none
CONFIGURAR VPN: WINDOWS 2008 & WINDOWS 7 > MANUAL DEFINITIVO

    Question

  • Hola a todos, después de la desesperación de buscar por google decenas de horas, ver manuales erroneos, videos mal explicados, tutoriales que dan por sabidas muchas cosas y terminar perdiendo mucho tiempo me he lanzado a intentar crear un post que lo pueda explicar al detalle y nos valga a todos los principiantes como yo a tener las cosas un poco claras.

    Pido colaboración a todos los "gurus del foro", ya que mis conocimientos son muy limitados.

    Lo primero es definir un escenario muy sencillito y el que podemos tener todos. Por favor NO demos nada por supuesto o sabido, este es el problema del que pecan todos los manuales y videos.


    ESCENARIO DE PARTIDA

    SERVIDOR WINDOWS 2008 R2

    Ubicación: Villabotijos de Arriba

    Roles: Controlador de dominio primario

    Más roles: NADA

    Tarjetas de red: 1

    Dirección IP LAN fija: 192.168.1.100

    DHCP: lo asigna el router del operador

     


    CLIENTE WINDOWS 7

    Ubicación: San Pedrete del Meayvete

    Tarjetas de red: 1

    Dirección IP LAN dinámica: 192.168.1.x

    DHCP: lo asigna el router del operador

     

    META

    El servidor tiene una carpeta compartida "DATOS" y queremos verla desde el cliente y acceder a ella para consultar información.


    El objetivo es muy "sencillo" y simple, por favor no nos compliquemos creando redes para externos separadas de la lan, bla, bla, bla... o cosas retorcidas. Me gustaría que este fuera un manual de partida muy simple.


    Muchas gracias a todos por colaborar.

     



    • Edited by gulosito Tuesday, January 10, 2012 7:21 AM
    Tuesday, January 10, 2012 7:20 AM

Answers

  • Quizás no lleguen a un servidor, pero sí a un equipo de escritorio "bien armado" :)

    En teoría, y salvando el problema de seguridad, no deberías tener problemas teniendo todo en el mismo servidor.

    Te deberías conectar por la IP interna del servidor VPN para ver las carpetas compartidas

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Wednesday, January 11, 2012 12:49 PM
    Moderator

All replies

  • Hola de nuevo, yo no sé mucho de este tema, pero pongo lo que he llegado a averiguar:

     

    1 - Lo primero que hay que averiguar es la IP PÚBLICA de nuestro SERVIDOR, para ello vamos a http://www.cual-es-mi-ip.net/ y la anotamos. En nuestro caso de prueba es la 80.80.80.80(por poner una).

    2 - En el servidor 2008 hay que instalar el rol de SERVICIO DE ACCESO Y DIRECTIVAS DE REDES. http://www.radians.com.ar/blog/?p=482, en el video el SO está en inglés pero vale.

    3 - En el router en donde esté nuestro servidor hay que redireccionar los puertos 1723 TCP y 47 UDP a la IP LAN de nuestro servidor 192.168.1.100.

    4 - En el usuario que queremos que conecte desde el exterior hay que ir a PROPIEDADES > MARCADO > PERMISO DE ACCESO A REDES > PERMITIR ACCESO

    5 - En el cliente Windows 7 crear una nueva conexión VPN con los datos:

    Servidor: 80.80.80.80
    Usuario: nuestro usuario
    Clave: nuestra clave

     

    Muy bien, yo llego hasta aquí. He conseguido conectarme a la VPN correctamente. Ahora dejo mis preguntas, al hacer CMD > IPCONFIG veo lo siguiente:

    Adaptrador Conexión VPN

    Dirección IPv4: 192.168.1.37
    Máscara de subred: 255.255.255.255
    Puerta de enlace predeterminada: 0.0.0.0

     

    Adaptrador Conexión LAN

    Dirección IPv4: 192.168.1.25
    Máscara de subred: 255.255.255.0
    Puerta de enlace predeterminada: 192.168.1.1

     

    Por lo que he leido hay que acceder al servidor mediante la dirección IP LAN(no mediante el nombre). Entonces abro una ventanita, intento acceder a \\192.168.1.100 y.... ERROR!!! no veo al servidor, ni me responde a ping, ni nada de nada.

     

    Ahora ya si que pido ayuda a los gurus para que nos den una clase magistral, nos expliquen un poco todo este lio de IP's y como poder ver el recurso compartido.

    Un saludo y gracias por colaborar.

     


    • Edited by gulosito Tuesday, January 10, 2012 7:42 AM
    Tuesday, January 10, 2012 7:41 AM
  • Hola gulosito, tienes razón es un tema el armado de VPNs, y además se suponen siempre ciertos conocimientos anteriores. De otra forma deberíamos explicar cómo instalar cada máquina :)

    Un detalle que pones que no es correcto, lo que hay que abrir en el Router es el PUERTO TCP-1723, y el PROTOCOLO 47 que se llama GRE (Generic Routing Encapsulation protocol)

    Otro detalle a tener en cuenta, es que no es conveniente que el DC tenga dos interfaces de red, ya que es conocido que puede traer problemas.
    Y además, que justo un DC, que contiene lo más valioso como usuarios/contraseñas, sea accedido desde afuera, no es bueno desde el punto de vista seguridad

    Si quieres algo más o menos hecho como dices, y quieres aportar cualquier crítica constructiva, revisa estos que yo ya he hecho

    Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 1 por PPTP « WindowServer:
    http://windowserver.wordpress.com/2011/07/09/demostracin-conectando-clientes-a-la-red-por-vpn-windows-server-2008-r2-y-windows-7-parte-1-pptp-2/

    Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 2 por L2TP-IPSec, SSTP y IKEv2 « WindowServer:
    http://windowserver.wordpress.com/2011/10/02/demostracin-conectando-clientes-a-la-red-por-vpn-windows-server-2008-r2-y-windows-7-parte-2-por-l2tp-ipsec-sstp-y-ikev2/

    Cualquier crítica constructiva será bienvenida :)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Proposed as answer by romagara9 Thursday, April 17, 2014 11:52 PM
    Tuesday, January 10, 2012 10:58 AM
    Moderator
  • Hola Guillermo, te agradezco tu aporte, la verdad que los manuales están genial, pero no son lo que yo tengo y la verdad que mis conocimientos no son tan extensos como para sacar de ahí las deducciones pertinentes.

    El caso es que yo tengo un solo servidor 2008 con una sola tarjeta de red y necesito acceder mediante VPN desde fuera.

    Como te he comentado me llego a conectar y el resultado del ipconfig lo he puesto arriba, pero el server 192.168.1.100 no responde, me puedes ayuda?

    Muchas gracias.

    Tuesday, January 10, 2012 12:21 PM
  • Consulta, tu FW no posee caracteristicas de VPN? que marca modelo es?
    MG
    Tuesday, January 10, 2012 12:41 PM
  • Que es un FW?

    • Edited by gulosito Tuesday, January 10, 2012 1:12 PM
    Tuesday, January 10, 2012 1:11 PM
  • Firewall, un equipo que está, por lo general, entre router del proveedor ISP (Internet Service Provider) o Internet y tu LAN.

     


    MG
    • Edited by MarzoCL Tuesday, January 10, 2012 1:35 PM
    Tuesday, January 10, 2012 1:34 PM
  • Perdona, que estaba espeso y la DNS de mi cerebro no tradujo en nombre. No, no tengo FW.

    Un saludo.

    Tuesday, January 10, 2012 1:37 PM
  • Con una sola interfaz de red no se puede crear un servidor VPN

    Un servidor VPN permite las conexiones, autenticadas y cifradas, entre una "red insegura" y una "red segura"

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Tuesday, January 10, 2012 1:38 PM
    Moderator
  • Perdona, que estaba espeso y la DNS de mi cerebro no tradujo en nombre. No, no tengo FW.

    Un saludo.


    jajaja.

    Por otro lado arriesgado lo tuyo, si es que tienes tu equipo directo a Internet y como dice Guillermo hay que considerar el HW (hardware sería con un nslookup jaja) necesario para montar una solucion como la que necesitas.

    Siempre es sano hacer las cosas bien desde el principio, luego cuando ya está en productivo un sistema que cojeaba al nacer terminará por no andar en algun momento.

     


    MG
    Tuesday, January 10, 2012 1:50 PM
  • Ok, perdonad mi ignorancia en VPN's, pensé que la manera que propuse era la más sencilla que se podía montar. Ya veo que no es así, así que RESETEAMOS si os parece.

    Ahora mi servidor ya tiene dos tarjetas de red. Como prosigo? Perdonad que os pregunte a tan bajo nivel pero he leido manuales y no me aclaro, si me podéis ayudar os lo agradería mucho!

    Saludos!

    Tuesday, January 10, 2012 1:59 PM
  • A mi entender la configuración más sencilla es la que puse antes:
    Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 1 por PPTP « WindowServer:
    http://windowserver.wordpress.com/2011/07/09/demostracin-conectando-clientes-a-la-red-por-vpn-windows-server-2008-r2-y-windows-7-parte-1-pptp-2/

    Tan sencilla quise hacerla que ni necesitas Dominio, y ni siquiera consideré el Router :)
    Teniendo el cuenta esto último sólo habría que configurarlo de modo que reenvíe hacia la interfaz externa del servidor VPN: PUERTO TCP-1723 y PROTOCOLO 32 (GRE)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Tuesday, January 10, 2012 5:22 PM
    Moderator
  • Hola Guillermo, una pregunta, cuando pones en tu esquema SERVIDOR VPN te refieres a un servidor físico separado del servidor de datos o pueden ser el mismo? Yo es que sólo tengo uno y en tu esquema parece haber dos.

     

    Un saludo y muchas gracias.

    Tuesday, January 10, 2012 7:15 PM
  • Si, en mi esquema el servidor VPN está separado de cualquier otra función.

    El servidor VPN es la "puerta de entrada de la casa", y por lo tanto es lo más expuesto a compromisios externos de seguridad, y ese es principalmente el motivo de aislarlo de cualquier otra función

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Wednesday, January 11, 2012 11:06 AM
    Moderator
  • Hola Guillermo, el problema que yo tengo es que tengo un único servidor W2008 R2 y necesito montar una VPN ahí. Tengo que partir de este esquema:

    SERVIDOR DE DATOS Y VPN

    CLIENTE WINDOWS 7

    Se que seguramente no será el mejor escenario, pero es de lo que dispongo y como diga en mi empresa que ahora hay que comprar otro servidor para VPN ruedan cabezas... principalmente la mia!!!(jajaja).

     

    Me puedes asesorar entonces como poder crearla con este escenario?

     

    Un saludo y gracias por todo.

    Wednesday, January 11, 2012 11:20 AM
  • Quizás no lleguen a un servidor, pero sí a un equipo de escritorio "bien armado" :)

    En teoría, y salvando el problema de seguridad, no deberías tener problemas teniendo todo en el mismo servidor.

    Te deberías conectar por la IP interna del servidor VPN para ver las carpetas compartidas

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Wednesday, January 11, 2012 12:49 PM
    Moderator
  • Hola tambien tengo este mismo detalle tengo la conexion la conexion se realiza correctamente 

    mi ip 192.168.1.35

    mascara de subred 255.255.255.255

    puerta de enlace predeterminada 0.0.0.0

    pero igual quiero conecta un disco duro en red pero no acceder me da un error que no encuentra el recurso 

    y pues tambien quisiera saber como usando vpn me puedo logrear al dominio del servidor remoto he escuchado varios comentarios que no pueden lograr eso pero pues quiero saber porque, debe de ver alguna razón y si existe la posibilidad de que se pueda hacer que me puedan explicar que tengo que hacer. espero me puedan ayudar de ante mano muchas gracias y saludos.

    Wednesday, August 07, 2013 5:48 AM