none
VPN - No se accede correctamente a los recursos RRS feed

  • Pregunta

  • Muy buenas.

    En una VPN montada entre dos sedes con nombres de dominio diferentes, pasan cosas algo curiosas que me gustaría comentar, a ver si alguien puede darme una solución. Expongo los datos:

    • Las VPN se han montado con el software de enrutamiento y acceso remoto de Windows Server, utilizando dos tarjetas de red con diferentes rangos de IPs. La conexión es recurrente y funciona. Se asignan IPs a los servidores de forma correcta.
    • La conexión se hace desde/hacia un servidor con WS 2003 y otro con WS 2008.
    • Desde el WS 2008 se puede hacer ping hacia la ip del WS 2003 y hacia la de los equipos de la red local de este. Desde el WS 2003 no se puede hacer ping hacia el WS 2008. Desde los equipos que están en el dominio y red física del WS 2003 sí que se puede hacer ping al WS 2008 y a los equipos de su red.
    • Se puede acceder sin problema a los recursos compartidos de ambos servidores escribiendo la ip del equipo en un navegador y doble barra (\\192.168.x.x). Desde cualquier equipo, sea de la sede que sea, y desde cualquiera de los dos servidores.
    • Los recursos de dns no funcionan, pero no sé el motivo, por lo que no puedo hacer transferencia de zonas. No se puede hacer ping a ninguno de los equipos de las sedes por su nombre de dns. Se han añadido las Ips de los servidores como dns, pero tampoco sirve. Incluso, como ya he dicho, desde el server 2003 ni siquiera funciona el ping al server 2008.

    No sé muy bien qué es lo que sucede. En principio, si un simple ping no funciona, tampoco debería funcionar el acceso a los recursos compartidos, pero sí que se accede y sin problemas. Los recursos de dns no se pueden añadir porque no se reconocen los servidores. En el firewall no está filtrado el servicio de dns y en los routers está abierto el puerto 1723 para PPTP.

    ¿Alguna idea de qué puedo mirar? Muchas gracias de antemano.


    • Editado mhbeyle jueves, 14 de enero de 2016 17:37
    jueves, 14 de enero de 2016 17:35

Respuestas

  • Hola mhbeyle, te comento primero por qué no es conveniente VPN y Controlador de Dominio en la misma máquina

    Un Controlador de Dominio contiene lo más valioso que tienes en la red: usuarios y sus contraseñas. Toda tu red funciona en base a eso, y por eso digo que es lo más valioso

    Ahora te hago una pregunta ¿dónde guardas tus ahorros y cosas valiosas? ¿los pones en la puerta de entrada de tu casa? :) No, eso no es bueno para ti :)

    Vamos al otro tema ahora. Tu Controlador de Dominio en este momento tiene 3 direcciones IP:

    - La interna, que es la única accesible para los clientes de la red interna
    - La externa pública de Internet, no accesible desde la red interna, y si fuera accesible por LDAP sería terrible desde el punto de vista seguridad porque indica que no tienes ningún cortafuegos
    - La externa de la VPN, que tampoco es accesible desde la red interna

    Cuando una máquina le pregunta al DNS por la dirección IP de tu Controlador de Dominio, el DNS responderá con las 3 direcciones antes nombradas, en orden aleatorio (Round Robin), por lo tanto el cliente fallará en 2 de cada 3 intentos de conexión

    Al ser Controlador de Domino y servidor DNS, obligatoriamente, y aunque lo desmarques, registrará todas sus direcciones IP. Es el funcionamiento normal de DNS

    [Edito] Para evitar todo el problema es que te sugería que hicieras la VPN entre los Routers, y no con los Controladores de Dominio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    martes, 19 de enero de 2016 16:19
    Moderador

Todas las respuestas

  • Hola "mhbeyle" como estas,

    Para hacer la transferencia de zonas tienes que aplicar:

    Modify Zone Transfer Settings
    https://technet.microsoft.com/en-us/library/cc771652.aspx

    HOW TO: Configure a Secondary Name Server
    https://support.microsoft.com/en-us/kb/816518

    1 - Verifica que los DNS apunten así mismo.
    2 - En la GPO "Default Domain Controllers Policy" configura el dominio actual y el secundario en "DNS Suffix search list".
    3 - Realiza lo mismo para los equipos Windows Client.
    4 - Realiza ping  por nombre y prueba un recurso \\host\share.

    Espero sea de ayuda. Saludos.

    • Propuesto como respuesta Moderador M viernes, 15 de enero de 2016 15:47
    • Votado como útil mhbeyle viernes, 15 de enero de 2016 23:14
    jueves, 14 de enero de 2016 18:38
  • Hola mhbeyle, lo que planeas son dos cosas diferentes, así que vamos a ver ambas

    1- Conectividad IP

    2- Resolución de nombres (indispensable que se solucione primero 1-)

    Primero que nada dos cosas a revisar, los servidores Windows VPN, si dejas la configuración por omisión, aplican filtros de entrada y salida, permitiendo únicamente los protocolos de VPN, por lo cual no pasa ningún PING. En la consola de Enrutamiento y Acceso Remoto, verifica en las propiedades de las interfaces, que estén los filtros apropiados. Si quiere puedes poner directamente que de Red-A a Red-B permitir todo el tráfico

    Y segundo, revisa que los cortafuegos de las máquinas permitan el PING. Por omisión el único Cortafuegos que permite responder PING es en los Controladores de Dominio; en ningún otro caso

    Revisado todo lo anterior que esté correctamente configurado, intenta PING con dirección IP. Hasta que esto no funcione, no podemos entrar a ver la resolución de nombres

    Dices que tienes W2003 y W2008, revisa el siguiente paso a paso que te puede ayudar en la configuración. Si fuera W2012 es mucho más sencillo ;)

    Demostración Conectando Redes por VPN con PPTP – (Site to Site VPN) | WindowServer
    https://windowserver.wordpress.com/2012/03/24/demostracin-conectando-redes-por-vpn-con-pptp-site-to-site-vpn/


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M viernes, 15 de enero de 2016 15:47
    jueves, 14 de enero de 2016 18:48
    Moderador
  • Gracias por la respuesta.

    En principio, en los servidores de VPN, no hay ningún filtro aplicado en los interfaces de red ¿Dónde tengo que aplicar dichos filtros, en todas las interfaces o sólo en la de marcado a petición? En ws 2003, además, se agrega un firewall para el NAT donde también se pueden agregar filtros.

    ¿Si no aplico filtros no entra ningún paquete, está todo cerrado por defecto?

    Y otra cosa más. Los filtros, tanto entrantes como salientes ¿Desde que red/redes permito el acceso? ¿Desde el rango Ip pública de cada sede o desde el rango Ip privada de las redes a las que se conectan? Es decir, tengo dos interfaces de red físicas configuradas en cada servidor con distintas Ip ¿Hay que configurar filtros para todas??

    Muchas gracias.


    viernes, 15 de enero de 2016 9:11
  • Depende de cómo se ha configurado el servidor VPN, por omisión hay filtros incorporados. Si se configuró como VPN y NAT no hay filtros, pero si se configuró sólo VPN entonces el sistema configuró filtros

     

     Además, están los filtros en los cortafuegos

    Revisa todas las interfaces, y puedes observar dónde hay filtros y dónde no, y modifícalos apropiadamente. En general al tratarse de redes internas, lo que sea haces es que desde Red-A a Red-B permitir todo el tráfico. Y también análogamente desde Red-B a Red-A, en todos los lugares que encuentres que el tráfico está limitado. Cada red identificada por dirección IP de la red

    En la captura de pantalla que puse arriba está dónde debes revisar

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M viernes, 15 de enero de 2016 15:47
    viernes, 15 de enero de 2016 10:37
    Moderador
  • Gracias por responder.

    El procedimiento para hacer transferencia de zonas lo tengo más o menos claro. En este caso, el problema es anterior. No puedo realizar todos esos procedimientos porque no puedo acceder a los recursos de dns de ninguno de los servidores vpn.

    Las dns están bien configuradas en los servidores vpn. Apuntan a si mismos.
    No se pueden añadir dominios secundarios porque no se reconocen.
    El ping a \\server_vpn\recurso o por nombre no devuelven nada. Sólo se accede a los recursos si se escriben los mismos en una ventana del navegador de archivos (explorer.exe).

    Saludos.

    viernes, 15 de enero de 2016 16:21
  • En efecto, el sistema fue configurado como VPN y NAT y todas las ventanas de filtros de cualquiera de las interfaces están vacías.
    Únicamente se han añadido redirecciones de puertos para servicios concretos, como por ejemplo, la puerta de enlace VPN para PPTP y similares. Esto en el servidor de seguridad que se añade en WS 2003 al crear la VPN.

    Si los filtros no existen, entiendo que pasa todo el tráfico entre las dos redes ¿Es así o es necesario añadir algo? Si es así, imagino que tendré que seguir mirando por otro sitio. Como apunte a tener en cuenta, los cortafuegos de ambos servidores se han deshabilitado para comprobar si era esa la causa y el resultado ha sido similar: solo se tiene acceso a los recursos a través de una ventana del explorador (\\ip_servidor_vpn\recurso).

    También, como expliqué en el primer mensaje, se puede hacer ping a los servidores desde cualquier equipo de la red, menos desde el WS 2003 hacia el WS 2008. Cualquier otro equipo de la red hace ping al WS 2008 o al WS 2003, desde cualquier localización (red propia o conectada por vpn).

    Saludos cordiales.


    • Editado mhbeyle viernes, 15 de enero de 2016 16:42
    viernes, 15 de enero de 2016 16:33
  • Desde el W2003 y hacia el W2008, que dices es donde no lega ejecuta:

    TRACERT <DirIPdelOtro>

    Y luego en el otro sentido, desde el W2008 al W2003

    TRACERT usa el mismo protocolo (ICMP) pero a diferencia de PING este te indica por qué Routers pasa

    De esa forma podrás ver hasta dónde llega, aunque no alcance al destino final, y por lo tanto dónde está el problema

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 15 de enero de 2016 16:49
    Moderador
  • El resultado del tracert hacia la Ip privada de ambos servidores vpn es el siguiente:

    WS 2003 -> WS 2008 : No se completa ni un solo paso.
    WS 2008 -> WS 2003 : Se completa en el primer paso.

    Añado igualmente:

    Un tracert / ping desde el WS 2003 a la IP Pública del WS 2008 funciona perfectamente. Y viceversa, pues desde el WS 2008 no hay problemas al hacer ping.

    También quiero recordar que el firewall en el WS 2008 se había desactivado temporalmente para comprobar que no hubiera problemas con el mismo. Y el ping seguía sin funcionar.

    Saludos.




    • Editado mhbeyle sábado, 16 de enero de 2016 12:56
    sábado, 16 de enero de 2016 12:55
  • Si con el cortafuegos levantado, y sin tener filtros en Enrutamiento y Acceso Remoto no responde el PING entonces hay problema en la configuración de IP, sobre todo si no se completa ni un solo paso

    De cada una de las cuatro máquinas anota por acá estos tres valores: Dirección IP, Máscara de Subred, y Puerta de Enlace. Lo único que no se necesita son las direcciones públicas

    Y además anota cuál es el rango de direcciones IP que tiene cada servidor VPN para asignar a los que se conectan

    Con cuatro máquinas me refiero a W2003, W2008 y los dos VPN Servers

    A ver si podemos encontrar dónde está el problema

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 18 de enero de 2016 9:51
    Moderador
  • Perfecto. Gracias por el interés..

    Hay dos servidores DC que a su vez hacen igualmente de Servidores de VPN. La infraestructura de red es muy pequeña y no compensa poner un servidor dedicado exclusivamente a hacer labores de VPN.

    Al realizarse la conexión VPN desde cualquiera de los puntos, se asignan direcciones IP correctamente a ambos servidores.

    Servidor W2008

    Adaptador de Ethernet 01 VPN (conectada al exterior):

       Dirección IPv4. . . . . . . . . . . . . . : 192.168.8.195
       Máscara de subred . . . . . . . . . . . . : 255.255.255.0
       Puerta de enlace predeterminada . . . . . : 192.168.8.2

    Adaptador de Ethernet 02 LOCAL (red interna):

       Dirección IPv4. . . . . . . . . . . . . . : 192.168.1.1
       Máscara de subred . . . . . . . . . . . . : 255.255.255.0
       Puerta de enlace predeterminada . . . . . : 

    El dhcp del servidor asigna de la 192.168.1.50 a la 192.168.1.100

    Servidor W2003

    Adaptador Ethernet 01 VPN (conectada al exterior):

       Dirección IP. . . . . . . . . : 192.168.9.200
       Máscara de subred . . . . . . : 255.255.255.0
       Puerta de enlace predet.. . . : 192.168.9.1

    Adaptador Ethernet 02 LOCAL (red interna):

       Dirección IP. . . . . . . . . : 192.168.2.100
       Máscara de subred . . . . . . : 255.255.255.0
       Puerta de enlace predet.. . . :

    El dhcp del servidor asigna de la 192.168.2.2 a la 192.168.2.50

    lunes, 18 de enero de 2016 14:44
  • Con uno de los datos adicionales haz dado dónde está el problema :)

    Los Controladores de Dominio, no deben/pueden ser servidores VPN, primero por un tema importante de seguridad, y segundo por tener múltiples direcciones IP

    Cuando un Controlador de Dominio, que también es DNS, tiene múltiples direcciones IP, no hay alternativa, todas se registran en el DNS. Cuando los clientes tratan de resolver el nombre del Controlador de Dominio, el DNS responde con todas las IPs que tiene. Luego el cliente selecciona para conectarse una dirección IP, que generalmente le es inaccesible

    Si por el tamaño de la red no se justifica poner más servidores, simplemente crea la VPN con los Routers en cada sitio, y deja a los Controladores de Domino con sólo una conexión de red

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 19 de enero de 2016 16:00
    lunes, 18 de enero de 2016 19:25
    Moderador
  • Entiendo que por motivos de seguridad no sea recomendable montar un servidor de vpn sobre un DC, pero no entiendo porqué motivo dicha configuración no funciona.
    Es decir, comprendo lo que dices de las dns, pero no entiendo cómo es posible que no haya configuraciones dentro del server de vpn que eviten esa circunstancia.

    Saludos.

    martes, 19 de enero de 2016 15:41
  • Hola mhbeyle, te comento primero por qué no es conveniente VPN y Controlador de Dominio en la misma máquina

    Un Controlador de Dominio contiene lo más valioso que tienes en la red: usuarios y sus contraseñas. Toda tu red funciona en base a eso, y por eso digo que es lo más valioso

    Ahora te hago una pregunta ¿dónde guardas tus ahorros y cosas valiosas? ¿los pones en la puerta de entrada de tu casa? :) No, eso no es bueno para ti :)

    Vamos al otro tema ahora. Tu Controlador de Dominio en este momento tiene 3 direcciones IP:

    - La interna, que es la única accesible para los clientes de la red interna
    - La externa pública de Internet, no accesible desde la red interna, y si fuera accesible por LDAP sería terrible desde el punto de vista seguridad porque indica que no tienes ningún cortafuegos
    - La externa de la VPN, que tampoco es accesible desde la red interna

    Cuando una máquina le pregunta al DNS por la dirección IP de tu Controlador de Dominio, el DNS responderá con las 3 direcciones antes nombradas, en orden aleatorio (Round Robin), por lo tanto el cliente fallará en 2 de cada 3 intentos de conexión

    Al ser Controlador de Domino y servidor DNS, obligatoriamente, y aunque lo desmarques, registrará todas sus direcciones IP. Es el funcionamiento normal de DNS

    [Edito] Para evitar todo el problema es que te sugería que hicieras la VPN entre los Routers, y no con los Controladores de Dominio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    martes, 19 de enero de 2016 16:19
    Moderador