none
VPN con routers y Servidores WS con dos tarjetas de red RRS feed

  • Pregunta

  • Planteo el escenario:

    Para la conexión entre dos sedes, se ha realizado un túnel vpn utilizando dos routers. La conexión funciona perfectamente y los servidores se ven sin problema alguno.

    Ambos servidores tienen dos tarjetas de red, una que se conecta al router que da salida a internet y hace de servidor vpn y otra que da servicio a los ordenadores locales.

    La topología sería así:

    192.168.2.0 [LAN01] <- 192.168.9.0 [LAN INET01] <- Router <- Internet -> Router -> 192.168.8.0 [LAN INET02] -> 192.168.1.0 [LAN02]

    Se han añadido relaciones de confianza por nombre cualificado y no han habido problemas. Se reconocen los servidores dns y se resuelven los nombres también sin problemas.

    Sin embargo, dado que la segunda tarjeta del servidor no está conectada al router, el segmento de red LAN0X no se reconoce desde los servidores y no se puede acceder a los equipos de ambas redes.

    ¿Es posible, manteniendo estas conexiones tal cual, añadir los segmentos a las tablas de ambos servidores o hay necesariamente que conectar físicamente las segundas tarjetas a los routers?

    ¿Se podrían enrutar esas tarjetas, sin conectarlas físicamente, mediante el servicio de RRAS?. Ahora mismo he instalado dicho servicio y los ordenadores son capaces de salir a internet y hacer ping sobre el rango de las LAN INET0X, pero no sobre las otras, las redes de los extremos. Desconozco si es posible añadiendo alguna ruta estática en los servidores de RRAS.

    Muchas gracias por su ayuda y reciban un cordial saludo.

    jueves, 25 de febrero de 2016 21:17

Respuestas

  • Hola mhbeyle, como mencioné antes, debes configurar por enrutamiento, y no por NAT

    Que una interfaz esté conectada a una red del Router que provee Internet, no es lo mismo que "estar conectada a Internet". La red 192.168.5.0 no es Internet

    Y por el hecho de estar usando NAT bloquea todo el tráfico entrante sobre la identificada como externa (Internet)

    Resumiendo, todo debe hacer por enrutamiento, y crear una ruta en cada host para cada red que no tenga conectada localmente

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 1 de marzo de 2016 23:19
    • Marcado como respuesta mhbeyle miércoles, 2 de marzo de 2016 8:17
    martes, 1 de marzo de 2016 19:22
    Moderador

Todas las respuestas

  • Hola mhbeyle, primero una consideración, si la VPN entre los sitios la hacen los Routers, salvo problemas de seguridad, no deberían tener los servidores dos interfaces de red. Directamente todas las máquinas de cada sitio conectadas a la red interna del Router con VPN

    Habría que ver si hay algún motivo por el que tienes hecha la configuración que nombras :)

    De todas formas, el tema pasa por las tablas de enrutamiento. Todo equipo conoce cómo llegar a las redes que tiene directamente conectas, pero para otras redes hay que indicarselo mediante entradas en la tabla de enrutamiento

    Para que un Router sepa cómo llegar a la red que está "detrás" del servidor, deberías indicárselo. Vale igual para todas las máquinas, aunque en este caso puede ser por Puerta de Enlace

    Y por supuesto ambos servidores deberían estar configurados para funcionar como Routers

    Además cada máquina debería tener configurado como Puerta de Enlace a su "Router" "más próximo"

    Cuidado con algo: si esos servidores son Controladores de Dominio, tener más de una dirección IP suele traer problemas, y no es conveniente esa configuración

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 25 de febrero de 2016 21:32
    Moderador
  • Muchas gracias por la respuesta.

    Entiendo que aquí "sobra" una tarjeta, pero la configuración me la he encontrado así y me gustaría no tener que modificar las configuraciones de los routers por una cuestión de tiempo.

    La vpn se montó en su día para enlazar los dos servidores, sin atender a las redes que estos tenían detrás.

    En los servidores que están en los routers, que no son DCs, he instalado RRAS para que actúen como routers. Los he configurado con las opciones básicas para que hagan enrutamiento de la LAN. Con las tablas de enrutamiento que crea el servicio de RRAS los ordenadores son capaces de conectarse a internet.

    Sin embargo, como dije antes, los routers no acceden a las redes que están tras los servidores, que es lo que pretendo que hagan.

    Veamos:

    Si yo quiero acceder al rango 192.168.2.0 desde el router, que está en el 192.168.9.0, creo una ruta de acceso que es 192.168.2.0 con una puerta de enlace que es la IP del servidor (en el rango 192.168.9.0), pero no basta con esto, pues no se accede.

    ¿Haría falta añadir alguna ruta más al RRAS de los servidores, además de las que crea por defecto? ¿O alguna más en el propio router?

    No estoy muy puesto en tablas de enrutamiento, la verdad.

    Saludos.

    jueves, 25 de febrero de 2016 23:26
  • Para conseguir que los Routers accedan a la red que está "detás" de los servidores, se lo debes enseñar :)

    Para el ejemplo que nombras (Router) debes hacer una entrada en la tabla de enrutamiento que diga algo así como: "para llegar a 192.168.2.0/24 debes enviar la info a 192.168.9.x" Siendo 192.168.9.x la dirección del servidor que tiene la conexión

    Si quieres algo más detallado, dame un ejemplo pero con direcciones IP y máscara de cada uno. Y muy importante, si alguna tiene configurada Puerta de Enlace

    - Máquina en LAN01
    - Server en LAN01 e INET01, ambas direcciones
    - Router en INET01, dirección interna

    - Máquina en LAN02
    - Server en LAN02 e INET02, ambas direcciones
    - Router en INET02, dirección interna

    Además para poder ver cuánto se puede ahorrar en las tablas de enrutamiento ¿quién provee acceso a Internet? porque ahí hay que infocar la puerta de enlace

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 26 de febrero de 2016 10:31
    Moderador
  • Gracias por todo.

    Los dos servidores están montados igual. Solamente cambian las direcciones ip. El acceso a internet se hace mediante un modem/router al que se conecta el router que provee el túnel de vpn, al que está conectado el servidor de dns y luego dicho servidor se conecta a un switch que da servicio a toda la red local.

    En este caso, el esquema sería así:

    Módem (provee la ip pública)
    Router:
    WAN: 10.8.1.200
    LAN 192.168.8.2 (este router hace el túnel vpn). Tiene como puerta de enlace la dirección del módem, que es el que provee la ip del router (10.8.1.2).
    Server dns LAN INET01: 192.168.8.195 (aquí está montado un rras que hace nat y router). Tiene como puerta de enlace la dirección del router.
    Server dns LAN01: 192.168.1.1 (esta sería la segunda tarjeta, pinchada en el switch)

    Los equipos conectados al switch de LAN01 no están conectados físicamente al router. Es el servidor con el rras el que redirecciona los paquetes hacia él y por ahí se sale a inernet. Todo esto funciona perfectamente.

    Lo que falla es desde el router hacia la parte de la LAN01. Es decir, el router no es capaz de ver el segmento de red 192.168.1.0/24 y como consecuencia de esto, los equipos al otro lado del túnel, tampoco ven dicho segmento. Creo que el servidor de rras puede tener algo que ver, pero se me escapa. En principio, dicho servidor no tiene filtros de ningún tipo.

    Saludos cordiales.



    • Editado mhbeyle domingo, 28 de febrero de 2016 20:43
    domingo, 28 de febrero de 2016 20:35
  • Hola, trato de pasar los datos en forma más esquemática :)

    Router(192.168.8.2) --- (192.168.8.195)Serv(192.168.1.1) --- Otras(192.168.1.0/24)

    Primero que nada, la máquina Serv, no debe hacer NAT, sólo "Routing", porque NAT es unidireccional. Cualquier tráfico que implique pasar del lado "público" al "privado" si hace NAT deberías "mapearlo", lo cual no tendría sentido en este caso

    Las máquinas de la red mencionada como "Otras" deben tener como Puerta de Enlace a 192.168.1.1

    La máquina "Serv" debe tener como Puerta de Enlace a 192.168.8.2 configurado solamente en la interfaz 192.168.8.195

    En la máquina "Router" debes crear una entrada en la tabla de enrutamiento indicándole que para llegar a la red 192.168.1.0/24 se lo debe enviar a "Serv" en su interfaz local 192.168.8.195
    Al ser un Router hardware lee la documentación de cómo hacerlo.
    Si fuera un Windows el comando sería:
    ROUTE ADD -P 192.168.1.0 MASK 255.255.255.0 192.168.8.195

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 29 de febrero de 2016 11:37
    Moderador
  • Hola de nuevo.

    En principio está todo así como indicas tú. También añadí la entrada  en la tabla de direcciones del router.

    Con esto no funciona. El router sigue sin acceder a la parte de la red 192.168.1.0/24. Creo que el problema está en que el servidor de rras lo montaron también para que hiciese NAT. Por lo que he visto, hay una tarjeta que provee las direcciones 192.168.1.0/24 y otra que provee las 192.168.8.0/24. Esta última aparece configurada en el rras como "tarjeta conectada a internet" y la otra no.

    Lo que no sé es si cambiarles esta configuración o dejarla como está y mapear, como apuntas tú. Mi problema es que nadie sabe decirme porqué está esto montado así y tengo miedo de cargarme alguna cosa porque no tengo acceso a lo que hay tras este servidor.

    saludos.

    martes, 1 de marzo de 2016 12:17
  • No sólo no va a funcionar si tiene NAT, sino que además la han configurado al revés, y por si fuera poco ahí no hay ninguna interfaz conectada a Internet. Así que gran confusión el que ha hecho eso

    Los motivos por lo que ha hecho eso pueden pasar por muchísimas ideas, desde el desconocimiento de enrutamiento IP, hasta que pensaba hacer la VPN entre los servidores y no entre los Routers, o inclusive hasta hay alguno que piensa que un servidor es más seguro que un cortafuegos verdadero

    Lo más fácil para sacar el NAT, si no conoces del tema, es en la consola de Enrutamiento y Acceso Remoto, botón derecho y deshabilitar el servicio, y luego volverlo a hacer desde cero, elijiendo la opción "custom"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 1 de marzo de 2016 13:04
    Moderador
  • No te entiendo. Una de las tarjetas sí que está conectada al router y a internet. La 192.168.8.195 está conectada al router y por ahí provee al servidor. La 192.168.1.1 da servicio a la red local.

    Saludos.

    martes, 1 de marzo de 2016 16:08
  • Hola mhbeyle, como mencioné antes, debes configurar por enrutamiento, y no por NAT

    Que una interfaz esté conectada a una red del Router que provee Internet, no es lo mismo que "estar conectada a Internet". La red 192.168.5.0 no es Internet

    Y por el hecho de estar usando NAT bloquea todo el tráfico entrante sobre la identificada como externa (Internet)

    Resumiendo, todo debe hacer por enrutamiento, y crear una ruta en cada host para cada red que no tenga conectada localmente

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 1 de marzo de 2016 23:19
    • Marcado como respuesta mhbeyle miércoles, 2 de marzo de 2016 8:17
    martes, 1 de marzo de 2016 19:22
    Moderador