none
cliente vpn si conecta pero no accede a shares RRS feed

  • Pregunta

  • Tengo un servidor VPN y de acceso remoto con win 2003 R2 enterprise y ademas un ISA server 2004 como firewall. Cuando un cliente VPN se conecta desde cualquier punto, el servidor lo deja entrar y le da acceso, y se pueden ver los correos electrónicos de la red interna con el outlook, el cliente firewall del isa q está instalado en la pc del cliente también conecta, se hace un ping hacia la ip del server con su nombre y con su numero de IP y también funcionan. Lo que no funciona es cuando el cliente intenta accesar a sus carpetas compartidas, y ya verifiqué que SI tiene los permisos necesarios en dichas carpetas.

    Lo raro es que el VPN estuvo funcionando muy bien durante mucho tiempo, hasta hace como 1 mes que empezó a dar este problema. Un cambio bastante grande que se hizo en este ultimo mes fue agregar un servidor como child domain dentro de la misma red y dentro del mismo bosque, pero realmente no sabría decirles si esa fue la razón del inicio del problema.

    Alguna sugerencia?

    miércoles, 29 de abril de 2009 18:18

Respuestas

  • anoclon, hay que separar los temas porque sinó es imposible ayudarte.

    Primero, hay que tener conectividad por IP. Por ejemplo lo pruebas con PING
    Segundo hay que ver el tema de resolución de nombres. Por ejemplo pruebas con \\equipo.dom.suf
    Tercero está el tema de permisos.

    Y como no te fijes el log de ISA nada puedo hacer
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    viernes, 8 de mayo de 2009 21:57
    Moderador
  • Ingeniero anoclon.

    Recomiendo que realice lo siguiente:

    1. Se sabe que la falla es acceso a las carpetas compartidas desde el cliente VPN a la red interna.
    2. conectarse con el cliente vpn, y monitorea la IP del cliente VPN para identificar que regla niega el acceso.

    Adjunto un link herramienta de verificacion de la configuracion de ISA.

    http://www.microsoft.com/downloads/details.aspx?familyid=D22EC2B9-4CD3-4BB6-91EC-0829E5F84063&displaylang=en

    Se llama ISABPA


    Ing. Diego Fernando Muñoz L. MCT - MCSA - MCSE - CCAI - CCNA.
    sábado, 9 de mayo de 2009 7:08

Todas las respuestas

  • Has intentado monitorear el trafico en el ISA para verificar que el mismo no este denegando ningun protocolo  ?

    Slds
    Sebastian del Rio

    Saludos. Colabora con el foro y vota si el mensaje es util.
    jueves, 30 de abril de 2009 13:30
    Moderador
  • En el isa no se ha cambiado nada en todo este tiempo, por lo que no creo que sea el problema. Además ayer descubrí que estando conectado como cliente VPN, puedo accesar a cualquier equipo cliente conectado dentro de la red local, por ejemplo, \\administra5\c$, también puedo hacer lo mismo con el servidor exchange que está dentro de la misma red \\exchsrv\c$, pero cuando lo hago con el servidor VPN y cuando lo hago con el child domain no me da acceso de esa forma.

    jueves, 30 de abril de 2009 14:11
  • Me acabo de dar cuenta de algo curioso, no se si tenga algo que ver:

    la sub-red del servidor vpn es 192.168.0.0, con mascara 255.255.255.0

    cuando me conecto como cliente vpn, la direccion ip que el servidor me asigna está dentro del mismo rango, digamos, 192.168.0.5 pero la mascara de subred que asigna es la 255.255.255.255. Tendrá esto algo que ver? y si es este el problema como lo soluciono?

    jueves, 30 de abril de 2009 14:50
  • Esa máscara de subred, es porque se configura la VPN como Puerta de Enlace; no tiene que ver con el problema.

    Si te puedes comunicar con todos los clientes de la red, pero no con el servidor VPN asegúrate de tener la regla en el ISA que permita conectarse entre VPN Clients y Localhost.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    jueves, 30 de abril de 2009 23:26
    Moderador
  • Ya tengo esa regla en el isa

    "permitir"  "todo el trafico saliente" de "clientes de vpn"  a "host local e interna"  "todos usuarios"

    y como dije antes, las reglas del isa que tienen que ver con vpn no se han tocado desde hace meses. Lo curioso es que el problema comenzó funcionando intermitentemente, es decir, algunos días funcionaba y otros días no. Algunas horas funcionaba y otras no. Pero últimamente ya no funciona para nada. Eso es lo raro, se les ocurre que mas podria ser?
    jueves, 30 de abril de 2009 23:47
  • Hay que "investigar" entonces.

    - Cuando desde la VPN no se puede acceder ¿desde la red interna si?
    - Accediendo por \\ip_interna ¿permite o no?
    - PING Dir_IP_interna ¿responde?
    - Visor de sucesos del servidor ¿eventos relacionados?
    - Logging en la consola del ISA
    - ...

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    viernes, 1 de mayo de 2009 11:04
    Moderador
  • Cuando el VPN no da acceso, desde la red interna SIEMPRE puedo acceder con \\NOMBRE-EQUIPO\ y tambien  \\NUMERO-IP\. Igualmente haciendo PING de las 2 formas SI responde

    Revisaré a fondo el visor de sucesos a los eventos relacionados y tambien el isa y les contaré q encuentro. Gracias
    viernes, 1 de mayo de 2009 16:28
  • He revisado los logs tanto del isa como los de windows y no aparece nada raro que diga porque no funciona el acceso a los shares cuando un cliente vpn se conecta desde un sitio remoto. Agredecería me pudieran dar mas sugerencias de que puede estar pasando. Gracias.
    miércoles, 6 de mayo de 2009 15:09
  • Desde un cliente en la VPN, prueba el PING y el \\Dir_IP

    Por otro lado, cuando me refiero a log de ISA, es (lo tengo en inglés) Monitorin, Logging, y mientras lo tienes en funcionamiento, puedes ver qué erro da.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    jueves, 7 de mayo de 2009 19:12
    Moderador
  • Gracias Guillermo, te cuento q desde un cliente vpn si funciona el ping, tambien funciona el acceso hacia cualquier otro equipo de la red \\administra5\c$, también conecta el cliente firewall del isa que está instalado en el quipo desde donde se conecta el usuario vpn, también funciona el correo electrónico interno, lo que no funciona es unicamente el acceso hacia el servidor \\servidor\d$.

    Hice algo mejor, desactivé el ISA y luego me conecte como cliente vpn y aun asi NO funciona el acceso hacia el servidor.

    Que mas puede ser?
    • Editado anoclon jueves, 7 de mayo de 2009 20:19
    jueves, 7 de mayo de 2009 20:15
  • Que estén deshabilitados lo compartidos administrativos :-)
    Prueba con una compartida común.

    En el cliente de VPN te puede estar molestando el cliente de firewall del ISA, prueba deshabilitándolo

    E insisto, porque es la única forma de ver si hay una regla rechazando la petición: con el Logging del ISA activo, tratar de conectarse a una carpeta en el mismo ISA. Por nombre y por IP Interna del ISA

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    viernes, 8 de mayo de 2009 11:11
    Moderador
  • El problema se identificó precisamente por que los clientes VPN comunes, es decir, sin privilegios, ya no pueden accesar a sus compartidas comunes. Inlcuso yo mismo con otro usuario no puedo accesar a ninguna carpeta a la que me he dado permisos NTFS ni aún cuando tengo los compartidos administrativos y como te dije anteriormente, ya deshabilité el isa server y ni aún asi me deja accesar a ningun share.

    Ya deshabilité el cliente firewall en el equipo de cliente vpn y tampoco funciona de esta forma.

    Como dato curioso, SI puedo accesar al exchange server, que está dentro de la misma sub-red, sin embargo, NO puedo accesar a ninguno de los 2 child domains que también están dentro del mismo bosque.
    viernes, 8 de mayo de 2009 14:19
  • anoclon, hay que separar los temas porque sinó es imposible ayudarte.

    Primero, hay que tener conectividad por IP. Por ejemplo lo pruebas con PING
    Segundo hay que ver el tema de resolución de nombres. Por ejemplo pruebas con \\equipo.dom.suf
    Tercero está el tema de permisos.

    Y como no te fijes el log de ISA nada puedo hacer
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    viernes, 8 de mayo de 2009 21:57
    Moderador
  • Ingeniero anoclon.

    Recomiendo que realice lo siguiente:

    1. Se sabe que la falla es acceso a las carpetas compartidas desde el cliente VPN a la red interna.
    2. conectarse con el cliente vpn, y monitorea la IP del cliente VPN para identificar que regla niega el acceso.

    Adjunto un link herramienta de verificacion de la configuracion de ISA.

    http://www.microsoft.com/downloads/details.aspx?familyid=D22EC2B9-4CD3-4BB6-91EC-0829E5F84063&displaylang=en

    Se llama ISABPA


    Ing. Diego Fernando Muñoz L. MCT - MCSA - MCSE - CCAI - CCNA.
    sábado, 9 de mayo de 2009 7:08
  • Que tal anoclon!

    Te comento que en una vpn que tengo me acaba de pasar el mismo problema que tienes, en otras maquinas donde hago esta conexion si abre las carpetas compartidas menos en una, yo creo que el problema debe estar en la computadora que se conecta por vpn, pero la verdad no se como solucionarlo.
    Si tienes alguna solucion te agradeceria me dijeras.

    saludos!

    jueves, 21 de mayo de 2009 16:24
  • Fijate que yo he probado conectarme desde 3 computadoras distintas, incluso 1 de ellas tiene XP y las otras tienen Vista, pero en mi caso no creo que sea este el problema.

    En el servidor VPN ya des-instale y re-instalé el WINS, el RAAS y también deshabilité el isa server para ver si no era éste el que bloqueaba el tráfico pero tampoco funcionó. Lo unico que me falta por hacer es reconfigurar el DNS, que creo que podria ser lo que este causando el problema. Ten seguro que si encuentro la solucion la pondré aqui y si tu la encuentras te agradeceria que lo hicieras tambien. Gracias.
    jueves, 21 de mayo de 2009 16:52
  • a mi se me presento este problema apenas el dia de ayer y hoy e estado leyendo a ver que se puede hacer.....algo que lei que no lo e checado es lo que viene en esta pagina...no lo probado porque no le se muy bien a la configuracion de mi router

    http://bandaancha.eu/tema/1642280/carpeta-compartida-sobre-vpn

    pero quizas ahi este la solucion como paso con la persona de esa pagina...

    jueves, 21 de mayo de 2009 17:00
  • Hola, 

    Yo tengo mas o menos el mismo problema. Tengo creada la VPN, me dice que estoy conectado pero cuando intento hacer un ping a una direccion_Ip o a un nombre_logico de equipo no me lo permite. Tampoco puedo acceder a nada de la red compartido.

    ¿Alquien nos puede ayudar?

    Gracias
    miércoles, 10 de marzo de 2010 12:39
  • Finalmente un día descubrí cual era mi problema casi por accidente y por andar revisando todas las configuraciones que se me ocurrian. Resulta ser que tuvimos un problema por una aplicación propietaria que tenemos instalada en el servidor donde tambien tengo instalado el WINS. La gente propietaria de este software me dijo que cambiara algo en la configuracion de WINS. Tal vez esto sea tu caso, podrías probar.

    Ve a Propiedades de tu placa de red donde tienes instalado el servidor WINS, luego ve a las propiedades del "protocolo de internet (tcp/ip)", luego click en opciones avanzadas, luego ve al tab WINS. Aqui chequea el cuadrito que dice "habilitar la busqueda de LMHOSTS" y escoge la opción "predeterminada" en el cuadro que dice "configuración de NETBIOS".

    Es todo. Postea si te soluciona el problema.
    miércoles, 10 de marzo de 2010 18:44
  • Buenas anoclon,

    Lo primero darte las gracias por la pronta respuesta.
    Comprobaré esto que me comentas, ya que creo que esta seleccionada la opción "Deshabilitada."

    En el momento que lo pruebe te comento si se ha resuelto el problema o no.

    Gracias de nuevo.
    jueves, 11 de marzo de 2010 11:24
  • Buenas de nuevo,

    Pues  varias cosas:
    1- No tenemos servidor WINS (antes sí por que había clientes con Windows 98 y NT 4.0)
    2- Esas dos opciones las tengo desmarcadas, el checkbox esta desmarcado y le configuración NETBios deshabilitada pero en las dos tarjetas de red (externa =acceso a internet e interna = wlan)

    Lo he activado en la tarjeta de red interna y no me ha funcionado. Sigo pudiéndome conectar a la VPN, en el enrutamiento veo el usuario registrado, pero no puedo acceder a los compartidos de toda la red  ni hacer ping a los equipos de la red.

    Ahora bien, ¿en que tarjeta activo las opciones que me comentabas? Esos matices se me quedan un poco grandes. Me imagino que sea en la interna por que en la externo no tiene mucho sentido.

    Se aceptan sugerencias
    Gracias!
    jueves, 11 de marzo de 2010 15:59
  • Una sugerencia ya que pides ;-)
    Abre un hilo nuevo describiendo detalladamente la estructura de red y el problema.
    Leo el mensaje que has puesto y no sé a quién le estás contestando, ni conocemos cómo es la estructura :-(
    Gracias

    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 11 de marzo de 2010 16:08
    Moderador