Una de las más usadas configuraciones en la pequeña y mediana empresa es conectar los diferentes sitios geográficos que poseen a través de Internet usando VPNs. No es en general la mejor de todas las opciones pero es la que está al alcance en forma económica para todos los presupuestos
Hace ya un tiempo hice una nota similar pero con Windows Server 2008-R2, y me he decidido a hacer esta con Windows Server 2012 porque hay varias diferencias y por supuesto mejoras
Aprovecharé también, y ya que es lo más común en la pequeña empresa que al tener poca disponibilidad de servidores, utilicen el mismo equipo para hacer la VPN y proveer conectividad a Internet a los clientes
Es un opcional si quieren hacerlo esto último, sólo lo mostraré porque está prácticamente incluido en la configuración objeto, esto es conectar dos sitios geográficos diferentes a través de VPN, y por su uso generalizado
Lo que sí es importante, es que estos servidores que crearán la conexión no sean Controladores de Dominio ya que es un riesgo muy grande de seguridad
Inclusive, y por seguridad, en la configuración que mostraré, los dos servidores VPN no pertenecerán a ningún Dominio, simplemente estarán en grupo de trabajo (Workgroup), ya que durante la autenticación se usarán cuentas locales, y en caso de compromiso de las mismas, no es lo mismo una cuenta local de un servidor que una del Dominio
Veamos el diagrama con las máquinas que utilizaremos. La máquina ISP es totalmente opcional y se utilizará sólo si quieren asegurarse que la conexión compartida a Internet funciona bien
El hecho de estar usando un Controlador de Dominio, es sólo porque luego usaré la misma infraestructura para una nota que incluya la configuración de Sitios de Active Directory. Lo mismo vale para DC2 que en realidad es, por ahora sólo un servidor miembro del Dominio, pero no es Controlador de Dominio
De todas formas repasemos la configuración de las máquina utilizadas
DC1 – Windows Server 2012
Nombre: dc1.root.guillermod.com.ar
Dirección IP 192.168.1.201/24 (/24 = 255.255.255.0)
Default Gateway 192.168.1.254
Controlador de Dominio (no necesario para esta demostración)
VPN1 – Windows Server 2012
Nombre: VPN1
Interfaz Interna:
Dirección IP 192.168.1.254/24
Interfaz Externa:
Dirección IP 131.107.0.1/16
Deshabilitados todos los protocolos, salvo TCP/IPv4
Deshabilitado NetBIOS sobre TCP/IP
No tiene ningún Default Gateway (Puerta de Enlace)
ISP – Windows Server 2012 (Opcional)
Nombre: ISP
Dirección IP 131.107.0.100/16
Instalado Web Server, sin ninguna configuración extra
VPN2 – Windows Server 2012
Nombre: VPN2
Interfaz Interna:
Dirección IP 192.168.2.254/24
Interfaz Externa:
Dirección IP 131.107.0.2/16
Deshabilitados todos los protocolos, salvo TCP/IPv4
Deshabilitado NetBIOS sobre TCP/IP
No tiene ningún Default Gateway (Puerta de Enlace)
DC2 – Windows Server 2012
Nombre: dc2.root.guillermod.com.ar
Dirección IP 192.168.2.202/24
Default Gateway 192.168.2.254
Servidor miembro del Dominio (no necesario para esta demostración)
IMPORTANTE: estos pasos los debemos ejecutar tanto en VPN1 como en VPN2
Comenzaremos agregando los roles necesarios de la forma habitual
Acá vemos una de las diferencias con Windows 2008-R2 ahora está dentro de un rol nuevo “Remote Access”
Por supuesto que agregamos la funcionalidad adicional requerida
Para el que le interese el tema, a mi sí, vean los comentaros que ya hice en la nota Compartir Conexión a Internet sobre la instalación forzada del IIS :-(
Si quieren configurar también el acceso compartido a Internet, deben marcar además la opción “Routing”
Cuando finaliza la instalación nos ofrece, y aceptaremos, la configuración mediante asistente
Demorará unos momentos en aparecer el siguiente cuadro, y revisen porque a veces queda tapado por otra ventana. Como no implementaremos en esta ocasión Direct Access, marcamos la tercera opción
Nos abrirá la consola de “Routing and Remote Access” donde procederemos a la configuración, usando el asistente que accedemos con botón derecho
Si conjuntamente con VPN quieren configurar el uso compartido de Internet sigan el asistente. Si no les interesara el compartir Internet, marque la primera opción “Remote access (Dial-up or VPN)”
Muy importante, marquen cuál es la interfaz externa (la que conecta a Internet)
Debemos asignar el rango de direcciones IP que se asignarán a la VPN, como siempre yo prefiero un rango separado de la red
Se van a necesitar dos redes VPN, una para la conexión desde BAires (Buenos Aires) hacia Mendoza, y otra para Mendoza hacia BAires
Por lo tanto:
En VPN1 elegí 172.16.0.1 a 172.16.0.2
En VPN2 elegí 172.17.0.1 a 172.17.0.2
Una dirección del rango la necesita el servidor que recibe la VPN, y otra para asignarsela al servidor que se conecta.
Por lo tanto tomando sólo 2 IPs me aseguro que no se pueda conectar otro. Si tuvieran más de un sitio, o esperaran que se conecten usuarios deberían asignar más direcciones al rango: una para el servidor y una más por cada conexión esperada
Como lo usaré en un ambiente de Dominio Active Directory me tengo que asegurar que no interfiera en la resolución de nombres, ni en la asignación de IPs, por lo tanto elijo la segunda opción
Por supeusto que en este caso no usaremos RADIUS
Y finalizamos
Por supuesto, aunque no lo usemos siempre aparece el mensaje de DHCP Relay Agent
Podemos observar que ha quedado configurada la opción de compartir Internet
Ya podrían probar el acceso desde DC1 al servidor web ISP, yo lo mostraré al final, cuando probamos todo
Atención que ahora viene la parte más delicada, y donde se suelen cometer los errores. Por ahora lo único que hemos hecho es la instalación y configuración de los servidores VPN, ahora necesitamos configurar las conexiones entre los dos sitios
Vamos a aclara algunas cosas para que luego resulte sencillo seguir los procedimientos
Yo estoy usando para la demostración dos sitios: BAires y Mendoza.
Y necesitaremos dos redes VPN: una desde BAires hacia Mendoza, y otra desde Mendoza hacia BAires ¿estamos de acuerdo? ;-)
Por lo tanto tengo que establecer credenciales para cada una de las conexiones
Cuando BAires llame a Mendoza (VPN1 llame a VPN2) utilizará un nombre de usuario local que debe ser autenticado y autorizado por VPN2.
El nombre de la conexión será el nombre de la cuenta usada para validar
O sea, cuando BAires llame, usará el usuario BAires (con contraseña) que debe ser una cuenta válida y autorizada para acceso remoto en VPN2
En VPN1 debo crear una conexión llamada BAires, y en VPN2 debe haber una cuenta local llamada BAires autorizada para VPN
Así mismo, cuando Mendoza llame a BAires, usará una conexión llamada Mendoza, cuenta que debe estar creada y autorizada en Baires
Como lo anterior no fácil de comprender hasta que uno lo hace, a partir de este momento configuraremos en forma separada cada servidor
Lo siguiente solamente en VPN1
Debemos crear la conexión, comencemos en VPN1 creando la conexión hacia Mendoza
Colocamos el nombre del sitio al que deseamos conectarnos
Usaremos VPN
Ya que no tenemos certificados de máquina utilizaremos como protocolo PPTP
Indicamos la dirección IP externa del servidor de Mendoza
Y si deseamos que Mendoza también pueda inciar conexión marcamos “Add a user account so a remote router can dial in”
El próximo paso nos preguntará por la red de destino, para agregar la correspondiente entrada en la tabla de ruteo. Agregamos la red que estamos usando en Mendoza
Ahora nos solicita las credenciales que utilizará Mendoza cuando llame a BAires. Con esto creará en VPN1 una cuenta local autorizada para acceder por VPN
Debemos asignarle la contraseña correspondiente
Ahora nos está solicitando las credenciales que usará BAires para conectarse hacia Mendoza. Esta cuenta se deberá crear en VPN2 de Mendoza (lo hace el propio asistente de configuración)
Y “por fin, fin” :-)
Podemos observar que se ha creado una conexión llamada Mendoza. Entremos a sus propiedades para ver qué ha configurado
Algo que seguramente necesitemos cambiar: que la tome como conexión permanente, esto es que no la desconecte por falta de actividad, lo que en muchos casos acarrearía que cambiara la dirección IP y tengamos que hacer el cambio en la interfaz.
Es altamente conveniente que veamos con el ISP de tener conexiones con IP fija
Otra a cambiar: podemos tranquilamente deshabilitar la autenticación CHAP, por insegura, y porque no se utilizará
Dejamos VPN1, y vamos a VPN2
Lo siguiente solamente en VPN2
El proceso de configuración es totalmente análogo, salvo algunas pantallas donde indicaré los cambios respecto a lo hecho en VPN1
Ahora la conexión es desde Mendoza a BAires
Ahora es la dirección IP externa de VPN1
Ahora incluiremos la red que tenemos en BAires
En este caso es BAires (VPN1) la cuenta que llamará a Mendoza (VPN2)
Y Mendoza (VPN2) la cuenta que llamará a BAires (VPN1)
Estuvimos nombrando que hay que crear cuentas locales tanto en VPN1 como en VPN2 (Mendoza y BAires respectivamente). En versiones anteriores del sistema operativo esto debíamos hacerlo en este momento, pero con Windows Server 2012 esto ya lo ha hecho el asistente anterior
Si entramos en Computer Management de cada servidor veremos que se han creado las cuentas, y se les han marcado las opciones que no caduque la contraseña y que puedan ingresar por VPN
Muestro la cuenta creada en VPN1 (BAires), pero es análogo en VPN2 (Mendoza)
Ahora llegó el “momento de la verdad” ¿probamos si funciona?
Unos instantes de suspenso :-)
¿O tenías dudas? :-)
Debemos proceder análogamente en VPN2 y verificar que conecte
¿Y todo esto que hicimos funcionará realmente?
Comencemos probando desde DC1 si podemos acceder a Internet. Debemos usar dirección IP porque no hemos hecho la infraestructura de DNS necesaria
¡Exito!
¿Y podrá conectarse DC2 con DC1? ¡por supuesto!
Bueno, esto llegó hasta acá, ya tenemos dos sitios conectados por VPN y verificada tanto la conectividad entre los sitios como el acceso a Internet
Esta estructura la usaré en la siguiente nota, donde procederemos a promocionar a DC2 como Controlador de Dominio del Dominio existente, y lo más importante crearemos la estructura de Sites, Subnets y Links necesaria para el correcto funcionaiento de nuestro Dominio
WindowServer 
Comentarios
Excelente . Saludos
¡Gracias Jorge!
Hola buenas noches una consulta como puedo priorizar los paquetes dentro de la vpn en esta estructura de windows server?
Hola VicoRM, que yo sepa, con el sistema operativo no se puede hacer
Hola. Disculpa el atrevimiento – Ya que se esta en una nueva version de SO , estaría bueno una refrescada que pasa en AD , cual es su base de datos , que datos se guarda en la misma , catalogo global , donde se guarda y que motor lo hace replicar , lo mismo , como funsiona el sysvo y quien lo replica . saludos
Hola Jorge, ningún atrevimiento, al contrario te agradezco las ideas para nuevas notas
En general estoy dedicándole más tiempo a los HowTo/Demos porque veo que tienen mucha más actividad que las notas explicativas/teóricas
Mi ocupación formal es capacitación, y cada vez veo más que
lamentablementea la mayoría le interesa resolver un tema aunque no comprenda cómo funciona :-(Aunque también creo que es algo incentivado por Microsoft. Casi siempre hay un asistente que con darle siempre «next, next, …» todo queda funcionando. Después, vienen los problemas cuando no es la configuración necesaria el caso
Pero igual gracias, tengo por ahora dos notas casi listas que están relacionadas con esto sobre configuración de Sites de AD, y el uso de los RODC (Read Only Domain Controllers)
Respecto a la actualización a W2012, el tema es que desde el punto de vista Active Directory, los cambios más grandes están expuestos en las notas, por ejemplo todo el apoyo a virtualización, el resto digamos que no tiene grandes cambios. Igual como comentaba antes, voy a ver de preparar algunas notas sobre funcionamiento
Hola , muchas gracias por tu respuesta . Ya que estas en el tema favor de mencionar esto : http://support.microsoft.com/kb/944043/es , puesto que en entornos de dominios con XP y 2003 es fundamenta la aplicación del paquete de compatibilidad de Windows Server 2008 dominio de sólo lectura (RODC) . Saludos y muy bueno lo que hacen
Lo tendré en cuenta gracias
Parece que haz tenido problemas justamente con eso :-)
Hola si con el tema de los RODC , estoy con un temita desde hace varios meses por no haber leído lo suficiente . ;))
No sé si llego hoy, pero seguro durante el fin de semana sale el de Sites, que es lo que da el motivo para los RODCs
Preguntá por acá si querés, y puedo ayudar… , en lugar de aprobar el post te respondo al correo
Ok , muchas gracias . La parte fuerte la esta haciendo un colega de MS contratado al respecto (ADRAP + TAM + Premier)
Bien!
Muy bueno, yo necesito hacer algo similar y a penas empiezo asimilar algunos conceptos VPN, Servidor etc.; mi necesidad es tener acceso a la información generada y guardada en los servidores, ubicados en ciudades diferentes.. la pregunta seria esta conexión que explicas, aplica y me sirve para satisfacer mi necesidad??..
Hola Carlos, la conexión entre sitios es el principio, es lo que da conectividad de red, o para decirlo más fácilmente es lo que permite que máquinas que están en diferentes sitios se puedan conectar
Luego lo de poder guardar y acceder va a depender de otras cosas como si es ambiente de grupo de trabajo o dominio
Influyen mucho el ancho de banda de la conexión a Internet, la capacidad hardware de los servidores, etc. etc.
Hola. Me ha gustado mucho, y acostumbrado al next, next… no he llegado a entender ciertos conceptos.
No entendido porque las redes VPN tienen que estar en un rango diferente de las redes de las delegaciones. ¿solo se necesitan para los servidores de acceso?
He intentado reproducir esta VPN, solo he realizado la mitad, ya se me conectan las redes, pero solo se ven las IPs de los servidores de VPN, el resto de IPs no se alcanzan. Me esta fallando el ruteo y no se donde.
Si tienes tiempo…. gracias.
Hola Roberto, por las dudas aclaro :-)
Cada sitio debe tener una red diferente para que se produzca el «ruteo» entre la central y las delegaciones
Respecto a la direcciones de red de la VPN propiamente dicha es otro tema
Cuando se instala un servidor VPN se puede configurar para que dé a los clientes de la VPN direcciones en el mismo rango interno, o en otro cualquiera.
De las dos formas funciona, en el primer caso funciona como «ARP Proxy», y en el segundo como Router
En general prefiero el segundo, porque al estar en una red diferente se puede controlar el tráfico por filtrado de paquetes en base a dirección IP y protocolo
En el esquema que hice yo tanto VPN1 como VPN2, no forman parte del Dominio, luego no interactúan para nada con éste
Si fueran parte del Dominio, y funcionaran como «ARP Proxy» entonces sí habría que tener cuidado porque VPN2 tendría además de su IP de la delegación, una dirección del sitio central, con lo cual pueden producirse inconvenientes cuando busque a los Controladores de Dominio
Agrego que me faltó respecto a la conexión y «ver». Revisa que por omisión, en la interfaz externa crea filtrado estático de paquetes permitiendo sólo los protocolos de VPN
Pero entre la VPN y la red interna no hay ningún filtrado, salvo el propio cortafuegos
Gracias por la contestación y no te hago mas preguntas porque es tarea mia el «estudiar» :) mi reto con esto y por lo que di con tu blog es unir dos delegaciones (mi casa y la de mi madre) en un mismo dominio y poder formar un cluster, Por eso necesito un dominio y luego otro tema sera las IPs del cluster.
SL2
Unir las dos «delegaciones» en un Dominio, no deberías tener ningún problema
Pobre tu madre :-)
Ahora eso de cluster… ¿Failover Cluster? ¿ambos nodos en el mismo sitio?
Porque se pueden armar Failover Cluster Multi Site, pero se necesita hardware específico
Acá tienes como para comenzar el cluster
Windows Server 2012: Failover Cluster para Hyper-V (Parte 1 – Creando la Infraestructura) | WindowServer:
https://windowserver.wordpress.com/2012/11/22/windows-server-2012-failover-cluster-para-hyper-v-parte-1-creando-la-infraestructura-2/
Tiene ya escritas cinco notas, desde la 1 a la 6
Hola Guillermo, buenas tardes y gracias por tus grandes notas sobre Windows Server.
Estoy intentando hacer esta pregunta en:
http://social.technet.microsoft.com/Forums/es-ES/wsnies/thread/ee55b254-566d-4de0-a2d1-a9edefe52c56/
Pero por errores en la página no puedo citar o responder a una de tus entradas, por eso lo escribo aquí y de antemano te doy mil gracias.
Estoy siguiendo esta guía paso a paso para intentar hacer un laboratorio de pruebas pero no consigo tener visibilidad entre los dos sites.
La diferencia adicional que tengo respecto a tu configuración DC1-VPN1-Internet-VPN2-DC2 es que tengo los router del proveedor ISP entre medias: DC1-VPN1-Router Adsl 1-Internet-Router Adsl 2-VPN2-DC2.
Como configuración IP tengo la siguiente:
DC1
IP_LAN: 10.10.100.1 PE: 10.10.100.2
VPN1
IP_WAN: 192.168.0.2 PE: 192.168.0.1 DNS: 8.8.8.8
IP_LAN: 10.10.100.2
Router Adsl 1
IP_WAN: (la ip pública del ISP)
IP_LAN: 192.168.0.1
DC2
IP_LAN: 10.10.101.1 PE: 10.10.101.2
VPN1
IP_WAN: 192.168.1.2 PE: 192.168.1.1 DNS: 8.8.8.8
IP_LAN: 10.10.101.2
Router Adsl 1
IP_WAN: (la ip pública del ISP)
IP_LAN: 192.168.1.1
A la hora de crear las interfaces demand dial en VPN1 y VPN2 apunto a las direcciones públicas de los router Adls 1 y 2.
La conexión aparece como conectado en ambos sites.
He redirigido el puerto 1723 en ambos routers a la IP_LAN de VPN1 y VPN2 192.168.X.X
He comprobado que los router que tengo soportan vpn_passtrough y soportan el protocolo GRE 47.
Pero cuando quiero hacer ping desde DC1 a DC2, por ejemplo:
DC1: ping 10.10.101.1 no responde.
DC1: ping 10.10.100.1 no responde.
Lo que si funciona en los dos sites es el NAT hecho por VPN1 y VPN2 para compartir el acceso a internet de la interfaz conectada a internet a la interfaz de la LAN.
Como IPs que asignan VPN1 y VPN2 cuando establecen la conexión he puesto IPs del rango de la LAN.
Los firewall de todos los servidores están apagados.
Tengo que crear alguna entrada adicional de rutas estáticas para que tengan visibilidad ambos sites?
Estoy un poco perdido.
Espero vuestra ayuda.
Gracias y un saludo.
La redirección en los Router ADSL hay que hacerla hacia la dirección externa de los VPN, que por lo que interpreto me parece que ahí está el problema
Es decir, todo lo que llegue a la IP externa del Router, sea redirigido a la interfaz *externa del servidor VPN*
Respecto a las IPs para las VPNs, creo que el artículo lo dice, a mí me gustan más rangos independientes, es más fácil si quieres filtrar y además es más claro si hay que resolver problemas, pero usando IPs locales de cada sitio debería funcionar igual
El tema es que si usas IPs diferentes, el VPN funciona como Router, y si son IPs locales es como si fuera un «Proxy ARP» que a veces da algún problema
Hola Guillermo, buenas tardes.
Gracias por la respuesta.
Tengo dudas de cómo hacerlo realmente. No sé si tengo que crear una ruta estatica dentro de las reglas del router ADSL o dentro del rol de RRAS hacer esa misma ruta estática.
Si es dentro del router. Entiendo que por defecto estará redirigido todo a la IP_LAN del router, en este caso 192.168.0.1. Tendría que crear una ruta que redirija a la IP_LAN del servidor VPN 192.168.0.2??
Si es en el rol. Cómo debería crear esta ruta estática o respecto a qué interfaz?
Espero puedas explicarme un poco porque creo que no tengo nada claro los conceptos básico de rutas.
Gracias y un saludo.
En cada Router hay que hacer que todo lo que llegue a «Dirección IP Pública – Protocolo TCP-1723» se envíe a «Dirección IP Externa TCP-1723» del servidor VPN
Los que manejan la conectividad entre los sitios son los servidores VPN, y el propio asistente de configuración pregunta cuál es «la red del otro sitio», así que ya quedan definidas las rutas necesarias. No hay que hacer nada en el Router
Fíjate que en la figura que está luego del párrafo que pego a continuación está la indicación de la red del otro sitio
«El próximo paso nos preguntará por la red de destino, para agregar la correspondiente entrada en la tabla de ruteo. Agregamos la red que estamos usando en Mendoza»
Hola Guillermo, muchisimas gracias por la respuesta.
Pues viendo la indicación que me haces. La configuración que tengo es la correcta y tal cual como tienes en esta nota.
Tengo creado una regla de redirección de puertos en cada ruter a la IP de la de interfaz conectada al router de los servidores vpn del puerto 1723.
Si no fuera así no se conecectaría con la conexión demand dial. y si lo hace.
También me aparece la regla de ruta de las ips del rango LAN remoto.
Pero cada vez que quiero hacer ping desde un cliente a la ip del rango LAN remoto, me da tiempo de espera agotado para la solicitud y eso que la regla de ruteo que se crea por defecto es sobre la interfaz de marcada.
Ejemplo de la regla: 10.10.101.0 255.255.255.0 interfaz=demand dial
Hago tracert desde un cliente a una IP LAN remoto, y la traza va a hasta la puerta de enlace, que es el servidor VPN, pero a partir de ahí ya da TIME OUT.
El ping no responde ni siquiera haciendo ping desde los servidores VPNs a la IP de otro servidor vpn, ni las IPs del pool establecido en la configuración 172.x.x.x ni con las IP de la LAN 10.10.x.x
Me encuentro en un punto en el que no veo en que punto de la configuración está fallando.
Para comprobar si el tunel está establecido, basta con ver que la interfaces demand dial están conectadas no es así?
Espero tu ayuda. Gracias y un saludo.
PD: he creado una entrada en en technet para no llenar está nota de preguntas técnica.
http://social.technet.microsoft.com/Forums/en-US/windowsserver2008r2branchoffice/thread/1bb0be27-3b66-4c04-b869-0d3d8f1ce2c8
Respondo por acá porque veo que lo haz puesto en los foros Technet en inglés, y no en los de español :-)
Para saber si la VPN está realmente conectada, lo puedes ver en la consola RRAS, las interfases deben estar como «Connected» ¿es así?
Segundo punto a revisar ¿cuál es la puerta de enlace de los clientes en cada site? recuerda que debe ser la interfaz interna del servidor VPN?
Porque el cliente tiene que saber que debe dirigir la respuesta al servidor VPN local
Y tercer que es típico del error que comentas ¿está permitido el PING en el cortafuegos de los clientes? porque a mí me ha pasado :-)
Prueba deshabilitando, aunque sea momentáneamente el firewall de cada cliente
Hola Guillermo, buenas tardes.
En la consola de RRAS de ambos servidores VPN (VPN1 y VPN2) la interfaz demand dial aparece como conectada. He revisado los puertos en la misma consola. Y aparece como activo un puerto PPTP en cada servidor. Obtienen IPs remotas del pool creado en la configuración VPN. que de hecho al final cambie los rangos y los puse como indicabas en la nota y los puese de rangos 172.X.X.X diferences a los de WAN Interface(192.x.x.x) y LAN. (10.X.X.X)
Los firewall, están desactivados en todas las máquinas para ahorrarme problemas. Tanto en los servidores como en los clientes. Una vez que funcione los habilitaré y crearé las reglas pertinentes.
Una prueba que he realizado ha sido hacer un tracert desde cualquiera de los servidores VPN a una IP de la LAN remota, por ejemplo: tracert 10.X.X.X, pero no timepo agotado para la solicitud.
He comprobado que se crease la ruta estatica 10.X.X.X en la interfaz de la conexión de marcado y es correcta en ambos servidores.
Una observación que tengo que hacer, es que cuando hago la conexión sólo desde un punto, sin demand dial, es decir, creado una conexión vpn remota desde un cliente y de esta manera si soy capaz de hacer ping a todas las máquinas remotas y desde las remotas al cliente que se conecta. Por lo que deduzco que la conexión funciona correctamente y los routers ADSL, permiten el trafico GRE.
No sé en que punto de la configuración estoy fallando. Porque parace que las máquinas no entiendes que el trafico debe ir por la interfaz demand dial.
De hecho cuando me preguntas respecto a la puerta de enlace de las maquinas de la LAN y la puerta de enlace es la IP_LAN del servidor VPN, ya que está haciendo correctamente el NAT y comparte bien internet en las máquinas de la LAN, pero el tema del túnel VPN no está funcionando.
Tendré que habilitar algo como NPS o alguna politica de red?? En principio no debería de ser así no?
Espero tu respuesta. Gracias y un saludo.
Reviso, pienso, pienso, pienso, … porque por todo lo que comentas está todo correcto
Sigo pensando, ahhhhhhhhhhhhhhhh!!! a ver si es esto
Creo recordar que un post anterior nombraste que los VPNs eran W2008-r2 ¿es asi?
Si es eso ya lo encontramos :-)
En W2008-R2 o anteriores, cuando configuras VPN y durante el asistente le indicas cuál es la interfaz externa, por omisión hay un «checkbox» que dice algo así como habilitar la seguridad. La consecuencia de eso, es que sobre ambas interfases pone filtrado de paquetes permitiendo *solamente* los protocolos de VPN
En RRAS, en las propiedades de cada interfaz, tienes dos botones «Inbound Filters» y «Outbound Filters» (creo que se llaman así). Ingresa en cada uno de ellos y elimina los filtros
Dime si era ese el problema
Buenas tardes Guillermo, gracias de ante mano por estar tan disponible e intentar solucionar mis «problemas»
Bueno, te comento:
Tengo un error muy grande desde el principio, que ha sido sólo probar a hacer ping a la dirección IP de la LAN remota, cosa que nunca funciona, da Time out.
La segunda prueba que he hecho siempre ha sido hacer una traza hasta la IP de la LAN remota, cosa que tampoco funciona y da time out.
Pero ahora se me ha ocurrido crear un recurso compartido en un servidor del SITE 1 y resulta que desde una máquina del SITE 2 puedo acceder a ese recurso compartido de manera \\IP_LAN_REMOTA.
He probado a hacer escritorio remoto a la IP_LAN_REMOTA y también funciona.
Entonces por lo que deduzco todo funciona correctamente y lo que me ha vuelto loco ha sido el tema de ping y tracert.
Ahora me hago una pregunta. Por qué el ping y el tracert no funcionan? porque estos dos comandos no se dirigen por la interfaz demand dial y protocolos como RDP(3389) sí se dirigen?
Se me escapa conceptualmente esta teoría.
Respecto a los Filtros de entrada y salida, he revisado en todas las interfaces de RRAS y no hay ningún filtro creado.
Podría empezar a implentar el Active Directory con esta configuración? o tendría problemas a la hora de querer replicar Active Directory y DNS de un Site a otro?
Puede que se haya creado alguna regla (invisible para mí) al crear el recurso compartido y haya empezado todo a funcionar?
Gracias por tu ayuda y espero que puedas contestarme a estas dudas que me surgen de nuevo.
Un saludo.
:D :D :D
Si todo funciona menos PING y TRACERT es casi seguro que lo que se está bloqueando en algún lado es el protocolo ICMP, pero eso te toca a tí ir máquina por máquina y ver dónde :)
Para poder tener ambiente de dominio a través de la VPN hay varias consideraciones
– ICMP de los clientes a los DCs es requerido. Los clientes (salvo W8) lo necesitan durante el inicio de sesión porque lo usan para detectar si están en una «red lenta» y de acuerdo a eso es cómo aplican las GPOs
– Una VPN siempre es lenta por el consumo de recursos que implica cifrar / descifrar la información. Consume mucho procesador y aumenta el tráfico
– Cuidado con las conexiones asimétricas (tipo ADSL) porque «el que manda» es el menor que suele ser el de «subida»
– Se debe armar en AD la correspondiente infraestructura de Sites, Links y Subnets. Para explicarle al sistema la infraestructura física
– Depende también del tamaño del AD
Pero como poder, se puede perfectamente
Buenas tardes, Guillermo.
Muchas gracias por toda tu ayuda y sobre todo por la cantidad de notas que tienes sobre Windows Server.
Son mi Biblia!! :-)
No sé porque motivo ahora desde los cliente hace trazas y responde al ping, por lo que el protocolo ICMP está funcionando correctamente y no hay nada que lo bloquee.
Es posible que al haber creado un recurso compartido en una máquina remota e intentar acceder a ese recurso haya empezado a funcionar todo o son paranoias mías?
Respecto a la configuración que quiero hacer de Active Directory, es sencilla, ya que contará con dos Sites Geográficos y contará con un controlador de dominio principal en el Site1 y quiero hacer la promoción a un segundo controlador de dominio en el Site2.
Ambos tendrás DNS, que entiendo que tengo que poner IP DNS a los controladores en los clientes de ambos sites no? También debo de poner la DNS en la interfaz LAN de los servidores VPN o no es necesario?
Ahora me voy a por tu siguiente nota: Configurando Sites en AD. y empezaré a crear los sitios, subnets, etc.
Una pregunta: Tengo un dominio Pepito.es que la gestión de DNS la hace una empresa. Si yo quiero crear un dominio que sea casa.pepito.es, tendré pobremas a la hora de que yo no estoy en el bosque pepito.es y no tengo permisos a ese dominio al gestionarlo una empresa? tendría que llamarlo pepito.local para que no haya problemas en la promoción?
Gracias y un saludo.
No tiene relación que al crear un compartido si habilite ICMP, debe haber habido algún otro tema, quizás alguna información incorrecta «cacheada», la verdad no sé :-(
Cuidado con el tema nombre de «Dominio AD», es una decisión clave y que si luego decides cambiarlo, no es una operación trivial, puede llegar a dar bastante trabajo
No es lo mismo «Dominio de Internet» que «Dominio de AD». Se puede usar el mismo, o diferente, o como planteas un subdominio del de prescencia en Internet. En este último caso es importante que en los DNSs públicos no figure la delegación al «subdominio AD». No necesitas ningún permiso sobre el dominio «pepito.es»
Cualquiera de las tres opciones planteadas es válida y funciona, aunque luego en cada una se tengan que hacer configuraciones diferentes para resolver nombres externos. Lo importante es que el nombre contenga por lo menos un «.» (punto) para no tener problemas con la resolución DNS
soy nuevo en esto, el servidor vpn reemplaza el router en las sedes o como es la conexión? es que sucede lo siguiente un cliente que ya tiene toda su red funcionando quiere un servicio en un data center que yo estoy montando, el servicio requiere de la confirmación del dominio del cliente y este se encuentra en su sede lejos de mi data center, considero que la solución es una vpn pero no veo como funciona con la red ya montada si entra en conflicto con la router o algo similar y mas aun como lo configura dentro del data para que no interfiera con los demas equipos. agradeceria si alguno tiene un diagrama mucho mas detallado (soporte1@pcypartes.com), gracias de antemano.
El servidor VPN no reemplaza a un Router, aunque ambas funcionalidades pueden estar en el mismo equipo, o separados
Un Router permite la conectividad a Internet
Una disposición muy usada es Internet-Router-VPN-RedInterna
Un servidor VPN permite que desde Internet se pueda acceder en forma segura y autenticada a la red interna
Por otro lado lamentablemente en estos comentarios referidos a la nota en cuestión no los podemos usar para asesoramiento o consultoría de cómo implementarlo para determinadas situaciones. Habría que conocer muchos más datos, y además la extensión haría imposible hacerlo acá
ok, me aclara mucho sobre como seria la secuencia de la red. agradezco la informacion.
La nota donde haz puesto el comentario se refiere a interconectar sitios diferentes a través de Internet, quizás te sean más últiles cualquiera de estas dos notas
Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 1 por PPTP | WindowServer:
https://windowserver.wordpress.com/2011/07/09/demostracin-conectando-clientes-a-la-red-por-vpn-windows-server-2008-r2-y-windows-7-parte-1-pptp-2/
Windows Server 2012: Demostración Conectando Clientes a la Red por VPN | WindowServer:
https://windowserver.wordpress.com/2012/07/29/windows-server-2012-demostracin-conectando-clientes-a-la-red-por-vpn/
Hola buenas noches, tengo una consulta, de acuerdo a esta infraestructura que hiciste de VPN sitio a sitio con windows server 2012 en ambas VPN puedes colocarle QoS, para el manejo del ancho de banca, asi como las prioridades de videollamas, consulta a una base de datos, como se podria realizar??
Hola Victor, estos son comentarios sobre la nota y cuando puedo oriento o ayudo, pero no es un sitio consultoria ni soporte
Sólo aclararte que los que buscas no creo que lo puedas realizar con un servidor Windows VPN
Hola Guillermo, antes que nada, queria felicitarte por esto que fuiste formando.
Queria hacerte una pregunta con respecto al tema abordado en esta nota.
Yo hice toda la infrastructura talcual la hiciste vos y cuestion que cuando quiero abrir el IIS, no me deja.
VPN1:
Interna: 10.0.0.41/24
Externa: 131.107.0.1/16
VPN2:
Interna: 10.0.1.41/24
Externa: 131.107.0.2/16
DC1:
interna: 10.0.0.5
Mis tarjetas de red estan configuradas tal cual lo mencionaste. Pero tengo mis dudas sobre este punto. Yo en mi PC tengo 2 tarjetas de red, la onboard y una agregada. La cuestion es que agarre una placa y le puse interna y a la otra externa. Eso esta bien? hay alguna forma de verificar cual realmente sea la interna o externa? o es simplemente realizar un cambio de nombre?
Tampoco entiendo bien el tema de que una placa «va a tener salida a internet» y «la otra no» … me podrias despejar esas dudas por favor? muchisimas gracias!!
Hola Ezequiel, no comprendo parte de la pregunta, y no puedo responder por acá, recurre, por ejemplo a los foros de Technet donde se pueden hacer más preguntas sobre la infraestructura
Por lo menos que figure dónde está conetada «mi PC», cuál es el objetivo para agregarle una segunda placa y dónde se conecta. Que sea «Interna» o «Externa» depende de a qué red la conectes y qué configuración IP tenga. A qué IIS te refieres, etc. etc.
Si ambas redes van a compartir una sola IP Publica atraves de NAT? Cual sera por defecto? ambos servidores VPN usan difefrentes IP’s Publicas logicamente. Imagino que dependiendo del sitio donde salgas a Internet, usaras la IP Pbnulica en interfaz externa de cada servidor VPN. Estoy en lo cierto?
Eso lo manejan las rutas IP que estén definidas. Si una máquina de un sitio tiene configurada como puerta de enlace a su servidor VPN local, es éste el que determina por dónde sale
Pero a tener en cuenta es que además de VPN hay que configurar el NAT para que los clientes tengan salida a Internet, que estando como VPN ya no lo permite el asistente, hay que agregarlo y configurarlo a mano
Trackbacks
[…] Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) « WindowServer […]
[…] En esta ocasión aprovecharé la infraestructura ya creada para la nota Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) […]
[…] En esta ocasión aprovecharé la infraestructura ya creada para la nota Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) […]
[…] esta demostración y casi como continuación a las dos anteriores Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) y Configurando Sites (Sitios) en Active Directory voy a desarrollar una funcionalidad poco […]
[…] esta demostración y casi como continuación a las dos anteriores Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) y Configurando Sites (Sitios) en Active Directory voy a desarrollar una funcionalidad […]
[…] esta demostración y casi como continuación a las dos anteriores Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) y Configurando Sites (Sitios) en Active Directory voy a desarrollar una funcionalidad poco […]
[…] La “más real” podríamos hacerla utilizando dos servidores y configurar una “VPN Sitio a Sitio”. Pueden ver un ejemplo de configuración con paso a paso en Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) […]
[…] La “más real” podríamos hacerla utilizando dos servidores y configurar una “VPN Sitio a Sitio”. Pueden ver un ejemplo de configuración con paso a paso en Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) […]