none
Problema conexión VPN RRS feed

 > 

  • Pregunta

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

              Holas...

              Tengo dos servidores de dominio (serverA y serverB) en lugares geográficos distintos (lanes distintas). y pasa lo siguiente: Desde cualquier LAN (mi casa, cyber, etc.) me puedo conectar sin ningún a ambos servidores por VPN, y desde serverA me conecto VPN hacia serverB, pero desde el serverB, no puedo conectarme VPN hacia serverA. En el visor de sucesos del serverA dice lo siguiente:

    Tipo de suceso: Advertencia
    
Origen del suceso: Rasman
    
Categoría del suceso: Ninguno
    
Id. suceso: 20209
    
Fecha:  17/02/2009
    
Hora:  10:48:06
    
Usuario:  No disponible
    
Equipo: Servidor
    
Descripción:
    
Se estableció una conexión entre el servidor VPN y el cliente VPN
    
xx.xx.xx.xx, pero la conexión VPN no se puede completar. La causa más
    
probable es un firewall o enrutador entre el servidor VPN y el cliente VPN
    
que no está configurado para permitir paquetes de Encapsulación de
    
enrutamiento genérico (GRE) (protocolo 47). Compruebe que los firewall y
    
enrutadores entre el servidor VPN e Internet permitan paquetes GRE.
    
Compruebe también que los firewall y enrutadores en la red del usuario estén
    
configurados para permitir paquetes GRE. Si el problema continúa, pida al
    
usuario que se ponga en contacto con el proveedor de servicios Internet
    
(ISP) para determinar si el ISP está bloqueando los paquetes GRE.


          Lo que deseo hacer en el fondo es "unir" estos dos servidores, crear una relación de confianza entre ellos, que el serverA hacia el serverB. si alguien sabe otra forma de realizar esto igual se agradece.



                  Desde ya muchas gracias
    "Hasta la victoria siempre"
    • Editado jamp00 jueves, 25 de febrero de 2010 14:22
    miércoles, 24 de febrero de 2010 21:21
    |

Respuestas

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Que un controlador de dominio sea servidor de VPn es malo malo :-)

    Hay dos temas de por medio:
    - Un DC con más de una IP trae bastantes problemas. Si buscas en la base de conocimiento de MSFT con "multihomed domain controller" te saldrán varios artículos al respecto

    - La segunda es la más grave y está relacionada con seguridad. El controlador de dominio contiene lo "más valioso que tienes" como son los usuarios y sus respectivas contraseñas (y más...). Y el servidor VPN acepta conexiones directas de Internet...
    Una analogía ¿tu guardas tus ahorros en la puerta de calle de la casa? :-)

    Ahora vamos a las redes, si quisieras hacerlo igualmente
    Las VPNs hacia el otro sitio deben ser diferentes. No uses 192.168.10.0 en ambas. La máscara 255.255.255.255 es la que da el servidor VPN a los clientes para que la VPN funcione como puerta de enlace (Default Gateway). Lo que mayormente no es lo que uno busca.

    En el sitio B ¿qué tienes hecho??? :-)
    Un DC apuntando como DNS a los del ISP *nunca* va a funcionar. Sólo a sí mismo o un DNS que resuelva el dominio.

    Lo importante también de las redes en A y B, es el direccionamiento interno. Por ejemplo si en ambos sitios se está usando 192.168.10/255.255.255.0, nunca se van a comunicar porque siempre ven a la red como local

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    • Marcado como respuesta Atilla ArrudaModerator lunes, 1 de marzo de 2010 18:34
    • Desmarcado como respuesta jamp00 martes, 2 de marzo de 2010 12:05
    • Marcado como respuesta jamp00 miércoles, 3 de marzo de 2010 13:35
    jueves, 25 de febrero de 2010 21:58
    |
    Moderador

Todas las respuestas

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar
    No puedes crear relación de confianza "entre servidores", una relación de confianza es "entre dominios" y espero que para tu seguridad esos servidores no sean controladores de dominio.

    Lo primero a descartar es que está permitido el protocolo GRE que es lo que dice el mensaje de error. Aparentemente esto está bien pues puedes conectarte desde otros lugares, aunque yo le daría una segunda revisión al Router para estar seguro ;-)

    Tambié hay quien reporta que ese error le aparece con redes de "alta latencia". Pero en ese caso entiendo que no debería ser ya que en sentido inverso te conectas.

    Queda algo que yo investigaría que es por el lado de direcciones IP
    Pon qué direcciones IP y máscara estás utilizando en:
    - Sitio A
    - Sitio B
    - VPN hacia A
    - VPN hacia B

    Deberían ser 4 redes diferentes...
    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    • Marcado como respuesta Atilla ArrudaModerator lunes, 1 de marzo de 2010 18:34
    • Desmarcado como respuesta jamp00 miércoles, 3 de marzo de 2010 12:14
    jueves, 25 de febrero de 2010 12:25
    |
    Moderador
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar
    Guillermos, gracias...

            1.- Es entre dominio la relación de confianza que deseo realizar, me falto mencionar ese detalle, sorry.
            2.- Y las dos maquinas son controladores de dominio, quedé preocupado con eso de la seguridad, me podrías detallar más o un link donde pueda leer al respecto. Gracias.
            3.- Y con respecto al router (donde está en serverB) este es del ISP, por lo cual no tengo acceso a la configuración de este, lo que no he probado es tratar de conectarme desde el serverB a otra VPN.

            4.- Las direcciones IP, aquí creo que hay algún problema.

    - Sitio A
    IP             :192.168.1.50
    Mask         :255.255.255.0
    Getaway:  :192.168.1.3    ---> Router linksys
    dns1         :192.168.1.50
    dns2         :0.0.0.0

    - Sitio B
    IP             :2xx.7x.1xx.133
    Mask         :255.255.255.248
    Getaway:  :2xx.7x.1xx.129    ---> Router del ISP
    dns1         :2xx.7x.1xx.133
    dns2         :2xx.7x.1.5
    dns2         :2xx.7x.1.11


    - VPN hacia A
    IP             :192.168.10.11
    Mask         :255.255.255.255
    Getaway:  :
    dns1         :192.168.1.50
    dns2         :192.168.1.50


    - VPN hacia B
    IP             :192.168.10.102
    Mask         :255.255.255.255
    Getaway:  :
    dns1         :2xx.7x.1xx.133
    dns2         :2xx.7x.1.5


    NOTA: en la parte del error hace referencia a una IP que no usamos  la 2xx.7x.1xx.130 alomejor pueda servir de algo
    Se estableció una conexión entre el servidor VPN y el cliente VPN
    


2xx.7x.1xx.130, pero la conexión VPN no se puede completar...
    El fin de esta conexión es lograr unir los dominios, centralizar la administración de estos. Es posible o seguro poner el dominio B como subdominio de A??

              Nuevamente gracias.

    "Hasta la victoria siempre"
    jueves, 25 de febrero de 2010 14:10
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Que un controlador de dominio sea servidor de VPn es malo malo :-)

    Hay dos temas de por medio:
    - Un DC con más de una IP trae bastantes problemas. Si buscas en la base de conocimiento de MSFT con "multihomed domain controller" te saldrán varios artículos al respecto

    - La segunda es la más grave y está relacionada con seguridad. El controlador de dominio contiene lo "más valioso que tienes" como son los usuarios y sus respectivas contraseñas (y más...). Y el servidor VPN acepta conexiones directas de Internet...
    Una analogía ¿tu guardas tus ahorros en la puerta de calle de la casa? :-)

    Ahora vamos a las redes, si quisieras hacerlo igualmente
    Las VPNs hacia el otro sitio deben ser diferentes. No uses 192.168.10.0 en ambas. La máscara 255.255.255.255 es la que da el servidor VPN a los clientes para que la VPN funcione como puerta de enlace (Default Gateway). Lo que mayormente no es lo que uno busca.

    En el sitio B ¿qué tienes hecho??? :-)
    Un DC apuntando como DNS a los del ISP *nunca* va a funcionar. Sólo a sí mismo o un DNS que resuelva el dominio.

    Lo importante también de las redes en A y B, es el direccionamiento interno. Por ejemplo si en ambos sitios se está usando 192.168.10/255.255.255.0, nunca se van a comunicar porque siempre ven a la red como local

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    • Marcado como respuesta Atilla ArrudaModerator lunes, 1 de marzo de 2010 18:34
    • Desmarcado como respuesta jamp00 martes, 2 de marzo de 2010 12:05
    • Marcado como respuesta jamp00 miércoles, 3 de marzo de 2010 13:35
    jueves, 25 de febrero de 2010 21:58
    |
    Moderador
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    1.- En el sitio B ¿qué tienes hecho??? :-)
    Un DC apuntando como DNS a los del ISP *nunca* va a funcionar. Sólo a sí mismo o un DNS que resuelva el dominio.

    2.- Lo importante también de las redes en A y B, es el direccionamiento interno. Por ejemplo si en ambos sitios se está usando 192.168.10/255.255.255.0, nunca se van a comunicar porque siempre ven a la red como local


         Días tratando de responder, pero no me cargaba la página.

         Con respecto al punto 1 del sitio B, el dns1 es la misma dirección de la IP (2xx.7x.1xx.133) y las secundarias son las del ISP, que se recomienda en estos casos, que configuración?, en todo caso ya he sacado las dns2 y dns3, solo están las del forwarding (las del ISP).

         y lo del punto dos, cambiaré las subredes y comento como me fue.

    "Hasta la victoria siempre"
    miércoles, 3 de marzo de 2010 13:07
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    1.- En el sitio B ¿qué tienes hecho??? :-)
    Un DC apuntando como DNS a los del ISP *nunca* va a funcionar. Sólo a sí mismo o un DNS que resuelva el dominio.

    2.- Lo importante también de las redes en A y B, es el direccionamiento interno. Por ejemplo si en ambos sitios se está usando 192.168.10/255.255.255.0, nunca se van a comunicar porque siempre ven a la red como local


             Con estos dos pasos pude conectarme por VPN desde el sitio B al sitio A.  Gracias Guillermo. algún consejo con respecto a la seguridad de los sitios? o ota forma de realizar la relación de confianza entre estos dos dominio??


                     Mil gracias.
    "Hasta la victoria siempre"
    miércoles, 3 de marzo de 2010 13:33
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar
    Una máquina en AD nunca debe enterarse que el ISP tiene servidores DNS :-)
    Para que resuelva Internet, en el/los DNSs se configuran Reenviadores.

    Como consejo, que no sean los DCs los que hacen la VPN por los problemas que te comentaba aneriormente.

    Tener un buen cortafuegos, correcta configuración de la interfaz externa de los VPNs, etc. (Por ejemplo, que no tenga conectado ni el Cliente para..., ni Compartir..., ni NetBIOS, que no escuchen los servicios sobre esa conexión.
    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS: Active Directory/Network/Applications Infrastructure --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 3 de marzo de 2010 15:16
    |
    Moderador