Iniciar sesión
 
InicioWindows Server 2012Windows Server 2008 R2Windows Server 2003LibraryForos
Windows Server TechCenter >
VPN site to site - equipos detras de un modem/router adsl

Respondida VPN site to site - equipos detras de un modem/router adsl

  • miércoles, 09 de mayo de 2012 13:00
     
     
    Inicie sesión para votar
    0

    Buenos dias.

    Quisiera configurar una VPN site to site, pero tengo una consulta; es necesario que los 2 equipos que haran la VPN tengan una IP publica? ya que ambos equipos se encuentran detras de mi modem-router adsl que me da salida a internet.

    Mas o menos asi es la conexion:

    red local A-Firewall VPN A-modem/router A--- internet----  modem/router B-Firewall VPN B-red local B

    Modem router A:

    IP WAN: 200.xx.xx.xx

    IP LAN: 192.168.2.1

    Firewall VPN A

    IP WAN: 192.168.2.2

    IP LAN: 192.168.1.1

    Red local A: 192.168.1.0/24

    Modem router B:

    IP WAN: 201.xx.xx.xx

    IP LAN: 192.168.4.1

    Firewall VPN A

    IP WAN: 192.168.4.2

    IP LAN: 192.168.3.1

    Red local A: 192.168.3.0/24

    Es posible configurar la vpn site to site bajo este escenario? que tendria que realizar?

    Saludos.

    OrlandoP

     

Todas las respuestas

  • miércoles, 09 de mayo de 2012 14:39
    Moderador
     
     Respondida
    Inicie sesión para votar
    1

    No es necesario que los equipos tengan dirección pública, pero entiendo que son servidores ¿si? No con sistema operativo desktop

    Debes armar la VPN desde un servidor a la IP pública del otro modem, pero... el modem debe permitir:
    1- Redirigir puertos (a la IP interna del servidor)
    Específiciamente si es PPTP, debe permitir redirigir TCP-1723 y *protocolo GRE* (47)

    2- Tanto el modem como el firewall deben permitir "VPN passthrough". Cuidado con eso que no todos lo soportan. La mayoría dice que "soporta VPN", pero se refieren solamente a VPN de router/firewall a router/firewall

    Quizás te convenga ver de armar la VPN directamente entre los modem/firewalls

    Este "paso a paso" puede ayudarte
    Demostración Conectando Redes por VPN con PPTP – (Site to Site VPN) « WindowServer:
    http://windowserver.wordpress.com/2012/03/24/demostracin-conectando-redes-por-vpn-con-pptp-site-to-site-vpn/

     

    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

     
  • miércoles, 09 de mayo de 2012 19:05
     
     
    Inicie sesión para votar
    0

    Gracias por la rpta.

    Entonces si es posible sin que mis equipos vpn tengan ip publica, son equipos firewall con opcion de vpn via ipsec. Ahora me dicen que el modem-router debe permitir redirigir puertos, bueno  que si ya que tiene la opcion de natear puertos a ips internas, entonces aqui la redireccionaria al equipo vpn, que puertos son para ipsec? si uno ambas redes que otros puertos debo considerar para que me permita comunicarme e integran mi directorio activo y desde ambos locales pueda consultar al AD, compartir archivos entre otros.

    El equipo vpn debe apuntar como host remoto a la ip publica del modem.router no?

    saludos.

    OrlandoP

     
  • miércoles, 09 de mayo de 2012 19:45
    Moderador
     
     Respondida
    Inicie sesión para votar
    0

    No es lo mismo "natear puertos" que "vpn passthrough", son características diferentes, además como te dije antes tiene que redirigir el protocolo GRE, algunos lo permiten y otros no

    IPSec usando "shared secret" puede llegar a ser muy flojo de seguridad, para eso puede ser más seguro, y fácil de implementar, el uso de PPTP

    Puertos de IPSec: How to Enable IPSec Traffic Through a Firewall:
    http://support.microsoft.com/kb/233256

    Una vez que está conectada la VPN, todo el tráfico entre las redes va "dentro" de la VPN. No necesitas puertos adicionales

    Veo que quieres compartir archivos, ten en cuenta que una VPN por Internet suele ser lenta. Nadie garantiza ancho de banda por Internet

    Para VPN tienes un "inciador" de cada lado, que debe apuntar a la dirección pública del "receptor"

     

    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.