Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 3 de 5]

Y siguiendo con esta serie de notas, teniendo ya configurado RTR1 de la nota anterior “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 2 de 5]” en esta veremos la configuración complementaria que debemos hacer en RTR2

Y además por supuesto haremos y demostraremos la conexión por PPTP

Recuerdo la infraestructura utilizada

Para esta parte no necesitamos todavía a la máquina SERVER, haremos la configuración necesaria en RTR2, y luego probaremos la conexión entre SRV y DC1

Ya está la funcionalidad instalada en RTR2, así que comencemos con su configuración

Es todo muy similar a lo ya hecho en RTR1, pero en realidad es complementaria, en RTR1 fue hecha para que éste se conecte a RTR2, y en este caso será para que RTR2 se conecte a RTR1.

No explicaré cada una de las pantallas, ya que es lo mismo que lo anterior, aunque haré notar las diferencias específicas para que sea complementaria

Observen que he seleccionado otra red diferente. Para la “ida” era 172.16.0.0/16, y para esta, la “vuelta”, he utilizado 172.17.0.0/16

En la nota anterior, para que RTR1 llame a RTR2, usamos “Delegacion”, ahora como estamos en RTR2 y para que llame a RTR1, el nombre debe ser “Central”

Como estamos en RTR2, debemos hacer la conexión a la dirección IP de la interfaz externa de RTR1

Análogamente a lo hecho en RTR1, se debe crear la cuenta de usuario para cuando llame RTR2

Ahora debemos indicar cuál es la red que está en el sitio “Central”

E indicar la contraseña de la cuenta que utilizará RTR1 para conectarse a este equipo (RTR2)

Análogamente debemos indicar la cuenta que utilizará RTR2 para conectarse a RTR1. Cuidado con el nombre ;)

De igual forma que hicimos en RTR1, ahora cambiaremos la configuración de la interfaz virtual en RTR2

Y no olvidarse de hacer la entrada para la ruta estática que conducirá desde “Delegación” hacia “Central”

 

Vamos a deternos un poco y observar las cuentas que automáticamente ha creado el asistente, tanto en RTR1 como en RTR2

En RTR2, indicamos que la credencial de salida (Dial-Out) se llama igual que la interfaz “Delegación”, así que vamos a RTR1 y veamos las propiedades de esta cuenta, que se ha creado cuando ejecutamos el asistente en RTR1

Podemos observar que se ha creado una cuenta llamada “Delegación” con la configuración que la contraseña nunca expire

Además tiene privilegio para conectarse remotamente

Y análogamente en RTR2 con la cuenta “Central”

Inclusive observen que estas cuentas ni siquiera pertenecen al grupo “Users” y por lo tanto no podrán usarse por ejemplo para inicio interactivo desde teclado

 

Bueno, pero al final de todo esto ¿funcionarán las VPNs?

A probar

Un poco de suspenso

Por si alguien tenía dudas :)

E igual en RTR2

Y podemos comprobar la conectividad entre SRV y DC1

Si las VPNs no estuvieran conectadas, puede ser que el primer “echo reply” muestre un “timeout”, esto es debido al tiempo necesario para hacer las conexiones. Pero una vez que están levantadas no hay demora

Otro tema a observar es que el TTL mostrado es 126, es justamente 128 menos los dos saltos (Routers) por los que ha pasado la información

 

Teniendo todo funcionando es buen momento para apagar y crear los “snapshots” tanto en RTR1 como en RTR2. Las demás no han tenido cambios de configuración

 

Cuando estaba haciendo la nota que sigue conectando por L2TP, me quedó una duda ¿cómo demuestro que estamos usando L2TP+IPSec y no PPTP?

Solucioné fácil gracias a los “snapshots”, creé otro “snapshot” para no perder el trabajo realizado con L2TP, volví a este que estaba con PPTP e instalé un “Sniffer” (el viejo Network Monitor) y capturé la información de red que les muestro a continuación

Se puede ver claramente como se hace la sesión TCP con destino al puerto 1723 (PPTP) y luego el desarrollo de la misma

 

En la próxima nota “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 4 de 5]” haremos los cambios necesarios para pasar de PPTP a L2TP pero sólo con “Shared Secret”
Recién en la última veremos la misma configuración pero utilizando certificados de máquina

 

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Alberto  On 22/11/2016 at 16:24

    Buenas tardes, muy bueno el tutoria, me gustaría saber que opción elegir para ademas de unir oficinas a través de VPN que opción tendria que escoger para que un ordenador comparta internet en la sede A y un usuario de la sede B que no dispone de acceso a navegar por intenet cree una conexion hacia ese equipo y tener Internet por VPN.

    No se si es posible. Creo que si, pero no se que opcion escoger en personalizada, si NAT, enrutamiento…gracias!

    • Guillermo Delprato  On 22/11/2016 at 19:06

      Hola Alberto, si hay una VPN sitio a sitio, no tendría mucho sentido configurar que usuario de SitioA vaya hasta SitioB para que salga a Intenet, porque ya en SitioA tiene conexión a Internet
      En el asistente de RRAS hay justamente una opción que es VPN y conexión a Internet
      Estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home

      • Alberto  On 22/11/2016 at 19:33

        Gracias por responder tan pronto, es que estoy realizando un proyecto virtualizado y la conexiones entre sitios ya las tengo configuradas porque elegí en el asistente conexión entre sedes remotas ya que he creado una red que simula Internet en la que se ven los servidores VPN de cada sitio , pero al ser virtualizado me gustaría saber que opción tengo que elegir en el servidor VPN para que un usuario del sitio B con una tarjeta de red tenga Internet gracias a un equipo del sitio A que tiene dos tarjetas de red, una de su propia red y la otra que hace puente con la maquina anfitrión.

        Me paso por ese foro a ver si alguien me echa un cable.
        Muchas gracias y felicidades por su buen trabajo.

      • Guillermo Delprato  On 23/11/2016 at 06:35

        Hola Alberto, esto no es ningún foro, son sólo comentarios sobre la nota y cuando puedo oriento. Como foro puedes usar por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
        Cuando preguntes trata de aclarar mejor el objetivo, porque en primera instancia no tiene mucho sentido ni que de un sitio vayan hasta otro, ni que tengan una segunda máquina para salir a Internet, trata de aclarar el objetivo

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: