none
Conexiones y seguridad de VPN RRS feed

  • Pregunta

  • Hola a todos, mi pregunta es la siguiente, he creado un servidor VPN  en Windows Server 2003 Standard Edition...mi inquietud es la siguiente:

    1- Cuantas conexiones simultaneas permite este servidor de windows? Es verdad q no mas de 5?

    2- Alguien me puede dar una configuración de seguridad para la VPN? (para q sea una conexión segura)

    • Cambiado Jimcesse martes, 24 de enero de 2012 15:26 No tiene relación con Edge Security / ISA Server (De:Protección y acceso (Edge Security / ISA Server))
    lunes, 23 de enero de 2012 15:31

Respuestas

Todas las respuestas

  • Hola traemeeldiario

    Esto lo hicistes con ISA Server o solo configurastes el rol de Routing and Remote Access (RRAS) !?

    Saludos,


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    
    lunes, 23 de enero de 2012 16:33
  • Hola Jimcesse

    Gracias x responder. Lo hice directamente creando una conexión remota en windows server 2003 y a medida q van entrando a conectarse con esta pc los voy habilitando desde la conexion remota para q puedan conectarse. Obviamente estoy utilizando los usuarios de activ directory xq estoy utilizando un exchange, entonces aprovecho esos usuarios. Estuve pensando en hacerlo con ruteo y acceso remoto, pero como con esta funciona no queria cambiarlo. Q me recomendas? y de las preguntas q postie q me podes decir.

    Gracias, saludos.

    lunes, 23 de enero de 2012 19:51
  • Ok mira, el tema es que en este foro especifico solo podemos tratar temas de ISA Server o algún producto de la familia Forefront, por lo que voy a mover tu pregunta al foro de "servidores de infraestructura y redes" ya que ahi es el mejor sitio donde calza tu pregunta.

    Saludos,


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    
    martes, 24 de enero de 2012 15:25
  • Ok Jimcesse...primero mil disculpas, no sabia q solo trataba de eso, solo hice la pregunta xq vi algunos foros parecidos entonces me largue a preguntar. Gracias x tu aporte. Mi ultima pregunta es como hago para saber si me responden esa pregunta o no,a q parte o link me dirijo?

    Gracias, saludos.

    martes, 24 de enero de 2012 20:21
  • Cuando alguien responde recibes la alerta como en cualquiera de los foros :)

    Desde http://technet.microsoft.com/en-us/library/cc758523(WS.10).aspx pego

    On Windows Server 2003, Web Edition and Windows Server 2003, Standard Edition, you can create up to 100 PPTP ports and up to 100 L2TP ports. However, Windows Server 2003, Web Edition, can accept only one VPN connection at a time. Windows Server 2003, Standard Edition, can accept up to 1,000 concurrent VPN connections via the ports. If 1,000 VPN clients are connected, further connection attempts are denied until the number of connections falls below 1,000. Windows Server 2003, Enterprise Edition and Windows Server 2003, Datacenter Edition support unlimited concurrent users

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 24 de enero de 2012 21:10
    Moderador
  • Bien...gracias x la respuesta Guillermo, espero recibir alguna respuesta a mis preguntas.

    Saludos

    miércoles, 25 de enero de 2012 13:55
  • Hola, no comprendo bien ¿queda algo pendiente? :)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 26 de enero de 2012 9:52
    Moderador
  • La respuestas a mis preguntas...pero se que aca no la van a responder xq no es un post sobre los temas q se tratan aqui.

    saludos.

    jueves, 26 de enero de 2012 15:03
  • Hola traemeeldiario

    Como te mencionaba Guillermo en este link http://technet.microsoft.com/en-us/library/cc758523(WS.10).aspx contesta a tu primera pregunta... Y con la segunda creo que eso va a depender mucho de tu ambiente y tus clientes, para que documentes en este link http://www.windowsecurity.com/articles/vpn-options.html estan las opciones disponibles de VPN para Windows 2003.

    Si tienes alguna duda puntual por favor reemplanteala ya que no esta claro que es lo que necesitas...

    Saludos,


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    
    jueves, 26 de enero de 2012 15:23
  • La pregunta 1- está respondida en el post del 24/1/12 21:10

    Si te refieres a "dar una configuración segura", yo por lo menos no entiendo a qué te refieres, todo depende de muchos factores, todas las opciones tienen mayor o menor seguridad, pero dependen de la infraestructura existente, y del hardware y recursos que se vayan a dedicar

    Por si te sirve una referencia respecto a ventajas y desventajas de cada protocolo puedes ver los siguientes enlaces donde entre otras cosas se comparan cada uno de los 4 protocolos usables por Windows

     

    Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 1 por PPTP « WindowServer:
    http://windowserver.wordpress.com/2011/07/09/demostracin-conectando-clientes-a-la-red-por-vpn-windows-server-2008-r2-y-windows-7-parte-1-pptp-2/

    Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 2 por L2TP-IPSec, SSTP y IKEv2 « WindowServer:
    http://windowserver.wordpress.com/2011/10/02/demostracin-conectando-clientes-a-la-red-por-vpn-windows-server-2008-r2-y-windows-7-parte-2-por-l2tp-ipsec-sstp-y-ikev2/

     

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 26 de enero de 2012 15:31
    Moderador
  • Bien, muchas gracias a los dos, mi primer pregunta a sido aclarada. Mi segunda pregunta estaba inclinada hacia la seguridad que yo le puedo dar a una conexion VPN, o sea, como podria configurar una VPN con buena seguridad si q yo sufra problemas con la red de la empresa.
    jueves, 26 de enero de 2012 17:36
  • traemeeldiario, no hay forma de contestar lo que preguntas, faltan prácticamente todos los datos necesarios, y además es un tema demasiado extenso para tratarlo en un foro.

    Para decidir qué tipo de VPN se va hacer hay que tener en cuenta muchos datos.
    - Si es entre sitios, o de un cliente remoto o de ambos
    - Si se va a hacer por hardware o por software
    - Si es por hardware hay amplísima variedad de dispositivos para todos los presupuestos
    - Si es por software, qué sistemas se usarán, si son dedicados, qué recursos tienen
    - Qué tipos de cortafuegos se usarán
    - Si es sólo para clientes internos
    - Cada uno de los 4 protocolos que puedes analizar en los enlaces que puse tienen ventajas e inconvenientes. Alguno es muy fácil de implementar, otros requieren una infraestructura de clave pública con certificados

    Todas son seguras, pero ninguna lo es 100%. No existe la seguridad 100%

    Cuál decidas implementar depende de muchos factores: presupuesto, conocimientos, necesidades, objetivos, etc.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 27 de enero de 2012 11:00
    Moderador
  • Pense q estaba claro a q me referia, pero veo q no. Te comento, yo estoy en una empresa trabajando, lo cual hay mas de un servidor instalado. Lo q he creado es, en uno de los servidores, una conexion VPN. Esta conexion cuenta con lo siguiente: en el servidor esta instalado Windows Server 2003 Standard Edition, dentro de este servidor da la casualidad q tengo un Exchange instalado entonces de ahi aprovecho los usuarios. O sea, los itegrantes de la misma empresa tienen una PC con ip cada uno y cada uno tiene su correo Exchange, de esto aprovecho los usuarios para q ellos mismo de afuera de la empresa (con conexion a internet) accedan a la empresa cuando lo necesiten. Lo unico q tienen creado ellos en su PC con Windows XP es el cliente para la conexion VPN hacia el servidor, o sea, creado el tunel. X el momento la unica seguridad q tengo x implementar es el Firewal de windows, pero al no realizar la conexion desde la parte de enrutamiento y acceso remoto de las herramientas administrativas de Windows 2003, lo hice creando solamente una conexion remota de la parte de mis sitios de red.

    Espero haber sido explicito.

    Abrazo, gracias

    viernes, 27 de enero de 2012 20:18
  • Unos comentarios ya que te preocupa la seguridad

    No es nada bueno que el servidor VPN tenga Exchange instalado, y no sólo por la carga, sino porque el servidor VPN al tener una conexión a una red pública e insegura es la máquina más expuesta a problemas de seguridad.
    Y en realidad no "aprovechas" los usurios del Exchange, sino a los de AD, y espero que además ese servidor no sea Controlador de Dominio, porque en ese caso el problema de seguridad sería todavía más grave.

    Para el acceso de los usuarios desde fuera de la red al correo normalmente se utilizan otras opciones. La más común y que brinda prácticamente la misma funcionalidad que si lo hacen desde dentro de la red es OWA (Outlook Web Access) con certificados. Otra posible, aunque un poco más complicada de implementar es "tunneleando" RPC en HTTPS, pero da funcionalidad completa y total

    Otro tema relacionado con la seguridad, es con respecto al cortafuegos. El incluído con Windows es un "cortafuegos para red interna", no está bien preparado como cortafuegos empresarial

    El uso de una VPN, en general, es para accesos para Escritorio Remoto, o eventualmente a servidores de datos

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 27 de enero de 2012 21:46
    Moderador
  • Gracias x tu respuesta Guilermo. X un lado si, los usuarios los estoy aprovechando de Active Directory. Lo q tambien sabia eran los riesgos de esto mismo, y ahora q me decis del Dominio me ayuda mucho, xq el dominio es tambien del mismo servidor exchange, x eso mi pregunta estaba formulada para el lado seguridad. Lo q voy a  hacer es lo siguiente (a ver q opinas) voy a poner otra PC con una maquina virtualizada, Server 2003 y ahi voy a crear todo lo de la VPN, mas alla de q los riesgos los sigo teniendo, no dejaria expuesto el exchange. 

    Vos nombraste el OWA, sirve esa herramienta para hacer una conexion VPN?

    Gracias. Saludos

    lunes, 30 de enero de 2012 20:20
  • Aclaro algo x las dudas...la VPN la he creado para ser usada x la gente de la empresa q viaja x soporte para q tengan acceso a los servidores. Tal vez eso no lo alla comentado pero x las dudas lo aclaro.

    Gracias

    lunes, 30 de enero de 2012 20:27
  • Si la gente que viaja necesita acceder a carpetas y archivos, entonces la solución es la VPN. Y ya que la tienes la utilizas para todo lo que se necesite

    OWA, permite el acceso seguro (HTTPS) sin necesidad de usar VPNs. Esa es la principal ventaja.

    Yo no tendría el servidor VPN en una virtual, porque para llegar al virtual primero "hay que tocar" la placa de red del virtual, pero de todas formas si no hay presupuesto, es un avance :)

    Recuerda que el servidor VPN tiene que tener una conexión en la red pública, y otra en la privada

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 30 de enero de 2012 21:34
    Moderador
  • Gracias Guillermo  x tu aporte, de a poco se van aclarando mis dudas. con respecto a la conexion publica y privada lo sabia, necesitas dos placa para hacer el enrutamiento y acceso remoto. Yo x ahora lo hice en mis sitios de red y he creado una conexion nueva para utilizarla como VPN, lo del enrutamiento se me complico un poco x eso no opte x seguir con esa opcion. Mi otra pregunta seria, existe algun software q sirva como seguridad o no? obvio q busco software libre x ahora. Vos recomendas algun otro software para crear VPN q sea mas seguro?

    Gracias, saludos.

    martes, 31 de enero de 2012 15:31
  • Para armar una VPN se puede hacer en un servidor, o la mayoría de los Routers tienen esa capacidad. Estos últimos dependiendo de cada uno tiene buenas capacidades de seguridad, o no tanto

    Lo mismo respecto a firewall. El que viene con el sistema operativo aunque es bueno tiene funcionalidad reducida comparado con algo dedicado a esa función

    Firewall gratis hay muchos pero funcionan en general sobre Linux, si conoces o te animas ;) adelante

    Firewall empresarial sobre W2008/W2008-R2 tienes TMG, pero no es barato, además de tener que dedicarle un equipo

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 31 de enero de 2012 16:48
    Moderador
  • Si, la VPN esta montada sobre un servidor...que en este momento fue cambiada la conexion hacia otro servidor con controlador de dominio incluido...en fin, funciona y lamentablemente tendre q optar x activar solamente el firewall de windows.

    Si se te ocurre algo o encontras algo mas con respecto a la seguridad de la conexion, te encargo.

    Gracias, saludos

    martes, 31 de enero de 2012 17:05
  • ¿El servidor VPN en el mismo equipo que Controlador de Dominio? malo malo si es eso

    Desde que los Controladores de Dominio con más de una IP traen problemas, hasta que justo la máquina que tiene contacto directo con Internet contenga lo más valioso (usuarios y contraseñas)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 31 de enero de 2012 19:25
    Moderador
  • No, me exprese mal...la conexion de internet la tengo en una pc con dos placas, una para entrar la otra para q rutee a la red, dentro de la red tengo esa PC q es la q controla las conexiones a internet, es una de las q tiene Dominio propio. Esta misma PC tiene los usuarios de Ative Directory, pero aislado del Exchange q anteriormente nombre en otras respuestas mias.

    Gracias

    martes, 31 de enero de 2012 19:31