none
VPN dudas RRS feed

  • Pregunta

  • Hola a todos.

    Quería preguntaros si existe alguna forma en la que yo pueda probar mi conexión VPN en m oficina. Es decir, yo ahora mismo estoy en la oficina, en la red, y quería preguntar si es posible hacer pruebas de conexión a la VPN estando la VPN y el equipo que quiere conectarse en la misma red...

    Gracias y saludos

    jueves, 2 de julio de 2009 9:27

Respuestas

  • En general esa prueba no sirve porque no reproduce ni cerca las condiciones reales posteriores.
    Una aclaración: no estás en la red VPN, sino en la red Interna, que es otra.

    Los problemas más comunes reportados al tratar de hacer una VPN, más que con la configuración del servidor VPN, está en la redirección de puertos del Router, o el permiso en el cortafuegos.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    jueves, 2 de julio de 2009 14:41
    Moderador
  • Varias cosas a revisar:
    - Revisa en las propiedades del usuario que tenga permiso de discado en permitido
    - En el RRAS en lugar de hacer que tome IPs del DHCP, conviene crear un rango de IPs *diferente* al de la red interna
    - Si tienes instalado y/o configurado NAP, desinstalo

    Si no puedes conectarte postea el error exacto que pone (Número y descripción)

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    jueves, 2 de julio de 2009 18:07
    Moderador
  • Si correcto, que lo estoy haciendo "de memoria" y estoy acostumbrado al sistema en inglés, es "marcado" y no "discado" :

    Para asignar un rango diferente, en el RRAS en las propiedades del servidor, ficha IP, puedes cambiar la opción de asignación de direcciones. Que tenga un rango de IPs que no sea de tu red interna, puede ser de cualquiera de las redes privadas (10... 172.16 a 172.31 o 192.168...)

    Olvida por ahora eso de "ver la red" que es otro tema. Por el lado del PING recuerda que por omisión está el cortafuegos levantado en los equipos. Más vale trata de entrar a un recurso compartido como si estuviera en la propia red.
    Si no pudieras ingresar al compartido, baja momentáneamente el firewall del equipo al que quieres conectarte a ver si el problema viene por ahí.
    Es importante que el equipo con el compartido tenga como puerta de enlace al servidor vpn

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    viernes, 3 de julio de 2009 12:16
    Moderador
  • Las IPs para la VPN que NO sean en la misma red, esto es que NO sean 192.168.1.z

    En la PC desde donde te conectas NO tienes que poner que el DNS es el DHCP ya que son funciones separadas

    El servidor VPN DEBE tener dos placas de red con direcciones IP de DIFERENTES redes ¿es así? Una interna y otra externa

    Para ver si el usuario "ve la red o no" la prueba a hacer es PING a la dirección IP de una máquina interna. Esta máquin interna tiene que tener configurado como puerta de enlace a la IP interna del servidor VPN. Y el cortafuegos bajo, o por lo menos permitir el PING

    Si haces las pruebas que te digo puedo seguir ayudándote.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    lunes, 6 de julio de 2009 13:12
    Moderador

Todas las respuestas

  • En general esa prueba no sirve porque no reproduce ni cerca las condiciones reales posteriores.
    Una aclaración: no estás en la red VPN, sino en la red Interna, que es otra.

    Los problemas más comunes reportados al tratar de hacer una VPN, más que con la configuración del servidor VPN, está en la redirección de puertos del Router, o el permiso en el cortafuegos.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    jueves, 2 de julio de 2009 14:41
    Moderador
  • En general esa prueba no sirve porque no reproduce ni cerca las condiciones reales posteriores.
    Una aclaración: no estás en la red VPN, sino en la red Interna, que es otra.

    Los problemas más comunes reportados al tratar de hacer una VPN, más que con la configuración del servidor VPN, está en la redirección de puertos del Router, o el permiso en el cortafuegos.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina

    Hola Guillermo, en primer lugar muchas gracias por la respuesta.

    verás ahora tengo otro problema con el tema de la VPN.Tengo un error que tengo que solventar, a ver si puedes echarme una manilla jeje.

    Instale el enrutador y el acceso remoto en un windows server 2008, para conexiones VPN. Configure todo, pero me ha dado unos fallos a la hora de conectarme. La cosa es que me conecta, pero no puedo ver la red de la oficina. Además el DHCP me asignan una IP compatible para la red, pero me da un error de incompatibilidad con la NAP.

    En el visor de sucesos de windows 2008 estuve mirando y apesar de que me dice que el usuario se ha conectado aparece la siguiente advertencia:

    El Servidor de acceso remoto dejará de usar la dirección IP %1 (porque no puede renovar la concesión desde el servidor DHCP, el administrador intercambió el grupo de direcciones estáticas y las direcciones DHCP o el administrador cambió a una red diferente para direcciones DHCP). Ninguno de los usuarios conectados que use IP tendrá acceso a los recursos de red. Los usuarios se pueden volver a conectar al servidor para restaurar la conectividad IP.

    Después me desconecte y intenté una vez más conectarme, y seguía dandome error pero se conectaba. En el visor de sucesos me aparece con otra advertencia distinta:

    El usuario dominio\usuario se conectó desde IP %1 pero se produjo un error en el intento de auntenticación debido a la razón siguiente : Se impidió la conexión debido a una directiva configurada en el servidor RAS/VPN. Específicamente puede que el método de autenticación usado por el servidor para comprobar su nombre de usuario y contraseña no coincidan con el perfil de la conexión.

    Saludos

    jueves, 2 de julio de 2009 17:35
  • Varias cosas a revisar:
    - Revisa en las propiedades del usuario que tenga permiso de discado en permitido
    - En el RRAS en lugar de hacer que tome IPs del DHCP, conviene crear un rango de IPs *diferente* al de la red interna
    - Si tienes instalado y/o configurado NAP, desinstalo

    Si no puedes conectarte postea el error exacto que pone (Número y descripción)

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    jueves, 2 de julio de 2009 18:07
    Moderador
  • Varias cosas a revisar:
    - Revisa en las propiedades del usuario que tenga permiso de discado en permitido
    - En el RRAS en lugar de hacer que tome IPs del DHCP, conviene crear un rango de IPs *diferente* al de la red interna
    - Si tienes instalado y/o configurado NAP, desinstalo

    Si no puedes conectarte postea el error exacto que pone (Número y descripción)

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina

    Hola Guillermo, gracias de nuevo por la respuesta. Te comento un poco, porque hasta que llegue a la tarde no puedo hacer las pruebas de conexión.

    Verás, nose exactamente que es eso de permiso de discado, pero creo que te refieres a que los usuarios tengan permisos de acceso remoto en la pestaña de MARCADO (los usuarios son DC). Si no son esos permisos no se bien a que te refieres :S

    En cuanto a lo segundo como puedo hacer para que me asigne un rango de IP´s diferentes cuando se conecte a la red interna? Se que cuando configuras el acceso remoto, te da una opción en la que puedes poner el rango de IP´s que quieres que asgine a los usuarios que se conecten, pero cuadno configuré esta VPN no me dió esa opción nose donde puedo mirarlo (tengo Windows 2008 server)

    En cuanto a la NAP no la instalé, tan solo instale el servicio VPN.

    A ver si puedo terminar esto rápido que me esta agobiando jeje.

    Para terminar, si puede servir de algo esto, cuando un usuario se conecta (porque se conecta pero no puedo ver la red), desde el servidor, puedo hacer ping al equipo conectado, pero el equipo no puede hacer ping sobre el servidor por ello no puede visualizar la red. El caso es que si voy a "Clientes de acceso remoto" me dice Incompatible con NAP.
    Gracias por la respuesta Guillermo. Saludos
    viernes, 3 de julio de 2009 8:37
  • Si correcto, que lo estoy haciendo "de memoria" y estoy acostumbrado al sistema en inglés, es "marcado" y no "discado" :

    Para asignar un rango diferente, en el RRAS en las propiedades del servidor, ficha IP, puedes cambiar la opción de asignación de direcciones. Que tenga un rango de IPs que no sea de tu red interna, puede ser de cualquiera de las redes privadas (10... 172.16 a 172.31 o 192.168...)

    Olvida por ahora eso de "ver la red" que es otro tema. Por el lado del PING recuerda que por omisión está el cortafuegos levantado en los equipos. Más vale trata de entrar a un recurso compartido como si estuviera en la propia red.
    Si no pudieras ingresar al compartido, baja momentáneamente el firewall del equipo al que quieres conectarte a ver si el problema viene por ahí.
    Es importante que el equipo con el compartido tenga como puerta de enlace al servidor vpn

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    viernes, 3 de julio de 2009 12:16
    Moderador
  • Si correcto, que lo estoy haciendo "de memoria" y estoy acostumbrado al sistema en inglés, es "marcado" y no "discado" :

    Para asignar un rango diferente, en el RRAS en las propiedades del servidor, ficha IP, puedes cambiar la opción de asignación de direcciones. Que tenga un rango de IPs que no sea de tu red interna, puede ser de cualquiera de las redes privadas (10... 172.16 a 172.31 o 192.168...)

    Olvida por ahora eso de "ver la red" que es otro tema. Por el lado del PING recuerda que por omisión está el cortafuegos levantado en los equipos. Más vale trata de entrar a un recurso compartido como si estuviera en la propia red.
    Si no pudieras ingresar al compartido, baja momentáneamente el firewall del equipo al que quieres conectarte a ver si el problema viene por ahí.
    Es importante que el equipo con el compartido tenga como puerta de enlace al servidor vpn

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina

    Hola Guillermo siento no haber respondido antes, pero el finde semana lo use para descansar jeje.

    Te comento, hice lo que me dijiste de las IP, pero nose si lo hice del todo bien. La ip de la red donde se encuentra la VPN es la 192.168.1.X. Lo que he hecho es ir a las propiedades del servidor en la ficha IP y asigne IP desde la 192.168.1.200 a la 192.168.1.230 para probar.

    También desde el pc desde el que me voy a conectar, en la ficha Funciones de Red y en la opción  Protocolo IP/TCP lo que hice fue poner como DNS preferido la ip del servidor DHCP que es la 192.168.1.43.

    Por último decirte que en el servidor donde se encuentra el servicio de enrutamiento y acceso remoto contiene la IP 192.168.1.45.

    Sigue sin funcionar, el usuario se conecta pero no puede ver la red de la oficina. Me sigue saliendo Incompatible con NAP. Quizás hice algo mal en alguno de los pasos que me dijiste. Espero tu ayuda gracias de antemano.
    lunes, 6 de julio de 2009 11:18
  • Las IPs para la VPN que NO sean en la misma red, esto es que NO sean 192.168.1.z

    En la PC desde donde te conectas NO tienes que poner que el DNS es el DHCP ya que son funciones separadas

    El servidor VPN DEBE tener dos placas de red con direcciones IP de DIFERENTES redes ¿es así? Una interna y otra externa

    Para ver si el usuario "ve la red o no" la prueba a hacer es PING a la dirección IP de una máquina interna. Esta máquin interna tiene que tener configurado como puerta de enlace a la IP interna del servidor VPN. Y el cortafuegos bajo, o por lo menos permitir el PING

    Si haces las pruebas que te digo puedo seguir ayudándote.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    lunes, 6 de julio de 2009 13:12
    Moderador
  • Las IPs para la VPN que NO sean en la misma red, esto es que NO sean 192.168.1.z

    En la PC desde donde te conectas NO tienes que poner que el DNS es el DHCP ya que son funciones separadas

    El servidor VPN DEBE tener dos placas de red con direcciones IP de DIFERENTES redes ¿es así? Una interna y otra externa

    Para ver si el usuario "ve la red o no" la prueba a hacer es PING a la dirección IP de una máquina interna. Esta máquin interna tiene que tener configurado como puerta de enlace a la IP interna del servidor VPN. Y el cortafuegos bajo, o por lo menos permitir el PING

    Si haces las pruebas que te digo puedo seguir ayudándote.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina

    La cosa es que yo configure el enrutador para solo una interfaz de red, quizás viene por ahí el fallo.

    Que direccion de red le pongo, por ejemplo de la 172.26.0.1 a la 172.26.0.10 para hacer las pruebas?
    lunes, 6 de julio de 2009 13:58
  • Un servidor VPN no puede tener una única interfaz de red para que funcione.
    Solamente piensa en cuál es la función de una VPN: asegurar el tráfico sobre una "red insegura", hasta llegar a la "red segura"

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    lunes, 6 de julio de 2009 22:18
    Moderador