por lo menos en “mi ambiente” es que lo haga el Modem (Router)
        Si todo es como puse antes, que es la configuración más común, continúo pero recuerda que depende de lo que puse más arriba

        Red Interna: Cualquier direccionamiento IP privado. Para todos los clientes la puerta de enlace debe ser la dirección IP de la placa INTERNA del servidor VPN

        Red Intermedia: como el que recibe la dirección IP pública es el módem/router, no el servidor VPN, ahí hay que crear otra red, diferente de la anterior. Importante: en la placa EXTERNA del servidor VPN, la puerta de enlace debe ser la dirección interna del modem/router
        Un ejemplo
        RedInterna(192.168.1.0/24)PlacaPrivada-SERVIDOR-PlacaPública(192.168.2.0/24)

        Ahora hay que permitir el tráfico, tanto de entrada como de salida
        En el modem/router, leer la documentación del mismo, pero debería poder configurar que todo lo que llegue a la IP externa de éste, la envíe a la dirección IP Pública del servidor VPN (Port Forwarding TCP1723 + Protocol 47 GRE)
        En el servidor VPN, por omisión, en RRAS en las propiedades de las interfaces de red, quedan filtros IP que permiten SOLAMENTE los protocolos de VPN, y por lo tanto no pueden navegar los clientes. Hay que modificar estos filtros para permitir el tráfico a Internet que necesites. Si tienes dudas revisa la nota https://windowserver.wordpress.com/2011/10/02/demostracin-conectando-clientes-a-la-red-por-vpn-windows-server-2008-r2-y-windows-7-parte-2-por-l2tp-ipsec-sstp-y-ikev2/ que muestro como modificarlos, con un SALVEDAD importante, como la demostración era para otros protocolos y para no complicar la demo permití todo el tráfico entre red interna e Internet. Esto NO hay que hacerlo, sería como exponer toda tu red interna en Internet

        Y MUY IMPORTANTE, cuidado con el tema seguridad, ¿quién hace de cortafuegos? ¿el modem/router? ¿el servidor VPN? cuidado…

        Y un detalle más, el modem/router no puede hacer de DHCP para red interna, simplemente porque no está conectado a esta :)

        Me vas a hacer escribir un libro acá :)

  • Luis Muro  On 06/03/2015 at 22:44

    hola amigo Guillermo…jajajaj esta bueno lo del libro…amigo mi esquema es que mi proveedor me suministra el servicio de internet por un router mikrotic, el cual me hacia el servicio dhcp 192.168.x.x a los equipos internos,y le dije que como estaba configurando un vpn con dos tarjetas de red, quería que el servidor que uso de vpn en una de sus tarjetas recibiera la ip externa y administrara el dhcp a la red interna, por lo tanto configure el servicio servidor dhcp y enrutamiento, o sea que llega directo la ip externa en una de las tarjetas de red de mi server vpn y la otra tarjeta a la red interna la cual configure con el mismo rango de direcciones 192.168.100.x,,solo habilite el protocolo pptp pero cuando cuando quise conectarme desde casa a la oficina me daba error 800, la pregunta que surge es que si ahora debo abrir los puertos en el server vpn,,,y también mis equipos internos no tienen acceso a internet,,solo el server vpn,,,como hago que los equipso internos tengan internet ahora por el server vpn???Mil gracias amigo…

    • Guillermo Delprato  On 07/03/2015 at 07:30

      Hola Luis, teniéndolo como dices es más fácil de configurar
      Error 800, es que no llega, no responde el servidor. Para este caso hay que revisar en el Router que no esté filtrando paquetes, que deje pasar PPTP, quizás deberías consultarlo con el proveedor, o a lo mejor hasta puedes pedirle ayuda para el caso :)
      El tema que los clientes salgan a Internet, pasa por dos lugares: que puedan resolver nombres, y los protocolos que usen (HTTP, HTTPS, o los que uses). Para el primero que pueda pasar DNS (UDP53 y TCP53), y HTTP y HTTPS para navegar
      Esto lo debes permitir en las propiedades de las conexiones, en RRAS, debes permitir el tráfico en “Inbound filters” y “Outbound filters” (revisa el enlace que puse en la nota anterior si no lo encuentras). Este tráfico lo debes permitir desde la red interna, hacia Internet (Todas)

      • Luis Muro  On 09/03/2015 at 14:00

        hola Guillermo, de verdad que esto me esta sacando canas,,,no se porque con 2008 se me complica tanto,, lo he realizado con 2003 y todo bien,,,bueno…resulta que por fin termine de configurar el servidor de enrutamiento y acceso remoto,,,lo instale vpn con nat…ya que necesito que los equipos internos tengan acceso a internet,,ya que es importante…pero hay un detalle,,resulta que los clientes internos de mi lan no salen a internet,,, luego coloque la dirección ip externa como Gateway en la tarjeta lan interna y pudieron salir a internet pero después que reinicie el equipo servidor no salieron mas….mi configuración es como sigue:::INTERNET+ NIC.WAN-SERVIDOR+ NIC.LAN-SERVIDOR+ SWITCH RED INTERNA…tengo configurado en el servidor los servidores:: DNS + DHCP + RRAS…TODO ESTO LO CONFIGURE AYER, los equipos internos se conectan a la red perfectamente y acceden a los recursos,,,pero no tienen acceso a internet,,,fue por un ratico y nada mas,,,realmente no entiendo que paso o que hice mal…por favor alguna sugerencia mi amigo…muchas gracias como siempre…

      • Guillermo Delprato  On 09/03/2015 at 15:22

        Hola Luis, veo tus dos comentarios, éste y el que sigue
        El Default Gateway de todas las máquinas de la red interna debe ser la interfaz interna del servidor. Esto es básico, el DefGat es la puerta de salida. Imagina si la puerta de salida de tu habitación estuviera en otra :D Por lo tanto la dirección del Default Gateway obligatoriamente tiene que estar en la misma red, y por lo tanto es la interfaz interna del servidor VPN/NAT
        Si le pones como puerta de enlace para llegar a sitios remotos, una puerta que ya es remota, no hay forma de llegar a ningún lado externo ¿se comprende?
        Sigo en tu otro mensaje

  • Luis Muro  On 09/03/2015 at 14:18

    el direccionamiento de mi red es como sigue::tenemos un enlace que estaba conectado al router que hacia los servicios de DNS. DHCP Y GATEWAY,,,PERO COMO EL SERVIDOR TIENE DOS TARJETAS LA IDEA ES QUE ESTOS SERVICOS LOS ADMINISTRE EL SERVIDOR, POR ESO CONFIGURE DHCP-DNS Y AHORA RRAS EN EL SERVIDOR…POR EJEMPLO.

    ip EN LA TARJETA WAN: 190.142.200.215
    MASK EN LA TARJETA WAN: 255.255.252.0
    GATEWAY EN LA TARJETA WAN: 190.142.216.15
    CON SUS RESPECTIVOS DNS..

    ip EN LA TARJETA LAN: 192.168.100.14
    MASK EN LA TARJETA LAN: 255.255.255.0
    GATEWAY EN LA TARJETA LAN:192.168.100.14
    CON SUS RESPECTIVOS DNS..192.168.100.14 Y 8.8.8.8
    como te comente que tengo instalado el RRAS como VPN y NAT, y los equipos internos no salen a internet ,,entonces coloque la ip wan externa en el Gateway de la ip lan 190.142.200.215, salieron por un momento pero no tuvieron conexión de nuevo….por favor si sabes que esta mal o tienes algún tutorial de RRAS con VPN y NAT que me lleve paso en la configuración corecta te lo agradecería amigo por favor…muchas gracias de nuevo…

    • Guillermo Delprato  On 09/03/2015 at 15:34

      Sigo acá Luis
      El servidor VPN/NAT debe tener Defautl Gateway únicamente en la interfaz externa, y este dato se lo debes preguntar al proveedor de Internet, salvo que la dirección que te asigne sea en forma dinámica en cuyo caso te la configura automáticamente el proveedor de Internet
      Para que los clientes puedan salir a Internet, tienen que cumplirse dos condiciones:
      1.- Que puedan resolver nombres a direcciones IP. Esto lo hace el servicio DNS. Y lo puedes probar con NSLOOKUP
      2.- Que tengan conectividad IP. Esto lo puedes probar con PING, pero asegurándote que sea a una dirección o nombre que responda a ICMP, pues en la mayoría de los casos está filtrado. Por ejemplo un PING http://WWW.GOOGLE.COM funciona

      Si tú configuras un servidor DNS, lo normal es que le configures Reenviadores (Forwarders) a los DNSs del proveedor de Internet, o si quieres a los de Google (8.8.8.8 y 8.8.4.4). Esto mejora el rendimiento

      En los datos que pones hay errores ¿son los reales? Comento sólo algunos
      ——-
      ip EN LA TARJETA WAN: 190.142.200.215
      MASK EN LA TARJETA WAN: 255.255.252.0
      GATEWAY EN LA TARJETA WAN: 190.142.216.15
      CON SUS RESPECTIVOS DNS..
      ——
      O está mal la máscara, o está mal el gateway, son remotos

      ——
      ip EN LA TARJETA LAN: 192.168.100.14
      MASK EN LA TARJETA LAN: 255.255.255.0
      GATEWAY EN LA TARJETA LAN:192.168.100.14
      CON SUS RESPECTIVOS DNS..192.168.100.14 Y 8.8.8.8
      ——-
      Si el servidor es DNS, entonces como DNS tiene que apuntarse a sí mismo. Y no tiene que tener DefGat configurado, debe estar en blanco

      Recién ahora me dices que tienes NAT, hemos perdido tiempo en los comentarios anteriores hablando de los filtros… :(

      Por favor revisa bien el artículo, que está claramente explicado en cada uno qué tiene configurado como Gateway

      • Luis Muro  On 14/03/2015 at 14:46

        Hola amigo Guillermo,,,realmente la instalación del servicio NAT fue reciente, ya que necesitaba que los internos salieran a internet…gracias por tu paciencia y me has enseñado como todo un profesional que eres por eso pienso que lo que no hemos perdido tiempo, porque he aprendido mucho,,,claro lo del nat a ultima hora se me chispoteo, te pido disculpas…los datos de la lan son los corrrectos y los de la wan son LOS Q ME DA EL ISP SON FIJOS:
        IP WAN:xxx.xxx.168.250
        mask:255.255.255.252
        GATEWAY: xxx.xxx.168.249
        DNS:xxx.xxx.168.249 Y 8.8.8.8
        sEGUI TU CONSEJO Y COLOQUE LOS REENVIADORES LAS IP DE GOOGLE Y LA RECURSIVIDAD TENIA FALLAS Y AHORA ESTA ESPECTACULAR…VOY A CONFIGURAR EL VPN Y NAT A VER SI RESUELVO ESTO HOY…CUALQUIER COSA TE AVISO AMIGO…GRACIAS.

      • Guillermo Delprato  On 14/03/2015 at 17:03

        Hola Luis, me alegro pudieras solucionar
        ¡Ahora a lo que falta!
        PD) Borré en tu comentario parte de las direcciones públicas, por un tema seguridad, nunca publiques tu direción real en forma pública

      • Luis Muro  On 18/03/2015 at 00:40

        Hola amigo,,,he observado que en la configuración inicial del servidor VPN, colocaste un rango de direcciones para asignar a los clientes vpn…,,pero este rango no esta dentro de ninguno de los rangos configurados en el servidor VPN en la tarjeta lan interna 192.168.1.254…mi pregunta es…no importa el rango que coloques aqui para repartir?? esto solo se le asigna a los clientes vpn y no afecta a los clientes internos?? Gracias amigo por tu respuesta…..

      • Guillermo Delprato  On 18/03/2015 at 07:27

        Hola Luis, ese rango de IPs es sólo para los extremos de la VPN, en este caso una dirección IP adicional que recibirá tanto el cliente como el servidor VPN
        Se puede hacer de dos formas diferentes, y en ambos casos funciona
        1.- Si utilizas un rango de IPs de la red interna, debes asegurarte que no se dupliquen IPs, y el servidor funciona como una especie de “proxy de ARP”
        2.- Como hice en la nota con un rango totalmente diferente, entonces el servidor funciona como enrutador, y tiene la ventaja que eventualmente puedes aplicar filtros de IP para limitar la conectividad

  • omar martinez  On 23/04/2015 at 15:49

    Hola Guillermo quisiera saber si me puedes ayudar mira yo tengo un servidor con el cual doy servicio de enrutamiento y acceso remoto por telefono ahora quisiera saber como puedo ver a que sitios entran mis clientes o las paginas q visitan

    • Guillermo Delprato  On 23/04/2015 at 15:55

      Hola Omar, por temas de extensión y cantidad de datos necesarios no puedo hacer soporte en estos comentarios que son específicamente sobre la nota. Ayudo cuando puedo orientar y nada más
      Por lo que comentas, no comprendo si los clientes “entran” a tu red (hablas de acceso remoto), o si por el contrario la idea es controlar a tus clientes internos dónde salen
      Para el primer caso hay que implementar auditoría de seguridad en tus servidores
      Para el segundo, se puede lograr con un cortafuegos que loguee la info, no con el sistema operativo solamente

      • omar martinez  On 23/04/2015 at 16:44

        no yo les doy servicios a mis clientes a treves de mi servidor pero lo que quiero es ver a que lugares se conectan sin nesesidad de tener que poner un proxy o cortafuegos es saver si mediante un comando o otra herramienta puedo saber las paginas que vicitan

      • Guillermo Delprato  On 23/04/2015 at 17:30

        Omar, para lo que quieres necesitas justamente un proxy o cortafuegos con posibilidad de “logging”

  • Oswaldo Mayaute  On 04/08/2015 at 14:17

    felicitaciones, muy bueno el tutorial es de gran ayuda pero lo único es que cuando hago el ultimo paso con la cuenta de administrador con net use no puedo conectarme a pesar de que hace ping a srv1 y a vpn1 sin problemas, por ende no puedo ver la carpeta compartida en srv1

    • Guillermo Delprato  On 04/08/2015 at 15:53

      Oswaldo, sin saber cuál es el error sólo puedo adivinar
      Para ver los compartidos el comando es “NET /VIEW \\NombreServidor”
      “NET USE” es para mapear unidades: NET USE x:\ \\srv\compartido

      • Oswaldo Mayaute  On 04/08/2015 at 16:24

        Gracias por tu respuesta inmediata, me estaba refieriendo a la ulktima imagen la cual pones “net use j: \\192.168.1.1(este es el srv1)\shared (recurso compartido)/user:administrator(este es el usuario srv1) Pa$$w0rd(esta es su contraseña)
        cuando ejecuto esta linea me sale error de sistema 67 no se encuentra el nombre de red especificado, en l tutorial que por cierto es muy bueno, especificas que tiene que haber un usuario y contraseña validos en srv1 en este caso con la cuenta de administrador. Hice los pasos pero aun no puedo ver las carpetas compartidas ni con el net view.

        saludos.

      • Guillermo Delprato  On 04/08/2015 at 17:03

        ¿La conexión a la VPN la hace bien? confirma con IPCONFIG cuando esté conectado que reciba dirección para el tunel

        Mueve el cliente a la red interna, y trata nuevamente con el NET VIEW \\Srv1
        De esa forma acotamos el problema, si es de SRV1 o de VPN1

  • Oswaldo Mayaute  On 04/08/2015 at 17:26

    El ip config me da ip del tunel configurado en vpn1, si hago ping a los dos sevidores corren normalmente esto es con el cliente conectado por vpn, movì el cliente a la red interna: con el net view no accede pero si voy a ejecutar y le pongo las ips de los sevirdores puedo entrar a los recursos compartidos, al parecer todo esta ok pero no entiendo que ocurre con el comando net, anteriormente para ver net view \\srv1 tuve que encender varios servicios y tambien el servicio examinador de equipos y pude ver el vpn1 hacia el srv1

    gracias

    • Guillermo Delprato  On 04/08/2015 at 19:16

      Oswaldo, si en la red interna no accede el problema está en SRV1
      Por ejemplo revisa https://support.microsoft.com/en-us/kb/843156
      Y por supuesto que en la red interna tiene que tener dirección IP válida para la red interna donde está SRV1
      ¿Y qué eso de encender servicios? ¿te refieres sólo a Examinador o hay alguno más que hayas detenido? porque examinador no tiene ninguna relación con poder acceder o no, es sólo para ver el entorno de red, pero no implica poder conectarse o no

      Estos comentarios no son para soporte, son sobre la nota y ayudo cuando puedo, mejor dirígete por favor a un foro de soporte, por ejemplo https://support.microsoft.com/en-us/kb/843156

      • Oswaldo Mayaute  On 04/08/2015 at 23:47

        Ok muchas gracias

  • Angelfb  On 18/08/2015 at 03:32

    Buenos días Guillermo,

    A ver si me puedes ayudar, te explico.

    Tengo usuarios que están trabajando en casa del cliente, pero por motivos de coordinación con el equipo que esta en la oficina de nuestra empresa necesitan trabajar con las dos redes al mismo tiempo, pero si conectan con la VPN de la empresa pierden la conexión de la red del cliente y lo que necesitan es trabaja con las dos redes al mismo tiempo, utilizamos una VPN de windows estándar y ya he probado marcando el check de “Usar la puerta de enlace predeterminada en la red remota” sin éxito, también he probado de meterle un add route, pero creo que lo he hecho mal, ya no se que mas puedo hacer, pero seguro que se puede.

    Por favor si me puedes ayudar.

    Muchas gracias.

    • Guillermo Delprato  On 18/08/2015 at 07:53

      Hola Angelfb, para llegar a la solución hay que conocer muchos más datos, no es sólo sacar que use la puerta de enlace remota
      Antes que nada debes hacer un ROUTE PRINT -4 y prestarle mucha atención a cada entrada
      Si no ves las redes que necesita conectarse hay que hacer entradas en la tabla con ROUTE ADD
      En general lo más fácil es tener una puerta de enlace ylas demás a mano
      Un detalle a tener en cuenta muy importante es las IPs de la VPN son de un rango de la red a la que se conecta o no, ya que puede hacerse de cualquiera de las dos formas

  • JPierre PTang  On 02/12/2015 at 02:06

    Una consulta, un mismo servidor fisico puede ser Servidor de AD, DNS, DHCP y VPN a la vez?

    • Guillermo Delprato  On 02/12/2015 at 06:41

      Se podría, pero desde ningún pusto de vista es una buena opción
      Un servidor VPN necesita dos interfaces de red, esto trae problemas en la configuración de Active Directory, y además es muy malo desde el punto de vista seguridad ya que sería exponer “lo más valioso” como son usuarios y contraseñas
      Además en todos los servicios habría que hacer configuraciones adicionales a las normales

  • Buch  On 14/03/2016 at 01:46

    Excelente nota Gullermo, lo implemente pero tengo problemas cuando el equipo remoto se conecta no alcanza la LAN, que estoy haciendo mal?

    • Guillermo Delprato  On 14/03/2016 at 07:28

      Hola Buch, imposible que yo lo sepa :)
      Hay muchas posibilidades, no queda otra que revises cada uno de los pasos. Inclusive si tienes un Router entre el VPN e Internet, configura para que redirija al VPN, TCP-1723 y Protocolo 47

  • normandos  On 02/08/2016 at 15:22

    Hola, he hecho todos los pasos y me ha ido bastante bien, hasta ejecutar el net use en el cliente, me dice “no se ha encontrado la ruta de acceso a la red”. En tu ejemplo, estimo que “j:” corresponde a cualquier letra que le quieras asignar al disco compartido y no refleja necesariamente la letra dle disco donde esta literalmente la carpeta compartida (en mi caso en C:).
    Entonces pongo net use J: \\192.168.1.2(ip de la tarjeta de red del servidor que va hacia afuera)\Shared /user etc etc
    Me dice que la ruta está mal. Mi carpeta se llama Shared, está compartida y está en el C de mi server con ip 192.168.1.2
    Que podría estar mal?
    Muchas gracias.
    Carlos.

    • Guillermo Delprato  On 02/08/2016 at 15:58

      La máquina esa que tiene la carpeta compartida ¿tiene como puerta de enlace a la dirección IP interna del servidor VPN?
      Si puedes baja unos instantes el cortafuegos de donde está la carpeta compartida y prueba un PING. Si no respondiera decime exactamente cuál es el mensaje de error que da

      • normandos  On 02/08/2016 at 17:03

        Guillermo, he podido “ver” la carpeta yendo por el cliente a “Conectar unidad de red” dentro de “Equipo” en W7.
        La puerta de enlace del servidor VPN es la dirección interna del router, o sea por donde sale a Internet. La tarjeta de red que conecta con el router tiene la 192.168.1.2 en el servidor, el router tiene la 192.168.1.1 de allí que la puerta de enlace del servidor es la 192.168.1.1, no se si estamos hablando de lo mismo y si eso contesta tu pregunta.

      • Guillermo Delprato  On 02/08/2016 at 19:24

        Hola normandos, relee por favor mi respuesta anterior, y trata de ser posible más datos, yo no conozco tu infraestructura :)
        Vuelvo con la pregunta: La máquina que tiene la carpeta compartida ¿tiene como puerta de enlace a la IP interna del servidor VPN?
        ¿El orden de conexión es PCconCarpetaCompartida — VPN — Router — Internet — ClienteVPN? ¿o el servidor VPN está conectado directamente a Internet, y el Router es otra conexión?
        El servidor VPN con dos interfaces de red, no puede tener la misma red IP en ambas conexiones, no pasará tráfico si es así

      • normandos  On 03/08/2016 at 20:04

        La maquina que tiene la carpeta compartida ES el Servidor VPN, este sale a traves de un router a Internet, por ello te decia que tiene como puerta de enlace la ip del router.

      • Guillermo Delprato  On 04/08/2016 at 08:14

        Hola normandos, ahora sí comprendo :)
        Prueba usando \\IP-InternaDelVPN porque me da la impresión que al poner nombre y la máquina tiene dos interfaces esté tratando de conectarse por la interfaz externa, o inclusive la de la VPN
        Revisa que tanto la interna como la de la VPN las esté tomando como Privada o Dominio si fuera el caso

  • Jorge  On 17/09/2016 at 16:31

    Excelente post!!!

  • Rene Fernandez  On 20/09/2016 at 17:49

    hola tengo una vpn y al conectarme me sale error 800 ya hable con mi proveedor de internet y me habilitaron los puertos desde el 1701 a 1743 pero aun me sigue saliendo erro 800

  • Alvaro castillo  On 17/11/2016 at 13:21

    Hola, antes que nada muchas gracias por el aporte, una pequeña duda es el de la mascara de subred , ¿ Por que el servidor vpn asigna una mascara 255.255.255.255 ?.

    Un saludo.

    • Guillermo Delprato  On 17/11/2016 at 14:06

      Hola Alvaro, con una máscara 255.255.255.255 cualquier dirección IP la ve como si fuera remota, y por lo tanto envía todo por la VPN
      Es similar a ponerle una Puerta de Enlace sobre la VPN. Y es uno de los motivos por los cuales algunos dicen “cuando me conecto a la VPN me desconecta de Internet”, lo cual no es así, sino que envía todo por la VPN
      No sé el tipo de conexión a Internet que tienes, pero en general los que se conectan con ADSL directo tienen también esa máscara de subred

      • Alvaro castillo Veĺez  On 17/11/2016 at 17:20

        Gracias Guillermo por tu pronta respuesta , es que me hago un lio con esta mascara , por que por ejemplo en un firewall que tengo en la ayuda dice, para permitir el acceso al firewall solamente a un host en el apartado respectivo para configurar esta opción escribe la ip de ese host y ponl como mascara la 255.255.255.255 .

        Ademas en teoría ,un equipo al tener una mascara 255.255.255.255 no pertenece a ninguna red , pero un equipo cliente conectado por vpn le puedes hacer ping y acceder al mismo.

        Un saludo y nuevamente agradecerte por tu blog que me ha salvado la vida algunas veces.

      • Guillermo Delprato  On 17/11/2016 at 19:11

        Hola Alvaro, no es el lugar, ni lo extenso permite hacer una explicación de direccionamiento IP, pero una ayuda para que sigas viendo el tema
        La máscara de subred indica cuántos bit pertenecen al identificador de red
        Una dirección IP w.x.y.z máscara 255.255.255.255 indica que esa es la red, y por lo tanto contiene sólo una dirección ip
        Pero para otra máquina con dirección IP w.x.a.b máscara 255.255.0.0 se puede comunicar con la anterior porque está en la misma red
        Una máscara 255.255.255.255 verá cualquier otra dirección IP como remota, y por lo tanto todo lo enviará a la Puerta de Enlace, y que éste equipo haga la entrega final

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: