none
Dudas VPN

    Question


  • Hola, yo de nuevo, gracias a Guillermo Delprato pude realizar conexín VPN según lo requería en el siguiente post:

    http://social.technet.microsoft.com/Forums/es-ES/wsnies/thread/9899ce1f-aeca-4705-9f7c-df06f5c82c81

    Ahora tengo unas dudas:

         .- Me conecto desde el servidorA al servidorB (por VPN) y si quiero conectarme al servidorB desde un equipo dentro de la misma red del servidorA, no puedo, me sale error 721, y si desconecto la VPN entre  A y B, si puedo conectarme al serverB desde otro equipo, pero no puedo conectar el servidorA al B, me sale error 628. normal esto?

          .- Duda, puede haber una conexión desde A hacia B y al mismo tiempo desde B hacia A?

          .- Por que cuando estoy conectado desde B hacia A, en B puedo ver todos los equipos de A, Y en A solo veo el servidorB (lo veo pero no puedo entrar, me dice que no tengo permiso. Cuando intento entrar al servidorA desde B, entro sin problemas),  pero cuendo me conecto desde A hacia B, no puedo ver los equipos de B, ni el servidorB, pero si le puedo hacer ping a B por el nombre de equipo y veo sus carpetas con este comando "\\servidorB".  Por q pasa esto??



    NOTA: actual configuración:

    - Sitio A
    IP             :192.168.1.50
    Mask         :255.255.255.0
    Getaway:  :192.168.1.3    ---> Router linksys
    dns1         :127.0.0.1
    dns2         :0.0.0.0

    - Sitio B
    IP             :2xx.7x.1xx.133
    Mask         :255.255.255.248
    Getaway:  :2xx.7x.1xx.129    ---> Router del ISP
    dns1         :127.0.0.1


    - VPN hacia A
    IP             :192.168.10.13
    Mask         :255.255.255.255
    Getaway:  :
    dns1         :192.168.1.200 ---> ip local de servidorA


    - VPN hacia B
    IP             :192.168.11.102
    Mask         :255.255.255.255
    Getaway:  :
    dns1         :192.168.100.18 ---> ip local de servidorB

         Gracias.


    "Hasta la victoria siempre"
    Thursday, March 04, 2010 4:57 PM

Answers

All replies

  • jamp00, vamos aclarando de a poco.

    Primero que nada hay que decidir entre las dos clases de VPNs

    Una posibilidad es que una máquina en Internet, pueda conectarse al servidor VPN para acceder a la red. Esto se llama para acceso de cliente.
    El cliente tiene que hacer la conexión VPN

    Otra posibilidad es unir dos redes a través de una conexión "VPN Site-to-Site", en cuyo caso la VPN se crea entre los dos servidores, y para el cliente es totalmente transparente.

    Si un cliente interno hace una VPN hacia afuera, la situación se complica un poco más porque hay que pasar el VPN por los routers de conexión a Internet. No todos los routers lo permiten.
    Lo que generalmente permiten es hacer la VPN desde el propio Router, pero otra cosa es dejar pasar una VPN (VPN Pass-through)

    Cuando se hace VPN Site-to-Site siempre se configura con 2 VPNs A-->B y B-->A eso permite que cualquiera de los dos inicie entre otras cosas.

    En un enlace por VPN mejor olvídate del "entorno de red". Deberías poner por lo menos un servidor WINS, que todos los clientes se registren en él, y tener mucha paciencia pues es sumamente lento el entorno de red.

    Para poder resolver nombres de un sitio en otro habría que conocer cómo es la infraestructura ¿dos dominio separados? ¿en el mismo Bosque? ¿grupos de trabajo?

    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Server Administration MCTS: Active Directory/Network/Applications Infrastructure --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    Friday, March 05, 2010 5:46 PM


  •           Gracias nuevamente Guillermo por seguirn interesado (Lo que sucede es que sali de la universidad y me vi en este puesto sin tener experiencia y sin tener a nadie de guía)

              Pude crear una VPN site to site, pero solo logro hacer ping al otro servidor por dirección ip de VPN. La infraestructura es de dos dominos separados y tengo instalado servidor WINS en los dos servidores.

    "Hasta la victoria siempre"
    Sunday, March 07, 2010 9:17 PM
  • Si son dominios separados para poder hacer que un dominio resuelva los nombres del otro, hay que crear las zonas secundarias correspondientes en el otro (no olvidarse permitir la transferencia), o Reenviadores Condicionales en cada DNS.

    En la interfaz externa, ninguno de los VPN debería responder a PING.

    En los servidores VPN deberían tener configuradas la rutas para llegar a la otra red.

    Revisa este enlace
    Step-by-Step Guide for Setting Up a PPTP-based Site-to-Site VPN Connection in a Test Lab:
    http://technet.microsoft.com/en-us/library/cc758271(WS.10).aspx


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise-Server Administrator MCTS: Active Directory/Network/Applications Infrastructure --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    Monday, March 08, 2010 10:25 AM
  •           Guillermo,

                   Es de ese enlace junto con otros más que realizé la VPN Site to Site y esta se conecta bien (creo). del sitioB le hago  ping al serverA por nombre DNS y responde bien, solo que cuando hago ping por nombre (a cualquier equipo del sitio A) no responde

    C:\Documents and Settings\javier.munoz.xxx.000>ping secretariam

    Haciendo ping a secretariam.Nombredominio.local [192.168.1.22] con 32 bytes de datos:

    Tiempo de espera agotado para esta solicitud.
    Tiempo de espera agotado para esta solicitud.
    Tiempo de espera agotado para esta solicitud.
    Tiempo de espera agotado para esta solicitud.

    Estadísticas de ping para 192.168.1.22:
        Paquetes: enviados = 4, recibidos = 0, perdidos = 4
        (100% perdidos),

    pero de A a B no puedo hacer nada, solo hacer un ping a la dirección interna de B (192.168.11.36). desde B hacia A, sin problemas están las rutas para acceder a la otra red. Pero de A hacia B no se que poner, ya q la dirección de B es publica IP:2xx.7x.1xx.133

    En B puede ver el contenido de A en ejecutar--> \\Nombredominio.local; y en A veo el conteido de B ejecutar \\192.168.11.36


    nslookup, no resuelve nada del servidor contrario, solo direcciones validas de internet (www.google.com, etc.), osea ejecuto nslookup en el servidor B, y no resuelve niun nombre del servidorA y vice versa.   :S:S:S:S



    NOTA: Cuando intento agregar una relación de confianza, en el paso final me dice: "Error en la operación. El error es: Esta operación no se puede realizaren este dominio. " Al parecer encuentra el dominio pero por alguna razón no se puede concretar la operación :S:S:S


    "Hasta la victoria siempre"
    Monday, March 08, 2010 8:39 PM
  • Pego y repondo

                   Es de ese enlace junto con otros más que realizé la VPN Site to Site y esta se conecta bien (creo). del sitioB le hago  ping al serverA por nombre DNS y responde bien, solo que cuando hago ping por nombre (a cualquier equipo del sitio A) no responde

    Hay que separar el problema en dos partes: conectividad IP y resolución de nombres.
    Primero hay que asegurarse que se comuniquen por PING dir-ip.
    Si no hay conectividad IP no hay nada que pueda hacer la resolución de nombres.



    pero de A a B no puedo hacer nada, solo hacer un ping a la dirección interna de B (192.168.11.36). desde B hacia A, sin problemas están las rutas para acceder a la otra red. Pero de A hacia B no se que poner, ya q la dirección de B es publica IP:2xx.7x.1xx.133

    192.168.11.x NO es la dirección interna; es la dirección de la VPN
    Hasta ahora no has puesto cuál es la red interna.
    Además los clientes tienen que tener configurada como Puerta de Enlace al servidor VPN para que puedan responder al PING.
    Si no se pudiera esto último, porque hay otra salida a Internet, hay que configurar entradas en la tabla de routing de los clientes.


    nslookup, no resuelve nada del servidor contrario, solo direcciones validas de internet (www.google.com, etc.), osea ejecuto nslookup en el servidor B, y no resuelve niun nombre del servidorA y vice versa

    ¿Y tienes las zonas secundarias hechas? como puse más arriba

    No hay forma de armar un relación de confianza entre dominios si primero no se soluciona la conectividad, y luego la resolución de nombres. Más en algunos casos además en este caso se suele necesitar también resolución nombres NetBIOS por WINS.

    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise-Server Administrator MCTS: Active Directory/Network/Applications Infrastructure --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    Tuesday, March 09, 2010 11:35 AM
  • ipconfig/all    Sitio A

    Configuración IP de Windows

       Nombre del host . . . . . . . : servidoradminis
       Sufijo DNS principal  . . . . : EMPRESA.local
       Tipo de nodo. . . . . . . . . : desconocido
       Enrutamiento IP habilitado. . : Sí
       Proxy de WINS habilitado. . . : Sí
       Lista de búsqueda sufijo DNS  : EMPRESA.local
                                                     EMPRESA.MEL

    Adaptador PPP Interfaz de servidor RAS (Dial In) :

       Sufijo conexión específica DNS:
       Descripción . . . . . . . . . : WAN (PPP/SLIP) Interface
       Dirección física. . . . . . . : 00-53-45-00-00-00
       DHCP habilitado . . . . . . . : No
       Dirección IP. . . . . . . . . : 192.168.11.30
       Máscara de subred . . . . . . : 255.255.255.255
       Puerta de enlace predet.. . . :

    Adaptador Ethernet 192.168.1.50:

       Sufijo conexión específica DNS: EMPRESA.local
       Descripción . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (NDIS VBD
     Client) #2
       Dirección física. . . . . . . : 00-21-5E-55-7E-14
       DHCP habilitado . . . . . . . : No
       Dirección IP. . . . . . . . . : 192.168.1.50
       Máscara de subred . . . . . . : 255.255.255.0
       Puerta de enlace predet.. . . : 192.168.1.3
       Servidores DNS. . . . . . . . : 127.0.0.1
       Servidor WINS principal . . . : 127.0.0.1

    Adaptador Ethernet 192.168.1.200:

       Sufijo conexión específica DNS: EMPRESA.local
       Descripción . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (NDIS VBD
     Client)
       Dirección física. . . . . . . : 00-21-5E-55-7E-16
       DHCP habilitado . . . . . . . : No
       Dirección IP. . . . . . . . . : 192.168.1.200
       Máscara de subred . . . . . . : 255.255.255.0
       Puerta de enlace predet.. . . :
       Servidores DNS. . . . . . . . : 127.0.0.1
       Servidor WINS principal . . . : 127.0.0.1

    Adaptador PPP MEL-ADMIN:

       Sufijo conexión específica DNS: EMPRESA.MEL
       Descripción . . . . . . . . . : WAN (PPP/SLIP) Interface
       Dirección física. . . . . . . : 00-53-45-00-00-00
       DHCP habilitado . . . . . . . : No
       Dirección IP. . . . . . . . . : 192.168.10.13
       Máscara de subred . . . . . . : 255.255.255.255
       Puerta de enlace predet.. . . :
       Servidores DNS. . . . . . . . : 192.168.11.36



    iipconfig/all   Servidor B

    Configuración IP de Windows

       Nombre del host . . . . . . . : empresa-mel
       Sufijo DNS principal  . . . . : EMPRESA.MEL
       Tipo de nodo. . . . . . . . . : desconocido
       Enrutamiento IP habilitado. . : Sí
       Proxy de WINS habilitado. . . : Sí
       Lista de búsqueda sufijo DNS  : EMPRESA.MEL
                                                     EMPRESA.local

    Adaptador Ethernet Dirección interna:

       Sufijo conexión específica DNS: EMPRESA.MEL
       Descripción . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (NDIS VBD
     Client)
       Dirección física. . . . . . . : 00-21-5E-27-72-D2
       DHCP habilitado . . . . . . . : No
       Dirección IP. . . . . . . . . : 192.168.100.18
       Máscara de subred . . . . . . : 255.255.255.0
       Puerta de enlace predet.. . . :
       Servidores DNS. . . . . . . . : 127.0.0.1
       Servidor WINS principal . . . : 127.0.0.1

    Adaptador PPP Interfaz de servidor RAS (Dial In) :

       Sufijo conexión específica DNS:
       Descripción . . . . . . . . . : WAN (PPP/SLIP) Interface
       Dirección física. . . . . . . : 00-53-45-00-00-00
       DHCP habilitado . . . . . . . : No
       Dirección IP. . . . . . . . . : 192.168.10.10
       Máscara de subred . . . . . . : 255.255.255.255
       Puerta de enlace predet.. . . :

    Adaptador Ethernet Dirección Publica:

       Sufijo conexión específica DNS: EMPRESA.MEL
       Descripción . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (NDIS VBD
     Client) #2
       Dirección física. . . . . . . : 00-21-5E-27-72-D0
       DHCP habilitado . . . . . . . : No
       Dirección IP. . . . . . . . . : 2xx.7x.1xx.133
       Máscara de subred . . . . . . : 255.255.255.248
       Puerta de enlace predet.. . . : 2xx.7x.1xx.129
       Servidores DNS. . . . . . . . : 127.0.0.1
       Servidor WINS principal . . . : 127.0.0.1

    Adaptador PPP {48A43326-3F33-49CF-80B0-F24990A34390}:

       Sufijo conexión específica DNS: EMPRESA.local
       Descripción . . . . . . . . . : WAN (PPP/SLIP) Interface
       Dirección física. . . . . . . : 00-53-45-00-00-00
       DHCP habilitado . . . . . . . : No
       Dirección IP. . . . . . . . . : 192.168.11.36
       Máscara de subred . . . . . . : 255.255.255.255
       Puerta de enlace predet.. . . :
       Servidores DNS. . . . . . . . : 192.168.1.50



    192.168.11.x NO es la dirección interna; es la dirección de la VPN           
    SI LO SABÍA SOLO QUE NO SUPE COMO EXPLICARLO
    

    Hasta ahora no has puesto cuál es la red interna.
    Además los clientes tienen que tener configurada como Puerta de Enlace al servidor VPN para que puedan responder al PING.
    Puerta de enlace de las vpn? algo así? 192.168.11.30?
    

    Si no se pudiera esto último, porque hay otra salida a Internet, hay que configurar entradas en la tabla de routing de los clientes.
    Esto último definitivamente no lo se hacer :S  SORRY
    


    ¿Y tienes las zonas secundarias hechas? como puse más arriba
    NO,no lo he hecho. Nunca pude madurar bien el concepto de las zonas. SORRY de nuevo :S
    
    

    No hay forma de armar un relación de confianza entre dominios si primero no se soluciona la conectividad, y luego la resolución de nombres. Más en algunos casos además en este caso se suele necesitar también resolución nombres NetBIOS por WINS.



           Gracias por la paciencia :S:S:S:S


    "Hasta la victoria siempre"
    Tuesday, March 09, 2010 6:25 PM
  • Configuraciones que no están "como deberían"

    Sitio A
    Si el dominio AD es "empresa.mel" entonces están mal los sufijos de búsqueda. En las propiedades avanzadas de la conexión, ficha DNS, déjale el valor por omisión.

    Tiene dos placas sobre *la misma red* (192.168.1.0/24). Eso no va a funcionar nunca porque para enrutar es entre dos redes *diferentes*

    Sitio B
    Si el dominio AD es "empresa.mel" entonces están mal los sufijos de búsqueda. En las propiedades avanzadas de la conexión, ficha DNS, déjale el valor por omisión.
    Y NO puedes de ninguna forma comunicar dos dominios que se llamen igual, salvo que estés ocultando los nombres reales y sólo para el post has puesto el mismo


    Hasta ahora no has puesto cuál es la red interna.
    Además los clientes tienen que tener configurada como Puerta de Enlace al servidor VPN para que puedan responder al PING.
    Puerta de enlace de las vpn? algo así? 192.168.11.30?
    Los clientes tienen que tener como Puerta de Enlace a la dirección IP del servidor VPN de la placa de red que está en tu red. No la que conecta a Internet.


    ¿Y tienes las zonas secundarias hechas? como puse más arriba
    NO,no lo he hecho. Nunca pude madurar bien el concepto de las zonas. SORRY de nuevo :S
    En el servidor DNS donde está la carpeta con zonas de búsqueda directa, botón derecho, nueva zona, el nombre del otro dominio, la dirección IP del otro DNS.
    En el otro DNS, en las propiedades de la zona vas a encontrar una ficha para permitir que se transfieran las zonas.

    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    Tuesday, March 09, 2010 6:40 PM


  •    Bueno ya he dado mucho la hora... Guillermo por favor recomiendame una lectura en donde pueda enteder a fondo como funcionan las vpn, tengo hasta el proximo lunes para lograr la relación de confianza.


         Mil gracias Guillermo por tu tiempo.
    "Hasta la victoria siempre"
    Thursday, March 11, 2010 1:01 AM
  • Hay mucha información en Technet. Particularmente a mí me sirve mucho para comprender el funcionamiento leer un poco de teoría y luego hacer los "step-by-step" en ambiente de laboratorio con máquinas virtuales.

    Te paso algunos enlaces
    Virtual Private Networks:
    http://technet.microsoft.com/en-us/network/bb545442.aspx

    Download details: Step-by-Step Guide for Setting Up a PPTP-based Site-to-Site VPN Connection in a Test Lab:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=58a8b58a-5655-4cc1-9d6a-91119b54ae0a&displaylang=en

    Step-by-Step Guide for Setting Up VPN-based Remote Access in a Test Lab:
    http://technet.microsoft.com/en-us/library/cc757206(WS.10).aspx

    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    • Marked as answer by jamp00 Thursday, March 11, 2010 8:10 PM
    Thursday, March 11, 2010 11:41 AM