none
VPN

    Pregunta

  • Buenos días,

    En los próximos días tengo que habilitar el acceso por VPN a varios usuarios de la red local. Tengo un Forefront TMG 2010 en un servidor Windows 2008 R2 y los usuarios van a conectarse desde portátiles Windows 7 y 8.

    Tengo varias dudas ya que en las ultimas pruebas que he hecho, no he conseguido ni tan siquiera llegar a Forefront ya que no registra ningún acceso desde la máquina en la cual estoy accediendo.

    ¿Qué puertos tengo que abrir en el router? ¿Los usuarios que tengan permiso para acceder por VPN tienen que ser usuarios del servidor de Forefront y/o del Active Directory del servidor principal? ¿Qué método es más recomendable, PPTP, L2TP...? 

    Por encima del router hay un MVPL con dos routers de dos compañías de telefonía, actualmente no hay nada configurado para VPN lo que permite evitar el paso de esa configuración, no obstante, ¿hay que obligatoriamente configurar algo en él?

    Muchísimas gracias por adelantado.

    martes, 21 de mayo de 2013 7:04

Respuestas

  • Hola Alberto SN

    Como te ha ido con este tema !? Te hago mis comentarios:

    P/: ¿Qué puertos tengo que abrir en el router?

    R/:  Depende de que tipo de VPN vayas a implementar:

    PPTP:
    To allow PPTP tunnel maintenance traffic, open TCP 1723.
    To allow PPTP tunneled data to pass through router, open Protocol ID 47.

    L2TP over IPsec:
    To allow Internet Key Exchange (IKE), open UDP 500.
    To allow IPSec Network Address Translation (NAT-T) open UDP 4500.
    To allow L2TP traffic, open UDP 1701.

    P/: ¿Los usuarios que tengan permiso para acceder por VPN tienen que ser usuarios del servidor de Forefront y/o del Active Directory del servidor principal?

    R/: Lo mas recomendado es que sean usuarios de Active Directory

    P/: ¿Qué método es más recomendable, PPTP, L2TP...? 

    R/: Esto dependera de tus necesidades... Sin embargo desde el punto de vista de seguridad es major L2TP o SSTP

    Saludos,


    Jimcesse
    Principal: http://sysadmin-cr.com/
    Alterno: http://blogs.itpro.es/jimcesse
    

    lunes, 03 de junio de 2013 20:36
  • Alberto, no me había fijado que delante de tu tmg tienes un router ke te da el internet. Lamentablemente isa server y tmg utilizan aparte de los puertos que establecen la conexión VPN otros puertos ke son dinámicos, por lo tanto cada vez ke inicia una conexión se generan otros puertos para transferencia de información y que cuando no están abiertos la VPN se desconecta.
    domingo, 16 de junio de 2013 14:12

Todas las respuestas

  • Hola Alberto SN

    Como te ha ido con este tema !? Te hago mis comentarios:

    P/: ¿Qué puertos tengo que abrir en el router?

    R/:  Depende de que tipo de VPN vayas a implementar:

    PPTP:
    To allow PPTP tunnel maintenance traffic, open TCP 1723.
    To allow PPTP tunneled data to pass through router, open Protocol ID 47.

    L2TP over IPsec:
    To allow Internet Key Exchange (IKE), open UDP 500.
    To allow IPSec Network Address Translation (NAT-T) open UDP 4500.
    To allow L2TP traffic, open UDP 1701.

    P/: ¿Los usuarios que tengan permiso para acceder por VPN tienen que ser usuarios del servidor de Forefront y/o del Active Directory del servidor principal?

    R/: Lo mas recomendado es que sean usuarios de Active Directory

    P/: ¿Qué método es más recomendable, PPTP, L2TP...? 

    R/: Esto dependera de tus necesidades... Sin embargo desde el punto de vista de seguridad es major L2TP o SSTP

    Saludos,


    Jimcesse
    Principal: http://sysadmin-cr.com/
    Alterno: http://blogs.itpro.es/jimcesse
    

    lunes, 03 de junio de 2013 20:36
  • Hola Jimcesse,

    Ante todo, muchas gracias por responder.

    Configuré VPN dentro de Forefront con L2TP, dí de alta un grupo del dominio principal para usuarios VPN, configuré los puertos (tengo que revisar los que me comentas pues alguno de ellos me falta por abrir), asigné un rango de IPs y en general todo lo necesario.

    En el cliente creo una conexión VPN y le doy el nombre y contraseña del dominio de uno de los usuarios del grupo que tienen permiso.

    Cuando hago las pruebas en Forefront, me dice que se establece la conexión sin problemas, pero al cabo de un rato se corta ya que el cliente muestra el siguiente mensaje:

    "Error 806: La conexión VPN entre el equipo y el servidor VPN no se puede completar. La causa más probable de este error es que al menos un dispositivo de internet (como un firewall o un enrutador) entre el equipo y el servidor VPN no está configurado para permitir paquetes del protocolo de encapsulamiento genérico (GRE). Si el problema continúa, póngase en contacto con el administrador de red o con el proveedor de acceso a internet"

    He probado en dos PCs y el resultado es el mismo.

    ¿Debería haber una entidad certificadora e instalar un certificado en cliente?

    Voy a probar en los próximos días si el problema radica en los puertos y comento los resultados.

    Una vez más, muchas gracias por responder.

    Un cordial saludo.

    jueves, 06 de junio de 2013 8:38
  • Alberto,  asegúrese de abrir el puerto TCP 1723, Protocolo IP 47(GRE).

    saludos.

    lunes, 10 de junio de 2013 0:12
  • Hola a todos,

    Después de estar durante una tarde entera intentando crear una conexión por VPN desde Forefront, ha sido totalmente imposible.

    He abierto en el router los puertos que me comenta Santiago, el TCP 1723, GRE IP 47 (este como regla en Forefront), y los puertos que me comenta Jimcesse, UPD 500, UDP 4500, y UDP 1701.

    Voy a crear definitivamente una conexión mediante L2TP/IPSec.

    Cuando accedo a Forefront para ver los accesos y pruebo desde un puesto externo, Forefront registra el acceso como "conexión establecida", pero en poco tiempo el cliente informa de un error 800 y a continuación Forefront muestra "conexión finalizada".

    Cree una CA y un certificado que copie en el equipo cliente.

    No sé que más datos son necesarios o que tipo de configuración me hace falta, ya que he probado todo lo que necesito, he buscado información y he seguido los manuales para crear la VPN siguiendo todos los pasos y nada de nada.

    Muchísimas gracias.

    sábado, 15 de junio de 2013 17:03
  • Alberto, no me había fijado que delante de tu tmg tienes un router ke te da el internet. Lamentablemente isa server y tmg utilizan aparte de los puertos que establecen la conexión VPN otros puertos ke son dinámicos, por lo tanto cada vez ke inicia una conexión se generan otros puertos para transferencia de información y que cuando no están abiertos la VPN se desconecta.
    domingo, 16 de junio de 2013 14:12
  • Muchas gracias Santiago, trataré de buscar otra alternativa.
    martes, 18 de junio de 2013 23:08