none
Definitvamente... cómo configurar una VPN RRS feed

  • Pregunta

  • Buenos días a todos.

    Quiero configurar una VPN para que los usuarios externos tengan acceso a la red interna. He leído cantidades ingentes de documentación sobre el tema, pero hay una serie de dudas que no he encontrado por ninguna parte.

    En primer lugar el entorno. Por circunstancias :-P el servidor que hará de VPN-SERVER será un servidor virtualizado con 2 tarjetas de red. El servidor físico tendrá sólo 1 tarjeta de red. Las IP´s que voy a poner no son las reales, pero como si lo fueran. La configuración de la red es la siguiente

    SERVIDOR VIRTUAL

    - Tarjeta 1 - 100.12.12.10 ESTA ES LA SUBRED DE LA LAN.

    - Tarjeta 2 - Esta será la que "se conecté a internet" que dicen en todas las guías.

    SERVIDOR FÍSICO

    - Tarjeta - 100.12.12.20 (por ejemplo)

    Ahora el router. Es el que hace de gateway. Por encima de mi red, hay otra para salir a internet. Así que estas son las IP´s

    IP LAN 100.12.12.254

    MASK LAN 255.255.255.0

    IP WAN 200.200.200.20

    MASK WAN 255.255.255.248

    GATEWAY WAN 200.200.200.30

    El servidor VPN va a ser sin NPS y sin NAT. Creo que de configuración no me dejo nada. Ahora empiezan las dudas. ¿Tengo que  poner Gateway y DNS en las tarjetas del servidor de la VPN?, ¿Tengo que poner la IP del DHCP en las propiedades del "agente de retransmisión"?. En el router sé que tengo que abrir el puerto 1723 TCP y redireccionarlo a la IP del servidor VPN ¿pero a su IP LAN o WAN?. Sé que tengo que abrir este puerto en todos los firewalls. También sé que tengo que permitir el tráfico GRE en el router.

    En fin, que he probado de todo y no consigo hacer bien que funcione...

    jueves, 10 de mayo de 2012 11:43

Respuestas

  • [Guillermo] Te respondo en cada pregunta

    El servidor VPN va a ser sin NPS y sin NAT. Creo que de configuración no me dejo nada. Ahora empiezan las dudas. ¿Tengo que  poner Gateway y DNS en las tarjetas del servidor de la VPN?,
    [Guillermo] En la conexión externa del servidor VPN:
    1-Poner el Default Gateway a la interfaz interna del Router
    2-No poner DNS]
    En la interfaz interna:
    1- Debes poner como DNS, el que uses para resolver nombres de Internet
    2-No debe tener Default Gateway

    ¿Tengo que poner la IP del DHCP en las propiedades del "agente de retransmisión"?.
    [Guillermo] Dependiendo de cómo asignes IPs a los clientes VPN. Te recomendaría que utilices un rango propio en el servidor, que coincida con la red interna, y olvidarse del Relay Agent

    En el router sé que tengo que abrir el puerto 1723 TCP y redireccionarlo a la IP del servidor VPN ¿pero a su IP LAN o WAN?.
    [Guillermo] A la IP externa del servidor VPN

    [Guillermo] un detalle importante, porque de otra forma no funciona, y no sé si lo puedes resolver. Un servidor VPN trabaja sobre redes IP diferentes. O sea que si la idea es que los clientes VPN accedan a la red interna, la dirección externa del VPN tiene que estar en una red diferente a la interna, y por lo tanto no se podrá comunicar con el Router, salvo que a este le puedas configurar una segunda IP de otra red en la conexión interna

    [Guillermo] No sé si lo que puse es claro, voy a tratar de aclararlo más. Los clientes llegan al Router por la IP externa y el Router lo reenviará a la interfaz externa del servidor VPN, pero si esta está en la misma red interna, el servidor VPN no pasará tráfico de una red a la otra, pues ve ambas como una sola.
    Un servidor VPN es un Router, y por lo tanto interconecta dos redes diferentes

    Sé que tengo que abrir este puerto en todos los firewalls. También sé que tengo que permitir el tráfico GRE en el router.

    En fin, que he probado de todo y no consigo hacer bien que funcione...



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    jueves, 10 de mayo de 2012 21:48
    Moderador

Todas las respuestas

  • [Guillermo] Te respondo en cada pregunta

    El servidor VPN va a ser sin NPS y sin NAT. Creo que de configuración no me dejo nada. Ahora empiezan las dudas. ¿Tengo que  poner Gateway y DNS en las tarjetas del servidor de la VPN?,
    [Guillermo] En la conexión externa del servidor VPN:
    1-Poner el Default Gateway a la interfaz interna del Router
    2-No poner DNS]
    En la interfaz interna:
    1- Debes poner como DNS, el que uses para resolver nombres de Internet
    2-No debe tener Default Gateway

    ¿Tengo que poner la IP del DHCP en las propiedades del "agente de retransmisión"?.
    [Guillermo] Dependiendo de cómo asignes IPs a los clientes VPN. Te recomendaría que utilices un rango propio en el servidor, que coincida con la red interna, y olvidarse del Relay Agent

    En el router sé que tengo que abrir el puerto 1723 TCP y redireccionarlo a la IP del servidor VPN ¿pero a su IP LAN o WAN?.
    [Guillermo] A la IP externa del servidor VPN

    [Guillermo] un detalle importante, porque de otra forma no funciona, y no sé si lo puedes resolver. Un servidor VPN trabaja sobre redes IP diferentes. O sea que si la idea es que los clientes VPN accedan a la red interna, la dirección externa del VPN tiene que estar en una red diferente a la interna, y por lo tanto no se podrá comunicar con el Router, salvo que a este le puedas configurar una segunda IP de otra red en la conexión interna

    [Guillermo] No sé si lo que puse es claro, voy a tratar de aclararlo más. Los clientes llegan al Router por la IP externa y el Router lo reenviará a la interfaz externa del servidor VPN, pero si esta está en la misma red interna, el servidor VPN no pasará tráfico de una red a la otra, pues ve ambas como una sola.
    Un servidor VPN es un Router, y por lo tanto interconecta dos redes diferentes

    Sé que tengo que abrir este puerto en todos los firewalls. También sé que tengo que permitir el tráfico GRE en el router.

    En fin, que he probado de todo y no consigo hacer bien que funcione...



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    jueves, 10 de mayo de 2012 21:48
    Moderador
  • Hola Guillermo. Te agradezco mucho tu respuesta. Te comento algunas cosas a ver qué puedo estar haciendo mal. Ahí va la configuración resultante.

    SERVIDOR VPN

       IP EXTERNA: 10.21.21.1 conexión externa del servidor VPN

       MASK: 255.255.255.0

       GATEWAY: 100.12.12.254 1-Poner el Default Gateway a la interfaz interna del Router

       IP INTERNA: 100.12.12.10

       MASK: 255.255.255.0

       Sin Gateway y los DNS bien puestos

    ROUTER

       IP WAN 200.200.200.20

       IP LAN 100.12.12.254

    * Con esta configuración y sin haber configurado aún servicios de enrutamiento y acceso remoto, mi servidor no tiene acceso a internet. Es lógico, pues la puerta de enlace está en la interfaz externa en vez de la interna. Cuando se habilitase Servicios de Enrutamiento entonces sí saldría a internet.

    * Detalles Importantes. Como me has dicho, la interfaz WAN (10.21.21.1) es de otra red diferente de la interfaz LAN (100.12.12.10). Ahora bien, si en el router (IP INTERNA 100.12.12.254) le redirecciono el tráfico 1723 a la interfaz WAN del servidor VPN (10.21.21.1), como es de otra red diferente, que ni es internet, ni es la LAN, pues no es capaz de encontrarla. Es decir, los clientes acceden al router por la wan del router, y el router lo redirecciona a la WAN del servidor vpn, pero no encontraría esa red.

    Mil gracias por contestar, porque me estoy volviendo LOCO con este tema ya.


    • Editado Sistemas2010 viernes, 11 de mayo de 2012 15:15 Me apresuré...
    viernes, 11 de mayo de 2012 15:03
  • No hay forma que se comunique la interfaz del VPN está en la red 10.21.21.0/24  con otra interfaz 10.12.12.0/24 en el Router

    Son redes diferentes, y la única forma de comunicarlas sería con otro Router intermedio :S

    El problema que tienes es de diseño, el servidor VPN debe estar entre la red interna y Router, y tu tienes el servidor VPN *en* la red interna.

    El esquema debería ser:

    Internet---Router---VPN---RedInterna

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 11 de mayo de 2012 15:55
    Moderador
  • Ummm así que supongo que lo que tengo que ir probando es instalar NAT en el servidor VPN y hacerlo gateway en vez de que el gateway sea el router. ¿Lo voy probando? así tendría una red exclusivamente entre el router y la interfaz externa del VPN, y otra red exclusivamente entre la interfaz interna del VPN y el resto de mi red.

    viernes, 11 de mayo de 2012 16:25
  • No, no lo solucionas con NAT. El problema es que tiene que trabajar entre dos redes IP diferentes y no las tienes

    Por eso el esquema que puse antes

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 11 de mayo de 2012 17:09
    Moderador
  • Vale, no instalo nat, pero con esta configuración tendría las dos redes. Lo único que he hecho es cambiar la IP interna del router...

    SERVIDOR VPN

       IP EXTERNA: 10.21.21.1

       IP INTERNA: 100.12.12.10

    ROUTER

       IP WAN 200.200.200.20

       IP LAN 100.12.12.254

    viernes, 11 de mayo de 2012 17:34
  • No se pueden conectar 10.21.21.1 y 100.12.12.254 en forma directa. Están en redes diferentes

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 11 de mayo de 2012 22:24
    Moderador
  • Ok, así que si están en redes diferentes, e instalo Enrutamiento y Acceso remoto, sin NAT, ¿Entonces ya tendría la configuración correcta?.

    De internet al router WAN por la red 200.200.200.X, del router LAN al VPN WAN por la 10.21.21.X y del VPN LAN al resto de mi equipos por la 100.12.12.x,

    Instalando Enrutamiento y acceso remoto en servidor VPN sin NAT. ¿Están bien puestas las puertas de enlace en las 2 tarjetas del servidor VPN?. ¿En el resto de equipos de mi red LAN tendré que poner la IP LAN del  servidor VPN como Gateway?

    SERVIDOR VPN

       IP WAN: 10.21.21.1

       MASK: 255.255.255.0

       GATEWAY: 10.21.21.254

       IP LAN: 100.12.12.10

       MASK: 255.255.255.0

       Sin Gateway y los DNS bien puestos

    ROUTER

       IP WAN 200.200.200.20

       IP LAN 10.21.21.254

    lunes, 14 de mayo de 2012 10:23
  • De esa forma puede ser que funcione la VPN, pero el problema es que los clientes de la red interna no van a poder salir a Internet porque desde la red 10.12.12.0/24 no van a poder contactar al Router con 10.21.21.0/24, salvo que el VPN haga NAT.
    Y además al estar creando las redes IP sobre la misma red física (porque el VPN es virtual) los clientes externos estarían sobre tu red antes de ser validados

    Insisto, tienes un problema de diseño. A mi entender quizás funcione pero no sé si va a ser una buena solución

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 14 de mayo de 2012 11:46
    Moderador
  • Yo te explico cómo lo he hecho, con los recursos que he tenido.
    Caso 1) Enlace con IP pública dedicada en ambas puntos.
    En un punto tenian Monowall y en el otro punto WatchGuard. Ambos equipos trabajan con Vpn basada en IPSEC, en donde defines a ambos un preshared key (una clave larga cualquiera) y un par de cosas más que les configuras. Aquí los pasos sencillos explicados en cuatro páginas en Español.
    http://www.mediafire.com/view/?d71r5bi5audambs

    Caso 2)
    Cuando solo tienes una IP pública dedicada, la que va a dar al server. Entonces es igual, con IPSEC para perfil mobile, es decir, no importa desde donde te conectes, se habilitó en el Monowall  el IP para perfil móvil, y hay pasos definidos para configurar los clientes, de tal manera que garanticen la seguridad.

    Esos métodos se pueden utilizar con otros routers, el IPSEC funciona igual es un estándar. Si la Vpn la haces con servidores como mencionas, es una capa más adentro, es menos seguro.

    lunes, 18 de junio de 2012 21:48