Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN)

Una de las más usadas configuraciones en la pequeña y mediana empresa es conectar los diferentes sitios geográficos que poseen a través de Internet usando VPNs. No es en general la mejor de todas las opciones pero es la que está al alcance en forma económica para todos los presupuestos

Hace ya un tiempo hice una nota similar pero con Windows Server 2008-R2, y me he decidido a hacer esta con Windows Server 2012 porque hay varias diferencias y por supuesto mejoras

Aprovecharé también, y ya que es lo más común en la pequeña empresa que al tener poca disponibilidad de servidores, utilicen el mismo equipo para hacer la VPN y proveer conectividad a Internet a los clientes

Es un opcional si quieren hacerlo esto último, sólo lo mostraré porque está prácticamente incluido en la configuración objeto, esto es conectar dos sitios geográficos diferentes a través de VPN, y por su uso generalizado

Lo que sí es importante, es que estos servidores que crearán la conexión no sean Controladores de Dominio ya que es un riesgo muy grande de seguridad

Inclusive, y por seguridad, en la configuración que mostraré, los dos servidores VPN no pertenecerán a ningún Dominio, simplemente estarán en grupo de trabajo (Workgroup), ya que durante la autenticación se usarán cuentas locales, y en caso de compromiso de las mismas, no es lo mismo una cuenta local de un servidor que una del Dominio

Veamos el diagrama con las máquinas que utilizaremos. La máquina ISP es totalmente opcional y se utilizará sólo si quieren asegurarse que la conexión compartida a Internet funciona bien

El hecho de estar usando un Controlador de Dominio, es sólo porque luego usaré la misma infraestructura para una nota que incluya la configuración de Sitios de Active Directory. Lo mismo vale para DC2 que en realidad es, por ahora sólo un servidor miembro del Dominio, pero no es Controlador de Dominio

De todas formas repasemos la configuración de las máquina utilizadas

DC1 – Windows Server 2012
Nombre: dc1.root.guillermod.com.ar
Dirección IP 192.168.1.201/24 (/24 = 255.255.255.0)
Default Gateway 192.168.1.254
Controlador de Dominio (no necesario para esta demostración)

VPN1 – Windows Server 2012
Nombre: VPN1
Interfaz Interna:
Dirección IP 192.168.1.254/24
Interfaz Externa:
Dirección IP 131.107.0.1/16
Deshabilitados todos los protocolos, salvo TCP/IPv4
Deshabilitado NetBIOS sobre TCP/IP
No tiene ningún Default Gateway (Puerta de Enlace)

ISP – Windows Server 2012 (Opcional)
Nombre: ISP
Dirección IP 131.107.0.100/16
Instalado Web Server, sin ninguna configuración extra

VPN2 – Windows Server 2012
Nombre: VPN2
Interfaz Interna:
Dirección IP 192.168.2.254/24
Interfaz Externa:
Dirección IP 131.107.0.2/16
Deshabilitados todos los protocolos, salvo TCP/IPv4
Deshabilitado NetBIOS sobre TCP/IP
No tiene ningún Default Gateway (Puerta de Enlace)

DC2 – Windows Server 2012
Nombre: dc2.root.guillermod.com.ar
Dirección IP 192.168.2.202/24
Default Gateway 192.168.2.254
Servidor miembro del Dominio (no necesario para esta demostración)

 

IMPORTANTE: estos pasos los debemos ejecutar tanto en VPN1 como en VPN2

Comenzaremos agregando los roles necesarios de la forma habitual

Acá vemos una de las diferencias con Windows 2008-R2 ahora está dentro de un rol nuevo “Remote Access”

Por supuesto que agregamos la funcionalidad adicional requerida
Para el que le interese el tema, a mi sí, vean los comentaros que ya hice en la nota Compartir Conexión a Internet sobre la instalación forzada del IIS :-(

Si quieren configurar también el acceso compartido a Internet, deben marcar además la opción “Routing”

Cuando finaliza la instalación nos ofrece, y aceptaremos, la configuración mediante asistente

Demorará unos momentos en aparecer el siguiente cuadro, y revisen porque a veces queda tapado por otra ventana. Como no implementaremos en esta ocasión Direct Access, marcamos la tercera opción

Nos abrirá la consola de “Routing and Remote Access” donde procederemos a la configuración, usando el asistente que accedemos con botón derecho

Si conjuntamente con VPN quieren configurar el uso compartido de Internet sigan el asistente. Si no les interesara el compartir Internet, marque la primera opción “Remote access (Dial-up or VPN)”

Muy importante, marquen cuál es la interfaz externa (la que conecta a Internet)

Debemos asignar el rango de direcciones IP que se asignarán a la VPN, como siempre yo prefiero un rango separado de la red

Se van a necesitar dos redes VPN, una para la conexión desde BAires (Buenos Aires) hacia Mendoza, y otra para Mendoza hacia BAires

Por lo tanto:
En VPN1 elegí 172.16.0.1 a 172.16.0.2
En VPN2 elegí 172.17.0.1 a 172.17.0.2

Una dirección del rango la necesita el servidor que recibe la VPN, y otra para asignarsela al servidor que se conecta.
Por lo tanto tomando sólo 2 IPs me aseguro que no se pueda conectar otro. Si tuvieran más de un sitio, o esperaran que se conecten usuarios deberían asignar más direcciones al rango: una para el servidor y una más por cada conexión esperada

Como lo usaré en un ambiente de Dominio Active Directory me tengo que asegurar que no interfiera en la resolución de nombres, ni en la asignación de IPs, por lo tanto elijo la segunda opción

Por supeusto que en este caso no usaremos RADIUS

Y finalizamos

Por supuesto, aunque no lo usemos siempre aparece el mensaje de DHCP Relay Agent

Podemos observar que ha quedado configurada la opción de compartir Internet

Ya podrían probar el acceso desde DC1 al servidor web ISP, yo lo mostraré al final, cuando probamos todo

 

 

Atención que ahora viene la parte más delicada, y donde se suelen cometer los errores. Por ahora lo único que hemos hecho es la instalación y configuración de los servidores VPN, ahora necesitamos configurar las conexiones entre los dos sitios

Vamos a aclara algunas cosas para que luego resulte sencillo seguir los procedimientos

Yo estoy usando para la demostración dos sitios: BAires y Mendoza.
Y necesitaremos dos redes VPN: una desde BAires hacia Mendoza, y otra desde Mendoza hacia BAires ¿estamos de acuerdo? ;-)
Por lo tanto tengo que establecer credenciales para cada una de las conexiones

Cuando BAires llame a Mendoza (VPN1 llame a VPN2) utilizará un nombre de usuario local que debe ser autenticado y autorizado por VPN2.

El nombre de la conexión será el nombre de la cuenta usada para validar

O sea, cuando BAires llame, usará el usuario BAires (con contraseña) que debe ser una cuenta válida y autorizada para acceso remoto en VPN2
En VPN1 debo crear una conexión llamada BAires, y en VPN2 debe haber una cuenta local llamada BAires autorizada para VPN

Así mismo, cuando Mendoza llame a BAires, usará una conexión llamada Mendoza, cuenta que debe estar creada y autorizada en Baires

Como lo anterior no fácil de comprender hasta que uno lo hace, a partir de este momento configuraremos en forma separada cada servidor

 

Lo siguiente solamente en VPN1

Debemos crear la conexión, comencemos en VPN1 creando la conexión hacia Mendoza

Colocamos el nombre del sitio al que deseamos conectarnos

Usaremos VPN

Ya que no tenemos certificados de máquina utilizaremos como protocolo PPTP

Indicamos la dirección IP externa del servidor de Mendoza

Y si deseamos que Mendoza también pueda inciar conexión marcamos “Add a user account so a remote router can dial in”

El próximo paso nos preguntará por la red de destino, para agregar la correspondiente entrada en la tabla de ruteo. Agregamos la red que estamos usando en Mendoza

Ahora nos solicita las credenciales que utilizará Mendoza cuando llame a BAires. Con esto creará en VPN1 una cuenta local autorizada para acceder por VPN
Debemos asignarle la contraseña correspondiente

Ahora nos está solicitando las credenciales que usará BAires para conectarse hacia Mendoza. Esta cuenta se deberá crear en VPN2 de Mendoza (lo hace el propio asistente de configuración)

Y “por fin, fin” :-)

Podemos observar que se ha creado una conexión llamada Mendoza. Entremos a sus propiedades para ver qué ha configurado

Algo que seguramente necesitemos cambiar: que la tome como conexión permanente, esto es que no la desconecte por falta de actividad, lo que en muchos casos acarrearía que cambiara la dirección IP y tengamos que hacer el cambio en la interfaz.

Es altamente conveniente que veamos con el ISP de tener conexiones con IP fija

Otra a cambiar: podemos tranquilamente deshabilitar la autenticación CHAP, por insegura, y porque no se utilizará

Dejamos VPN1, y vamos a VPN2

 

 

Lo siguiente solamente en VPN2

El proceso de configuración es totalmente análogo, salvo algunas pantallas donde indicaré los cambios respecto a lo hecho en VPN1

Ahora la conexión es desde Mendoza a BAires

Ahora es la dirección IP externa de VPN1

Ahora incluiremos la red que tenemos en BAires

En este caso es BAires (VPN1) la cuenta que llamará a Mendoza (VPN2)

Y Mendoza (VPN2) la cuenta que llamará a BAires (VPN1)

Estuvimos nombrando que hay que crear cuentas locales tanto en VPN1 como en VPN2 (Mendoza y BAires respectivamente). En versiones anteriores del sistema operativo esto debíamos hacerlo en este momento, pero con Windows Server 2012 esto ya lo ha hecho el asistente anterior

Si entramos en Computer Management de cada servidor veremos que se han creado las cuentas, y se les han marcado las opciones que no caduque la contraseña y que puedan ingresar por VPN

Muestro la cuenta creada en VPN1 (BAires), pero es análogo en VPN2 (Mendoza)

 

Ahora llegó el “momento de la verdad” ¿probamos si funciona?

Unos instantes de suspenso :-)

¿O tenías dudas? :-)

Debemos proceder análogamente en VPN2 y verificar que conecte

 

¿Y todo esto que hicimos funcionará realmente?

Comencemos probando desde DC1 si podemos acceder a Internet. Debemos usar dirección IP porque no hemos hecho la infraestructura de DNS necesaria

¡Exito!

¿Y podrá conectarse DC2 con DC1? ¡por supuesto!

 

Bueno, esto llegó hasta acá, ya tenemos dos sitios conectados por VPN y verificada tanto la conectividad entre los sitios como el acceso a Internet

Esta estructura la usaré en la siguiente nota, donde procederemos a promocionar a DC2 como Controlador de Dominio del Dominio existente, y lo más importante crearemos la estructura de Sites, Subnets y Links necesaria para el correcto funcionaiento de nuestro Dominio

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • jecavallin  On 03/02/2013 at 22:21

    Excelente . Saludos

    • Delprato  On 04/02/2013 at 07:21

      ¡Gracias Jorge!

    • VicoRM  On 26/04/2016 at 23:35

      Hola buenas noches una consulta como puedo priorizar los paquetes dentro de la vpn en esta estructura de windows server?

  • Jorge Cavallin  On 04/02/2013 at 16:37

    Hola. Disculpa el atrevimiento – Ya que se esta en una nueva version de SO , estaría bueno una refrescada que pasa en AD , cual es su base de datos , que datos se guarda en la misma , catalogo global , donde se guarda y que motor lo hace replicar , lo mismo , como funsiona el sysvo y quien lo replica . saludos

    • Delprato  On 04/02/2013 at 17:03

      Hola Jorge, ningún atrevimiento, al contrario te agradezco las ideas para nuevas notas
      En general estoy dedicándole más tiempo a los HowTo/Demos porque veo que tienen mucha más actividad que las notas explicativas/teóricas
      Mi ocupación formal es capacitación, y cada vez veo más que lamentablemente a la mayoría le interesa resolver un tema aunque no comprenda cómo funciona :-(
      Aunque también creo que es algo incentivado por Microsoft. Casi siempre hay un asistente que con darle siempre “next, next, …” todo queda funcionando. Después, vienen los problemas cuando no es la configuración necesaria el caso

      Pero igual gracias, tengo por ahora dos notas casi listas que están relacionadas con esto sobre configuración de Sites de AD, y el uso de los RODC (Read Only Domain Controllers)

      Respecto a la actualización a W2012, el tema es que desde el punto de vista Active Directory, los cambios más grandes están expuestos en las notas, por ejemplo todo el apoyo a virtualización, el resto digamos que no tiene grandes cambios. Igual como comentaba antes, voy a ver de preparar algunas notas sobre funcionamiento

      • Jorge Cavallin  On 06/02/2013 at 23:14

        Hola , muchas gracias por tu respuesta . Ya que estas en el tema favor de mencionar esto : http://support.microsoft.com/kb/944043/es , puesto que en entornos de dominios con XP y 2003 es fundamenta la aplicación del paquete de compatibilidad de Windows Server 2008 dominio de sólo lectura (RODC) . Saludos y muy bueno lo que hacen

      • Delprato  On 07/02/2013 at 07:54

        Lo tendré en cuenta gracias
        Parece que haz tenido problemas justamente con eso :-)

      • Jorge Cavallin  On 07/02/2013 at 16:48

        Hola si con el tema de los RODC , estoy con un temita desde hace varios meses por no haber leído lo suficiente . ;))

      • Delprato  On 07/02/2013 at 19:01

        No sé si llego hoy, pero seguro durante el fin de semana sale el de Sites, que es lo que da el motivo para los RODCs

        Preguntá por acá si querés, y puedo ayudar… , en lugar de aprobar el post te respondo al correo

      • Jorge Cavallin  On 08/02/2013 at 10:44

        Ok , muchas gracias . La parte fuerte la esta haciendo un colega de MS contratado al respecto (ADRAP + TAM + Premier)

      • Delprato  On 08/02/2013 at 12:17

        Bien!

  • CARLOS VIDAL  On 05/02/2013 at 18:26

    Muy bueno, yo necesito hacer algo similar y a penas empiezo asimilar algunos conceptos VPN, Servidor etc.; mi necesidad es tener acceso a la información generada y guardada en los servidores, ubicados en ciudades diferentes.. la pregunta seria esta conexión que explicas, aplica y me sirve para satisfacer mi necesidad??..

    • Delprato  On 05/02/2013 at 19:42

      Hola Carlos, la conexión entre sitios es el principio, es lo que da conectividad de red, o para decirlo más fácilmente es lo que permite que máquinas que están en diferentes sitios se puedan conectar
      Luego lo de poder guardar y acceder va a depender de otras cosas como si es ambiente de grupo de trabajo o dominio
      Influyen mucho el ancho de banda de la conexión a Internet, la capacidad hardware de los servidores, etc. etc.

  • Roberto  On 25/02/2013 at 16:05

    Hola. Me ha gustado mucho, y acostumbrado al next, next… no he llegado a entender ciertos conceptos.
    No entendido porque las redes VPN tienen que estar en un rango diferente de las redes de las delegaciones. ¿solo se necesitan para los servidores de acceso?
    He intentado reproducir esta VPN, solo he realizado la mitad, ya se me conectan las redes, pero solo se ven las IPs de los servidores de VPN, el resto de IPs no se alcanzan. Me esta fallando el ruteo y no se donde.

    Si tienes tiempo…. gracias.

    • Delprato  On 25/02/2013 at 16:32

      Hola Roberto, por las dudas aclaro :-)
      Cada sitio debe tener una red diferente para que se produzca el “ruteo” entre la central y las delegaciones

      Respecto a la direcciones de red de la VPN propiamente dicha es otro tema
      Cuando se instala un servidor VPN se puede configurar para que dé a los clientes de la VPN direcciones en el mismo rango interno, o en otro cualquiera.
      De las dos formas funciona, en el primer caso funciona como “ARP Proxy”, y en el segundo como Router
      En general prefiero el segundo, porque al estar en una red diferente se puede controlar el tráfico por filtrado de paquetes en base a dirección IP y protocolo

      En el esquema que hice yo tanto VPN1 como VPN2, no forman parte del Dominio, luego no interactúan para nada con éste
      Si fueran parte del Dominio, y funcionaran como “ARP Proxy” entonces sí habría que tener cuidado porque VPN2 tendría además de su IP de la delegación, una dirección del sitio central, con lo cual pueden producirse inconvenientes cuando busque a los Controladores de Dominio

      Agrego que me faltó respecto a la conexión y “ver”. Revisa que por omisión, en la interfaz externa crea filtrado estático de paquetes permitiendo sólo los protocolos de VPN
      Pero entre la VPN y la red interna no hay ningún filtrado, salvo el propio cortafuegos

      • Roberto  On 25/02/2013 at 18:07

        Gracias por la contestación y no te hago mas preguntas porque es tarea mia el “estudiar” :) mi reto con esto y por lo que di con tu blog es unir dos delegaciones (mi casa y la de mi madre) en un mismo dominio y poder formar un cluster, Por eso necesito un dominio y luego otro tema sera las IPs del cluster.

        SL2

      • Delprato  On 25/02/2013 at 19:47

        Unir las dos “delegaciones” en un Dominio, no deberías tener ningún problema
        Pobre tu madre :-)

        Ahora eso de cluster… ¿Failover Cluster? ¿ambos nodos en el mismo sitio?
        Porque se pueden armar Failover Cluster Multi Site, pero se necesita hardware específico

        Acá tienes como para comenzar el cluster
        Windows Server 2012: Failover Cluster para Hyper-V (Parte 1 – Creando la Infraestructura) | WindowServer:
        https://windowserver.wordpress.com/2012/11/22/windows-server-2012-failover-cluster-para-hyper-v-parte-1-creando-la-infraestructura-2/

        Tiene ya escritas cinco notas, desde la 1 a la 6

      • v0o0gu3  On 07/04/2013 at 14:45

        Hola Guillermo, buenas tardes y gracias por tus grandes notas sobre Windows Server.
        Estoy intentando hacer esta pregunta en:

        http://social.technet.microsoft.com/Forums/es-ES/wsnies/thread/ee55b254-566d-4de0-a2d1-a9edefe52c56/
        Pero por errores en la página no puedo citar o responder a una de tus entradas, por eso lo escribo aquí y de antemano te doy mil gracias.

        Estoy siguiendo esta guía paso a paso para intentar hacer un laboratorio de pruebas pero no consigo tener visibilidad entre los dos sites.

        La diferencia adicional que tengo respecto a tu configuración DC1-VPN1-Internet-VPN2-DC2 es que tengo los router del proveedor ISP entre medias: DC1-VPN1-Router Adsl 1-Internet-Router Adsl 2-VPN2-DC2.

        Como configuración IP tengo la siguiente:
        DC1
        IP_LAN: 10.10.100.1 PE: 10.10.100.2
        VPN1
        IP_WAN: 192.168.0.2 PE: 192.168.0.1 DNS: 8.8.8.8
        IP_LAN: 10.10.100.2
        Router Adsl 1
        IP_WAN: (la ip pública del ISP)
        IP_LAN: 192.168.0.1
        DC2
        IP_LAN: 10.10.101.1 PE: 10.10.101.2
        VPN1
        IP_WAN: 192.168.1.2 PE: 192.168.1.1 DNS: 8.8.8.8
        IP_LAN: 10.10.101.2
        Router Adsl 1
        IP_WAN: (la ip pública del ISP)
        IP_LAN: 192.168.1.1
        A la hora de crear las interfaces demand dial en VPN1 y VPN2 apunto a las direcciones públicas de los router Adls 1 y 2.
        La conexión aparece como conectado en ambos sites.
        He redirigido el puerto 1723 en ambos routers a la IP_LAN de VPN1 y VPN2 192.168.X.X
        He comprobado que los router que tengo soportan vpn_passtrough y soportan el protocolo GRE 47.

        Pero cuando quiero hacer ping desde DC1 a DC2, por ejemplo:
        DC1: ping 10.10.101.1 no responde.
        DC1: ping 10.10.100.1 no responde.

        Lo que si funciona en los dos sites es el NAT hecho por VPN1 y VPN2 para compartir el acceso a internet de la interfaz conectada a internet a la interfaz de la LAN.
        Como IPs que asignan VPN1 y VPN2 cuando establecen la conexión he puesto IPs del rango de la LAN.
        Los firewall de todos los servidores están apagados.

        Tengo que crear alguna entrada adicional de rutas estáticas para que tengan visibilidad ambos sites?
        Estoy un poco perdido.
        Espero vuestra ayuda.

        Gracias y un saludo.

      • Delprato  On 07/04/2013 at 18:20

        La redirección en los Router ADSL hay que hacerla hacia la dirección externa de los VPN, que por lo que interpreto me parece que ahí está el problema
        Es decir, todo lo que llegue a la IP externa del Router, sea redirigido a la interfaz *externa del servidor VPN*

        Respecto a las IPs para las VPNs, creo que el artículo lo dice, a mí me gustan más rangos independientes, es más fácil si quieres filtrar y además es más claro si hay que resolver problemas, pero usando IPs locales de cada sitio debería funcionar igual

        El tema es que si usas IPs diferentes, el VPN funciona como Router, y si son IPs locales es como si fuera un “Proxy ARP” que a veces da algún problema

  • v0o0gu3  On 08/04/2013 at 11:34

    Hola Guillermo, buenas tardes.

    Gracias por la respuesta.
    Tengo dudas de cómo hacerlo realmente. No sé si tengo que crear una ruta estatica dentro de las reglas del router ADSL o dentro del rol de RRAS hacer esa misma ruta estática.

    Si es dentro del router. Entiendo que por defecto estará redirigido todo a la IP_LAN del router, en este caso 192.168.0.1. Tendría que crear una ruta que redirija a la IP_LAN del servidor VPN 192.168.0.2??

    Si es en el rol. Cómo debería crear esta ruta estática o respecto a qué interfaz?

    Espero puedas explicarme un poco porque creo que no tengo nada claro los conceptos básico de rutas.

    Gracias y un saludo.

    • Delprato  On 09/04/2013 at 07:49

      En cada Router hay que hacer que todo lo que llegue a “Dirección IP Pública – Protocolo TCP-1723” se envíe a “Dirección IP Externa TCP-1723” del servidor VPN

      Los que manejan la conectividad entre los sitios son los servidores VPN, y el propio asistente de configuración pregunta cuál es “la red del otro sitio”, así que ya quedan definidas las rutas necesarias. No hay que hacer nada en el Router

      Fíjate que en la figura que está luego del párrafo que pego a continuación está la indicación de la red del otro sitio
      “El próximo paso nos preguntará por la red de destino, para agregar la correspondiente entrada en la tabla de ruteo. Agregamos la red que estamos usando en Mendoza”

      • v0o0gu3  On 09/04/2013 at 10:54

        Hola Guillermo, muchisimas gracias por la respuesta.

        Pues viendo la indicación que me haces. La configuración que tengo es la correcta y tal cual como tienes en esta nota.

        Tengo creado una regla de redirección de puertos en cada ruter a la IP de la de interfaz conectada al router de los servidores vpn del puerto 1723.

        Si no fuera así no se conecectaría con la conexión demand dial. y si lo hace.

        También me aparece la regla de ruta de las ips del rango LAN remoto.

        Pero cada vez que quiero hacer ping desde un cliente a la ip del rango LAN remoto, me da tiempo de espera agotado para la solicitud y eso que la regla de ruteo que se crea por defecto es sobre la interfaz de marcada.

        Ejemplo de la regla: 10.10.101.0 255.255.255.0 interfaz=demand dial

        Hago tracert desde un cliente a una IP LAN remoto, y la traza va a hasta la puerta de enlace, que es el servidor VPN, pero a partir de ahí ya da TIME OUT.

        El ping no responde ni siquiera haciendo ping desde los servidores VPNs a la IP de otro servidor vpn, ni las IPs del pool establecido en la configuración 172.x.x.x ni con las IP de la LAN 10.10.x.x

        Me encuentro en un punto en el que no veo en que punto de la configuración está fallando.

        Para comprobar si el tunel está establecido, basta con ver que la interfaces demand dial están conectadas no es así?

        Espero tu ayuda. Gracias y un saludo.

        PD: he creado una entrada en en technet para no llenar está nota de preguntas técnica.

        http://social.technet.microsoft.com/Forums/en-US/windowsserver2008r2branchoffice/thread/1bb0be27-3b66-4c04-b869-0d3d8f1ce2c8

      • Delprato  On 10/04/2013 at 08:15

        Respondo por acá porque veo que lo haz puesto en los foros Technet en inglés, y no en los de español :-)

        Para saber si la VPN está realmente conectada, lo puedes ver en la consola RRAS, las interfases deben estar como “Connected” ¿es así?

        Segundo punto a revisar ¿cuál es la puerta de enlace de los clientes en cada site? recuerda que debe ser la interfaz interna del servidor VPN?
        Porque el cliente tiene que saber que debe dirigir la respuesta al servidor VPN local

        Y tercer que es típico del error que comentas ¿está permitido el PING en el cortafuegos de los clientes? porque a mí me ha pasado :-)
        Prueba deshabilitando, aunque sea momentáneamente el firewall de cada cliente

  • v0o0gu3  On 10/04/2013 at 09:03

    Hola Guillermo, buenas tardes.

    En la consola de RRAS de ambos servidores VPN (VPN1 y VPN2) la interfaz demand dial aparece como conectada. He revisado los puertos en la misma consola. Y aparece como activo un puerto PPTP en cada servidor. Obtienen IPs remotas del pool creado en la configuración VPN. que de hecho al final cambie los rangos y los puse como indicabas en la nota y los puese de rangos 172.X.X.X diferences a los de WAN Interface(192.x.x.x) y LAN. (10.X.X.X)

    Los firewall, están desactivados en todas las máquinas para ahorrarme problemas. Tanto en los servidores como en los clientes. Una vez que funcione los habilitaré y crearé las reglas pertinentes.

    Una prueba que he realizado ha sido hacer un tracert desde cualquiera de los servidores VPN a una IP de la LAN remota, por ejemplo: tracert 10.X.X.X, pero no timepo agotado para la solicitud.

    He comprobado que se crease la ruta estatica 10.X.X.X en la interfaz de la conexión de marcado y es correcta en ambos servidores.

    Una observación que tengo que hacer, es que cuando hago la conexión sólo desde un punto, sin demand dial, es decir, creado una conexión vpn remota desde un cliente y de esta manera si soy capaz de hacer ping a todas las máquinas remotas y desde las remotas al cliente que se conecta. Por lo que deduzco que la conexión funciona correctamente y los routers ADSL, permiten el trafico GRE.

    No sé en que punto de la configuración estoy fallando. Porque parace que las máquinas no entiendes que el trafico debe ir por la interfaz demand dial.
    De hecho cuando me preguntas respecto a la puerta de enlace de las maquinas de la LAN y la puerta de enlace es la IP_LAN del servidor VPN, ya que está haciendo correctamente el NAT y comparte bien internet en las máquinas de la LAN, pero el tema del túnel VPN no está funcionando.

    Tendré que habilitar algo como NPS o alguna politica de red?? En principio no debería de ser así no?

    Espero tu respuesta. Gracias y un saludo.

    • Delprato  On 10/04/2013 at 11:02

      Reviso, pienso, pienso, pienso, … porque por todo lo que comentas está todo correcto
      Sigo pensando, ahhhhhhhhhhhhhhhh!!! a ver si es esto
      Creo recordar que un post anterior nombraste que los VPNs eran W2008-r2 ¿es asi?

      Si es eso ya lo encontramos :-)

      En W2008-R2 o anteriores, cuando configuras VPN y durante el asistente le indicas cuál es la interfaz externa, por omisión hay un “checkbox” que dice algo así como habilitar la seguridad. La consecuencia de eso, es que sobre ambas interfases pone filtrado de paquetes permitiendo *solamente* los protocolos de VPN

      En RRAS, en las propiedades de cada interfaz, tienes dos botones “Inbound Filters” y “Outbound Filters” (creo que se llaman así). Ingresa en cada uno de ellos y elimina los filtros

      Dime si era ese el problema

      • v0o0gu3  On 10/04/2013 at 12:02

        Buenas tardes Guillermo, gracias de ante mano por estar tan disponible e intentar solucionar mis “problemas”

        Bueno, te comento:

        Tengo un error muy grande desde el principio, que ha sido sólo probar a hacer ping a la dirección IP de la LAN remota, cosa que nunca funciona, da Time out.

        La segunda prueba que he hecho siempre ha sido hacer una traza hasta la IP de la LAN remota, cosa que tampoco funciona y da time out.

        Pero ahora se me ha ocurrido crear un recurso compartido en un servidor del SITE 1 y resulta que desde una máquina del SITE 2 puedo acceder a ese recurso compartido de manera \\IP_LAN_REMOTA.

        He probado a hacer escritorio remoto a la IP_LAN_REMOTA y también funciona.

        Entonces por lo que deduzco todo funciona correctamente y lo que me ha vuelto loco ha sido el tema de ping y tracert.

        Ahora me hago una pregunta. Por qué el ping y el tracert no funcionan? porque estos dos comandos no se dirigen por la interfaz demand dial y protocolos como RDP(3389) sí se dirigen?

        Se me escapa conceptualmente esta teoría.

        Respecto a los Filtros de entrada y salida, he revisado en todas las interfaces de RRAS y no hay ningún filtro creado.

        Podría empezar a implentar el Active Directory con esta configuración? o tendría problemas a la hora de querer replicar Active Directory y DNS de un Site a otro?

        Puede que se haya creado alguna regla (invisible para mí) al crear el recurso compartido y haya empezado todo a funcionar?

        Gracias por tu ayuda y espero que puedas contestarme a estas dudas que me surgen de nuevo.

        Un saludo.

      • Delprato  On 10/04/2013 at 12:24

        :D :D :D
        Si todo funciona menos PING y TRACERT es casi seguro que lo que se está bloqueando en algún lado es el protocolo ICMP, pero eso te toca a tí ir máquina por máquina y ver dónde :)

        Para poder tener ambiente de dominio a través de la VPN hay varias consideraciones
        – ICMP de los clientes a los DCs es requerido. Los clientes (salvo W8) lo necesitan durante el inicio de sesión porque lo usan para detectar si están en una “red lenta” y de acuerdo a eso es cómo aplican las GPOs
        – Una VPN siempre es lenta por el consumo de recursos que implica cifrar / descifrar la información. Consume mucho procesador y aumenta el tráfico
        – Cuidado con las conexiones asimétricas (tipo ADSL) porque “el que manda” es el menor que suele ser el de “subida”
        – Se debe armar en AD la correspondiente infraestructura de Sites, Links y Subnets. Para explicarle al sistema la infraestructura física
        – Depende también del tamaño del AD

        Pero como poder, se puede perfectamente

  • v0o0gu3  On 10/04/2013 at 13:22

    Buenas tardes, Guillermo.

    Muchas gracias por toda tu ayuda y sobre todo por la cantidad de notas que tienes sobre Windows Server.

    Son mi Biblia!! :-)

    No sé porque motivo ahora desde los cliente hace trazas y responde al ping, por lo que el protocolo ICMP está funcionando correctamente y no hay nada que lo bloquee.

    Es posible que al haber creado un recurso compartido en una máquina remota e intentar acceder a ese recurso haya empezado a funcionar todo o son paranoias mías?

    Respecto a la configuración que quiero hacer de Active Directory, es sencilla, ya que contará con dos Sites Geográficos y contará con un controlador de dominio principal en el Site1 y quiero hacer la promoción a un segundo controlador de dominio en el Site2.
    Ambos tendrás DNS, que entiendo que tengo que poner IP DNS a los controladores en los clientes de ambos sites no? También debo de poner la DNS en la interfaz LAN de los servidores VPN o no es necesario?

    Ahora me voy a por tu siguiente nota: Configurando Sites en AD. y empezaré a crear los sitios, subnets, etc.

    Una pregunta: Tengo un dominio Pepito.es que la gestión de DNS la hace una empresa. Si yo quiero crear un dominio que sea casa.pepito.es, tendré pobremas a la hora de que yo no estoy en el bosque pepito.es y no tengo permisos a ese dominio al gestionarlo una empresa? tendría que llamarlo pepito.local para que no haya problemas en la promoción?

    Gracias y un saludo.

    • Delprato  On 11/04/2013 at 08:47

      No tiene relación que al crear un compartido si habilite ICMP, debe haber habido algún otro tema, quizás alguna información incorrecta “cacheada”, la verdad no sé :-(

      Cuidado con el tema nombre de “Dominio AD”, es una decisión clave y que si luego decides cambiarlo, no es una operación trivial, puede llegar a dar bastante trabajo
      No es lo mismo “Dominio de Internet” que “Dominio de AD”. Se puede usar el mismo, o diferente, o como planteas un subdominio del de prescencia en Internet. En este último caso es importante que en los DNSs públicos no figure la delegación al “subdominio AD”. No necesitas ningún permiso sobre el dominio “pepito.es”

      Cualquiera de las tres opciones planteadas es válida y funciona, aunque luego en cada una se tengan que hacer configuraciones diferentes para resolver nombres externos. Lo importante es que el nombre contenga por lo menos un “.” (punto) para no tener problemas con la resolución DNS

  • joncris  On 02/08/2013 at 01:08

    soy nuevo en esto, el servidor vpn reemplaza el router en las sedes o como es la conexión? es que sucede lo siguiente un cliente que ya tiene toda su red funcionando quiere un servicio en un data center que yo estoy montando, el servicio requiere de la confirmación del dominio del cliente y este se encuentra en su sede lejos de mi data center, considero que la solución es una vpn pero no veo como funciona con la red ya montada si entra en conflicto con la router o algo similar y mas aun como lo configura dentro del data para que no interfiera con los demas equipos. agradeceria si alguno tiene un diagrama mucho mas detallado (soporte1@pcypartes.com), gracias de antemano.

  • Victor  On 11/03/2016 at 20:23

    Hola buenas noches, tengo una consulta, de acuerdo a esta infraestructura que hiciste de VPN sitio a sitio con windows server 2012 en ambas VPN puedes colocarle QoS, para el manejo del ancho de banca, asi como las prioridades de videollamas, consulta a una base de datos, como se podria realizar??

    • Guillermo Delprato  On 12/03/2016 at 09:39

      Hola Victor, estos son comentarios sobre la nota y cuando puedo oriento o ayudo, pero no es un sitio consultoria ni soporte
      Sólo aclararte que los que buscas no creo que lo puedas realizar con un servidor Windows VPN

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: