none
Pequeña consulta sobre VPN RRS feed

  • Pregunta

  • Estoy montando un servidor windows 2008 con 2 interfaces de red y quiero que sea un servidor VPN para que clientes externos se conecten a el y puedan acceder a los ficheros de los recursos compartidos.

    La interfaz de red denominada Interna (la de la LAN)  tiene el rango 192.168.0.x mientras que la interfaz de red denominada Externa (la que está conectada al router)tiene el rango 182.0.0.x.

    Mi pregunta es: ¿qué dirección IP deben recibir los clientes externos al conectarse, del rango 192.168.0.x o del rango 182.0.0.x? 

    Saludos

    viernes, 22 de julio de 2011 13:21

Respuestas

  • El cliente VPN puede recibir IP de la red *interna* (192.168.7.z), o una de otra red privada (por ejemplo 172.16.y.z)

    Lo que no puede usar es de la red externa (192.168.6.z)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Fran72 lunes, 1 de agosto de 2011 9:42
    miércoles, 27 de julio de 2011 23:19
    Moderador
  • Hola Frankiegoes

    En mi caso, mis servidores de vpn tenían 2 placas de red (1 wan y otra lan, para describirlas de laguna forma), ya que enrutaban hacia sucursales y atendían clientes externos.

    Ej: internet <-> router/firewall -> Wan(servidor vpn) <---->Lan(servidor vpn) --->servidores y clientes lan.

    De esta forma el cliente disca de cualquier parte del planeta, y tu servidor vpn le asigna una IP de la lan.

    De esta forma esta "integrado" a tu red, o sea forma parte de la misma y puede acceder a los recursos.

    -------------------------------------

    Con una placa se puede armar, pero habría que ver cual es el escenario, porque en este momento no se me ocurre, como para darte un ejemplo.

    saludos

    Gustavo

    • Marcado como respuesta Fran72 lunes, 1 de agosto de 2011 9:42
    jueves, 28 de julio de 2011 11:20
  • Si no te funciona usando 172.16.y.z: revisa que los servidores/equipos de la red interna tengan como puerta de enlace a la IP interna del servidor VPN.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Fran72 martes, 2 de agosto de 2011 14:09
    lunes, 1 de agosto de 2011 23:11
    Moderador

Todas las respuestas

  • Pueden recibir IP del rango interno (192.168...) o de otro cualquiera pero privado, no direcciones públicas.

    Si recibe IP del rango interno, el VPN actúa como ARP Proxy. Si recibe de un rango diferente, el VPN actúa como Router y es más fácil controlar el tráfico si quisieras.

    A mi personalmente me gusta siempre un rango diferente de la red interno, pero eso sí, que sea privado
    O sea de las redes 10..., 172.16 a 172.31, y 192.168

    Si en la interna usas 192.168.0.0/24, podrías usar 192.168.1.0/24. o cualquier otra privada

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 22 de julio de 2011 14:35
    Moderador
  • OK, probaré y te digo algo.

    Muchas gracias!

    viernes, 22 de julio de 2011 16:03
  • Este enlace seguramente te servirá

    Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 1 por PPTP « WindowServer:
    http://windowserver.wordpress.com/2011/07/09/demostracin-conectando-clientes-a-la-red-por-vpn-windows-server-2008-r2-y-windows-7-parte-1-pptp-2/

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 22 de julio de 2011 17:17
    Moderador
  • Guillermo,

    He seguido este último enlace y parece fácil de configurar. Dos dudas:

    ¿Por qué en el ejemplo el DHCP es del rango 172.16.1.x en lugar de 131.107.0.x? ¿hay que "crear" un tercer rango además del interno y el externo?

    Continuando con el ejemplo anterior.... ¿la dirección IP que se debería especificar en el DHCP Relay Agent es la 131.107.0.1?

     

    martes, 26 de julio de 2011 9:26
  • Porque el rango de la VPN deben ser IPs privadas, no públicas

    La red 131.107.0.0 simula ser Internet

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 27 de julio de 2011 7:35
    Moderador
  • Y agrego que se me pasó.

    El Relay Agente no hay que configurar nada. Se usaría sólo si asignaras IPs a la VPN por medio de tu DHCP

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 27 de julio de 2011 7:36
    Moderador
  • Bueno Guillermo, ya he hecho todas las pruebas y esto es lo que tengo:

    ROUTER -- SERVIDOR VPN y DC -- LAN

    IP interfaz externa: 192.168.6.11

    IP router: 192.168.6.1

    IP interfaz interna: 192.168.7.11

    Puertos 1723 y 47 de router abiertos (dirigidos a 192.168.6.11)

    En Enrutamiento y acceso remoto he habilitado VPN + NAT, los clientes VPN recibirán una IP entre 192.168.6.50 y 192.168.6.100

    El usuario se conecta correctamente, si hace ping a 192.168.6.11 o 192.168.6.1 da respuesta, si lo hace a la 192.168.7.11 no responde

    Al hacer net use z: \\192.168.7.11\RecursoCompartido /user:DOMINIO\Usuario contraseña no funciona.

    ¿Por qué no logro acceder al recurso compartido?

    miércoles, 27 de julio de 2011 17:06
  • Hola si tu interfaz interna (la de la lan) es -> IP interfaz interna: 192.168.7.11

    Tus clientes tiene que recibir un ip con el mismo id. ej: 192.168.7.z, de esa forma van a poder llegar al host \\192.168.7.11.

     

    Saludos

    Gustavo

    miércoles, 27 de julio de 2011 17:25
  • Hola Gustavo

    Esa opción ya la había probado y efectivamente funciona, pero creía que el cliente VPN debía obtener una IP del interfaz externo.

    ¿Entonces cuando se configura una VPN con 2 interfaces de red el cliente VPN siempre obtiene una IP de la interfaz interna? Si es así no veo la diferencia entre usar 2 interfaces o solo 1 en el servidor VPN. Disculpa pero son novato en este de redes VPN, ¿podrías explicarme la diferencia?

    Saludos

    miércoles, 27 de julio de 2011 18:29
  • El cliente VPN puede recibir IP de la red *interna* (192.168.7.z), o una de otra red privada (por ejemplo 172.16.y.z)

    Lo que no puede usar es de la red externa (192.168.6.z)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Fran72 lunes, 1 de agosto de 2011 9:42
    miércoles, 27 de julio de 2011 23:19
    Moderador
  • Hola Frankiegoes

    En mi caso, mis servidores de vpn tenían 2 placas de red (1 wan y otra lan, para describirlas de laguna forma), ya que enrutaban hacia sucursales y atendían clientes externos.

    Ej: internet <-> router/firewall -> Wan(servidor vpn) <---->Lan(servidor vpn) --->servidores y clientes lan.

    De esta forma el cliente disca de cualquier parte del planeta, y tu servidor vpn le asigna una IP de la lan.

    De esta forma esta "integrado" a tu red, o sea forma parte de la misma y puede acceder a los recursos.

    -------------------------------------

    Con una placa se puede armar, pero habría que ver cual es el escenario, porque en este momento no se me ocurre, como para darte un ejemplo.

    saludos

    Gustavo

    • Marcado como respuesta Fran72 lunes, 1 de agosto de 2011 9:42
    jueves, 28 de julio de 2011 11:20
  • He probado asignando al cliente una IP del rango 172.16.1.x (como en el ejemplo de Guillermo) y también he probado asignando una IP del rango 192.168.7.x. En el segundo caso puedo acceder a los recursos compartidos, en el primer caso no. Sigo sin saber que diferencia hay entre usar un rango o el otro, pero bueno, por lo menos en uno de los casos funciona.

    Gracias por la ayuda!

    lunes, 1 de agosto de 2011 9:42
  • Si no te funciona usando 172.16.y.z: revisa que los servidores/equipos de la red interna tengan como puerta de enlace a la IP interna del servidor VPN.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Fran72 martes, 2 de agosto de 2011 14:09
    lunes, 1 de agosto de 2011 23:11
    Moderador
  • Debe ser eso Guillermo, en la configuración IP de la red interna no tenia especificada ninguna puerta de enlace, tomé la configuración de las interfaces como si fuera a montar un ISA y se me pasó este detalle.
    martes, 2 de agosto de 2011 14:09
  • Y ya que nombras a Isa, agrego algo más, así el tema queda completo completo :-)

    El Isa "proxea" HTTP, HTTPS, y en alguna configuración FTP. Cualquier otro protocolo sale sin proxy

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 2 de agosto de 2011 23:26
    Moderador