none
Implementar VPN con windows 2003 Server para clientes remotos + IP publica

    Question

  • Hola ojala puedan ayudarme: El obejtivo de implementar VPN es para que los usuarios que estan afuera, por ejemplo el aeropuerto, un hotel, puedan acceder a la VPN y hacer uso de nuestro sistema.

    Tengo un servidor con Win2003 Std. En el cual he tratado de implementar VPN, he seguido lso pasos del manual basico, selecciono la tarjeta con la que trabajare, luego me pide asignar las IPs, ya sea, automatico o rangos, no trabajo con DHCP, toda mi red tiene la clase B (172.16.0.0/255.255.0.0) y asignamos las IPs manualmente. Entonces asigno un rango que va desde 172.16.2.50 - 172.16.2.80, mi servidor VPN tiene IP 172.16.1.9, tengo un servidor firewall, en donde he mapeado la IP publica a la 172.16.1.9, y también abrir el puerto 1723/47 para que los usuarios de afuera puedan conectarse a la VPN usando la IP publica.....Despues d ehacer todo esto no funciona, por fvor podrían decirme que me falta o en que me equivoco. También tengo la siguiente duda: En la parte de la creación de la VPN, en donde me pide elegir el rango de IPs, yo estoy poniendo desde la 172.16.2.50 - 172.16.2.80, porque, cuando el cliente se conecte desde afuera usara la IP publica, pero una vez que ingrese, tomara cualquiera de las ips que asigno en el rango (172.16.2.50 - 172.16.2.80)....Es así esto, por favor podría brindarme mas información mi correo es: yessilara23@hotmail.com
    Gracias,

     

    Tuesday, November 23, 2010 4:05 PM

Answers

  • Hola Isiana, moví la pregunta a foro correspondiente.

    Antes que nada, en los foros no se responde a una dirección de correo, sino que se responde en el mismo foro, así otros que tengan el mismo problema pueden resolverlo más fácilmente.

    Primero que nada, para facilitar y asegurar el acceso por VPN es recomendable que las direcciones IP de la VPN sean de una red diferente a la interna. Por ejmplo, si en tu red usas 172.16.0.0/16, que la VPN use por ejemplo 172.17.0.0/16, ya que de esa forma puedes controlar el tráfico.

    Respecto a la publicación del servicio en el cortafuegos, debes redirigir el *Puerto TCP 1723* y el *PROTOCOLO 47*. No es lo mismo puerto que protocolo :-)

    Si de todas formas no funcionara, para poder ayudarte debes indicar exactamente cuál es el error que te da en el cliente.
    Recuerda que lo debes probar desde fuera de tu red, y además apuntando a la IP pública.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Tuesday, November 23, 2010 4:20 PM

All replies

  • Hola Isiana, moví la pregunta a foro correspondiente.

    Antes que nada, en los foros no se responde a una dirección de correo, sino que se responde en el mismo foro, así otros que tengan el mismo problema pueden resolverlo más fácilmente.

    Primero que nada, para facilitar y asegurar el acceso por VPN es recomendable que las direcciones IP de la VPN sean de una red diferente a la interna. Por ejmplo, si en tu red usas 172.16.0.0/16, que la VPN use por ejemplo 172.17.0.0/16, ya que de esa forma puedes controlar el tráfico.

    Respecto a la publicación del servicio en el cortafuegos, debes redirigir el *Puerto TCP 1723* y el *PROTOCOLO 47*. No es lo mismo puerto que protocolo :-)

    Si de todas formas no funcionara, para poder ayudarte debes indicar exactamente cuál es el error que te da en el cliente.
    Recuerda que lo debes probar desde fuera de tu red, y además apuntando a la IP pública.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Tuesday, November 23, 2010 4:20 PM
  • Hola Guillermo, gracias por responderme.

    Cuando intento conectarme apuntando a la IP publica me sale el error 800: No se puedo establecer la conexión VPN..............Y tambien se corta la conexión LAn con este equipo, osea no le puedo hacer ping, pero si tiene salida a Internet.........Este servidor solo lo necesito para que los usuarios puedan utilizar el sistemas por Terminal server, pero primero deben lograr conectarse a la VPN, despues iniciar escritorio remoto y poner la ip publica que ya esta habiltada para escritorio remoto y funciona muy bien. Por favor ayudame, te explico lo que hice:

    (1)Tengo un Srv. Win2003 Std, en él tengo dos tarjetas de red instaladas (172.16.1.8/172.16.1.9) y ambas estan conectadas a uno de los switch, la IP 172.16.1.9, es la que seleccione para la conexión VPN (2) El Firewall, esta sobre FreeBSD, lo administro con IPTABLES, en el cual se mapeo la IP 172.16.1.9 a la IP PUBLICA que utilizare. (3) Para configurar la VPN utilice el asistente y seleccione la opción "Acceso a red privada virtual (VPN) y NAT"  (4) Selecciona la tarjeta con IP 172.16.1.9 y desactivo la casilla que tiene la opción "Habilitar seguridad en la inerfaz seleccionada..."(5) Seleccioné la segunda opción que me dice "De un intervalo" y el rango es 172.16.5.50 a 172.16.5.60 (6)Seleccione la opción que dice "No, usar Enrutamiento y acceso remoto para autenticar....."(7)Cuando por fin le doy Finalizar, me aparece un mensaje que dice "Para que el relevo de mensajes DHCP desde un cliente de acceso remoto sea compatible, configure las propiedades del Agente de retransmisión DHC con las direcciones IP de su servidor DHCP" (no entiendo porque me pide esto si yo no uso DHCP además en el proceso no selecciono la opcion Automitico, sino la opcion De un intervalo) no me deja otra opción que darle Aceptar y termina la instalación. Claro hay unos minutos en que se demora en iniciar el servicio. Luego pierdo conectividad LAN con el equipo, porque ya no puedo acceder ni por VNC, pero el equipo si tiene salida a Internet.

    En el resumen final de la instalación, me dice: que los clientes VPN se van a conectar a la interfaz publica, Conexion de área local, que la que tiene la IP 172.16.1.9 y esta mapeada, para los clientes RAS y VPN deja la otra interfaz con IP 172.16.1.8, etc.

    De todas forma pruebo conectarme desde un cliente XP, y me sale el error 800.

    Por favor, AYUDAME.

    Por cierto el procolo 47, se activa en el router o en el firewall. Pues mi router en CISCO, es alquilado y lo administra Telefónica, y de acuerdo a lo que hable con ellos todos los puertos y protocolos están abiertos.

    GRACIAS

     

     


    Yessenia Lara
    Wednesday, November 24, 2010 1:57 AM
  • Así no va a funcionar nunca :-) Hay varios inconvenientes en lo que nombras

    Primero que nada, las dos placas del servidor VPN deben estar en redes diferentes tanto lógicas (IP) como físicas (no al mismo switch)

    Segundo, luego que los clentes se conectan por VPN, acceden al escritorio remoto por la IP privada del TS

    Cuidado también con las direcciones IP que estás utilizando porque 172.16.1.z y 172.16.5.z pueden estar en la misma o en diferentes redes dependiendo de la máscar de subred.

    Antes de comenzar renombra las interfaces para estar seguro cuál es la externa y cuál la interna, que muchas veces se confunden durante el asistente.

    Además cuidado que, como nombré antes, no es lo mismo Puerto 47 que Protocolo 47

    Revisa este enlace a ver si te aclara. Usa sólo la parte de PPTP

    Step-by-Step Guide for Setting Up VPN-based Remote Access in a Test Lab:
    http://technet.microsoft.com/en-us/library/cc757206(WS.10).aspx

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Wednesday, November 24, 2010 9:53 AM
  • Hola Guillermo, gracias por tu ayuda, pero todavía no logro la conexión VPN. Te explico lo quetengo a ver si me puedes orientar:

    1. Conexion a Internet con IP publica fija 190.41.x.x, con un modem-router Zyxel P600 de Telefonica

    2. Un servidor de uso exclusivo para este servicio al que llame SRVVPN. este Srv. tiene dos tarjetas de red, una esta conectada al router zyxel y tiene esta configuración IP: 192.168.1.97/24 Gateway: 192.168.1.1 (que es ip del zyxel) y la segunda tarjeta esta conectada a un swtch con esta configuración 172.16.1.9/16 Gateway 172.16.0.1 (esta es mi LAN interna)..........Probe y el servidor tiene salida a Internet con la Tarjeta 192.168.1.97..........También tengo el firewall de windows desactivado.

    3. Ingrese al zyxel a la parte de NAT/Port Forwarding y redireccione el 1723 al 192.168.1.97 (esta bien o debe ser la IP publica)

    Por favor hasta ahi todo esta bien...........Gracias


    Yessenia Lara
    Saturday, November 27, 2010 4:00 AM
  • En el Router, además de hacer Port Forwarding de TCP-1723, debes poder redirigir el *procolo 47*. No sé si ese Zyxel lo permite deberías ver la documentación del mismo, ya que seguramente tiene que decirlo

    Ten cuidado con una diferencia que muchas veces los fabricantes no aclaran. Dicen "soporta VPN" pero no aclaran si es "VPN End-to-End" o "VPN Pass-Through" que no es lo mismo :-)
    La primera es sólo de Router a Router. Y la que necesitas es justamente la segunda, que pueda pasar la VPN a través del Router.

    Como comentario adicional, la tarjeta interna NO debe tener Default Gateway (Puerta de enlace). Sólo en la externa.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Saturday, November 27, 2010 11:35 AM
  • Hola Guillermo ya hice Port Forwarding al puerto 1723 y protocolo 47, pero dime la IP a poner es la IP interna de mi servidor (192.168.1.97/24 Gateway: 192.168.1.1 (esta es al ip del router)), la que utilizo para conectarse a internet, o debe ser la ip publica del internet 190.41.x.x

    Otra pregunta, cuando dices IP interna de refieres a la de mi LAN 172.16.0.0/16

    Gracias,


    Yessenia Lara
    Saturday, November 27, 2010 6:38 PM
  • Port Forwarding desde la IP externa del Router (190.41.y.z), a la externa del VPN (192.168.1.97)

    O sea, todo lo que llegue al Router, pasárselo a la interfaz externa del servidor VPN

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Monday, November 29, 2010 10:58 AM
  • Hola Guillermo, agradeciendo tu apoyo en primer lugar, espero puedas seguir apoyando. Pues esta VPN me esta haciendo sufrir.

    Ya logré configurar la VPN, pero la tuve que conectar directamente al router (Csico 1800) debido a que si lo pongo detras del firewall la VPN no funciona y el soporte de mi Firewall me dice que todo esta bien que debe ser mi configuración y como ya no quiero seguir discutiendo y demorando más decidi conectarlo directamente al router. Mi consulta es, si quiero darle seguridad a la VPN, es posible que el mismo servidor tenga activado el firewall de windows (Win2003) y al mismo tiempo funcione como servidor VPN.

    Gracias,


    Yessenia Lara
    Tuesday, December 14, 2010 4:54 PM
  • En W2003 no puedes activar el firewall de Windows al mismo tiempo que VPN, pero depende cómo se ha configurado en Routing and Remote Access, tienes activado "packet filter" que no es un gran firewall pero ayuda:

    Duante el asistente para configurarlo como servidor VPN en un momento pregunta cuál es la interfaz externa, y hay un "checkbox" de si quieres configurar seguridad. Si esa opción fue marcada entonces, sobre esa interfaz hay permitido sólo VPN (PPTP y IPSec).

    Entiendo que no la has marcado, pues en ese caso el servidor no podría navegar por Internet, sólo recibir VPN. Creo que lo más rápido sería que desconfigures el RRAS y lo vuelvas a poner tal cual pero poniendole la opción antes mencionada.

    Otras medidas básicas de seguridad sobre la interfaz externa:

    - Desmarcar la opción Client for Microsoft Network
    - Desmarcar la opcón File and Print Sharing...
    - En las propiedades avanzadas, ficha WINS, deshabilitar NetBIOS sobre TCP/IP

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Tuesday, December 14, 2010 10:32 PM
  • Guillermo, mi configuración tiene el firewall desactivado y tiene activa la configuración de Servidor basico de seguridad y también tengo salida a Internet en el Servidor. Pero los clientes XP Prof cuando se conectan desde sus laptops pierden el acceso a Internet, a pesar de que deshabilité la opción de "Usar la puerta de enlace predeterminada en la red remota" de las Opciones avanzadas de la ficha Funciones de red. En cambio con los clientes de Windows 7 Prof no tengo problema, se conectan a la VPN y pueden seguir navegando. Por favor me puedes decir que puedo hacer en XP para que no pierdan acceso a Internet.

    Otra consulta. Tengo un dominio con Windows 2003 Standar y mis clientes son WinXP Prof y todos tienen en la ficha Wins habilitada la opción de "Habilitar NetBIOS sobre TCP/IP" esta esto mal, debo deshabilitarlo también.

    Muchas gracias,


    Yessenia Lara
    Wednesday, December 15, 2010 12:31 AM
  • Para saber si está bien la configuración de seguridad del RRAS, puedes verlo en las propiedades de la interfaz de red (dentro de RRAS) que tenga activados los filtros de protocolo y puerto, revísalo por las dudas.

    Lo del problema sólo con lo XPs realmente es raro porque ambos sistemas operan práticamente igual como clientes.
    La única posibilidad que se me ocurre es que los clientes tengan configurada localmente una red que coincida con la de la VPN, o la red interna a la que da acceso el VPN.

    El deshabilitar NetBIOS sobre TCP/IP y lo demás es sólo en la interfaz externa del servidor VPN.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Wednesday, December 15, 2010 10:50 AM