none
ERROR ACCESO REMOTO A PC Y SERVIDORES DE LA EMPRESA POR VPN CON TMG 2010 RRS feed

  • Pregunta

  • Buen día tengo un problema con acceder a los equipos y servidores mediante acceso remoto por VPN desde cualquier lugar por el TMG 2010.

    Tengo un Servidor TMG 2010 con la WAN y la LAN, tengo las siguientes reglas creadas:

    • Permitir el trafico de cualquier parte a la red interna
    • Permitir el acceso remoto de protocolos RDP, RPC, Terminal Server, etc. de clientes VPN a la externa e interna aplicada a los usuarios que deben tener acceso, bien sea remoto o VPN
    • Y tengo la regla creada de VPN que permite todo el trafico saliente de clientes VPN a la Red Externa e Interna aplicada a los usuarios que deben tener acceso dicho acceso. (Como podrán ver en las imágenes)
    • y por supuesto tengo el acceso habilitado para hacer VPN.

    El problema es que cuando accedo a VPN, solo puedo acceder por escritorio remoto desde mi casa por ejemplo, al servidor TMG, es decir, Default Gateway, pero cuando quiero acceder a otro servidor por escritorio remoto, no puedo.. hago ping y me devuelve solo 1 respuesta y las demás agota el tiempo de solicitud. Todos los Servidores tienen excepciones de firewall, acceso remoto habilitado, soy administrador y tengo acceso a ellos, etc. Incluso puedo acceder remoto estando a la empresa, pero cuando estoy en VPN no lo hace.

    Cuando hago ipconfig /all me doy cuenta que tengo asignada una ip por dhcp que me la da mi servidor dhcp en Win2008R2, mi DNS pero no tengo Default Gateway y la mask me la pone en 255.255.255.255.

    Estuve leyendo este hilo (http://social.technet.microsoft.com/Forums/es-ES/forefrontedgees/thread/bd11ba7e-acd0-4af7-a190-594e6facb5c5/) pero sigo con el problema. Ya no se que hacer de verdad, antes lo podía hacer pero de repente no pude hacerlo mas, no se que paso, incluso he probado deshabilitando todo el firewall de servidor que quiero acceder remoto por VPN, y nada de nada... Si no consigo hacerles ping a los servidores luego de haberme conectado VPN, no voy a poder acceder remoto a ellos.

    Alguna idea?

    Saludos!

    sábado, 1 de junio de 2013 14:45

Todas las respuestas

  • Hola asesx

    Si haces un 

    route print

    Ves la ruta definida para llegar a la red donde estan tus servidores (192.168.90.0/24) !? Hay algun router antes o despues de TMG !?

    Saludos,


    Jimcesse
    Principal: http://sysadmin-cr.com/
    Alterno: http://blogs.itpro.es/jimcesse
    

    lunes, 3 de junio de 2013 20:57
    Moderador
  • Que tal amigo, solo esta el TMG de por medio, la WAN con la LAN. Cada vez que me conecto VPN desde mi casa por ejemplo, puedo acceder remoto al Servidor de TMG pero si quiero hacerle un ping o acceder remoto a otro servidor de la empresa, no puedo, inclusive no puedo hacerle ping. Aunque esta el firewall del mismo abajo, excepciones y demás, no le puedo llegar a nada. Antes lo hacia y ahora no puedo y no se porque...

    Como sería la regla para permitir trafico de escritorio remoto a la red interna de la empresa? para ver si es como la tengo yo.

    Saludos!

     
    lunes, 3 de junio de 2013 21:25
  • Hola asesx

    Pues deberia de haber una regla de acceso que permita el trafico deseado desde los VPN Clients hasta la Red Interna y adicionalmente a esto deberia de existir una regla de red de tipo Route para ambas redes...

    Saludos,


    Jimcesse
    Principal: http://sysadmin-cr.com/
    Alterno: http://blogs.itpro.es/jimcesse
    

    lunes, 3 de junio de 2013 21:30
    Moderador
  • Que tal, si te fijas bien, en la imagen de arriba tengo la regla de rpd y demás para tal acceso y te adjunto una imagen de la declaración de redes....

    Aun no logro entender como no puedo tener tal acceso, y ahora tengo que el personal que esta en el rango de la 91.0/24 no puede ver ni acceder por ejemplo el servidor de dominio que esta en el rango de la  90.0/24. Alla hay un router 91.1/24 y en mi tmg tengo mi ruta persistente donde la 90.45/24 en el router y la 90.1/24 es el default Gateway, osea el tmg:

    Rutas persistentes:
      Dirección de red  Máscara de red  Dirección de puerta de enlace  Métrica
         192.168.91.0    255.255.255.0    192.168.90.45                       1
         192.168.93.0    255.255.255.0     192.168.90.1                        1
         192.168.92.0    255.255.255.0     192.168.90.1                        1

    Hay algo en el tmg que esta impidiendo esta tarea de accesos remoto y no logro dar con lo que es..

    Saludos!

    lunes, 3 de junio de 2013 21:47
  • Hola asesx

    Pudieras hacer una captura de trafico en tiempo real y compartir el log por SkypeDrive !?

    Saludos,


    Jimcesse
    Principal: http://sysadmin-cr.com/
    Alterno: http://blogs.itpro.es/jimcesse
    

    lunes, 3 de junio de 2013 22:57
    Moderador
  • Que tal amigo, te paso una captura de trafico con Wireshack o en Registro e informes del TMG? Saludos!
    martes, 4 de junio de 2013 16:47
  • Inicialmente veamos la captura del registro de TMG

    Saludos,


    Jimcesse
    Principal: http://sysadmin-cr.com/
    Alterno: http://blogs.itpro.es/jimcesse
    

    martes, 4 de junio de 2013 17:00
    Moderador
  • Ok, que filtro uso que te vaya a servir para que puedas ver y entender el registro? Que tipo de acción o filtro uso para pasártelo?

    Básicamente, me está fallando que los clientes de la sucursal que esta en el rango de la 91.0/24 no pueden acceder a la 90.0/24 donde esta el controlador de dominio y demás servicios, por lo tanto, se queda en "iniciando" y hay que desconectarle el cable de red para que puedan entrar y luego lo conectan..

    Es engorroso y no se porque no pueden hacerlo, y lo otro es porque no se puede acceder por escritorio remoto estando en VPN, es decir, los clientes VPN que tienen acceso hacerlo e incluso al servidor remoto, no pueden luego de estar conectados, hacerle ping ni mucho menos conectarse. Ya las reglas y redes están hechas y declaradas.

    Saludos!

    martes, 4 de junio de 2013 17:19
  • Ok hagamos esto:

    Desde un cliente en la red 91.0/24 has ping al controlador de dominio y tambien prueba RDP al controlador de domino... Entonces en el filtro capturalo asi:

    Saludos,


    Jimcesse
    Principal: http://sysadmin-cr.com/
    Alterno: http://blogs.itpro.es/jimcesse
    

    martes, 4 de junio de 2013 17:32
    Moderador
  • Que tal amigo, tienes por casualidad un correo a donde pueda enviarte el log? No lo quiero dejar publico por seguridad..

    Lo que hice fue, desde una pc del rango 91.0/24 hacerle ping al controlador de dominio el cual respondió bien, trate de entrarle al mismo por remoto el cual no pude entrar, nunca se conecto. Luego trate de entrar remoto a otro servidor que tambien esta en el rango de la 90.0/24, donde mismo se encuentra el controlador, y pudo entrar remoto, es decir, entro a este otro servidor pero se tardo como 2 minutos y entró.

    Parace que tiene problemas en reconocer la red 90.0/24 donde estan todos los servicios. No se si habrá que sacarlos del dominio y tratar de entrar otra vez. La máquina de la red 91.0/24 no tienen internet tampoco.

    El Default Gateway, es decir, el TMG tiene la 90.1/24. Es el DG de las PC que estan en la 90.0/24. El TMG tiene ruta que va de la 90.1 a la 90.45 que es el router que está en donde están las pc de la 91.0/24, por lo tanto estas pc tienen como DG la 91.1/24.

    Dame tu correo si quieres y te envío el log.

    Saludos!

    miércoles, 5 de junio de 2013 16:20
  • Hola Asesx

    Mira una de las politicas del foro es no compartir informacion personal como direcciones de correo electronico y se veria malisimo que yo siendo Moderador lo hiciera, asi que disculpame pero no puedo hacerlo :'(

    Si te parece bien subelo a https://skydrive.live.com/ yo lo bajo y te notifico para que lo borres, cuentame que te parece !!!

    Saludos,


    Jimcesse
    Principal: http://sysadmin-cr.com/
    Alterno: http://blogs.itpro.es/jimcesse
    

    miércoles, 5 de junio de 2013 16:42
    Moderador
  • OK, no hay problemas...te envío el link...

    http://sdrv.ms/12sKOAb

    Saludos!

    miércoles, 5 de junio de 2013 16:48
  • Ya tengo una copia del log, asi que si gustas lo puedes eliminar !!!

    Saludos,


    Jimcesse
    Principal: http://sysadmin-cr.com/
    Alterno: http://blogs.itpro.es/jimcesse
    

    miércoles, 5 de junio de 2013 17:30
    Moderador
  • Hola mira este es parte del log q me enviaste...

    Como vez no se registran intentos de RDP o PING y puede que hayan 2 posibilidades... O no me enviaste el log complete, o ni siquiera el trafico esta llegando a TMG lo que indicaria una mala ruta (que lo puedes descartar con un tracert DC por ejemplo) o podria ser anti-virus (muy comun) o algun otro bloque que haya en medio...

    Saludos,


    Jimcesse
    Principal: http://sysadmin-cr.com/
    Alterno: http://blogs.itpro.es/jimcesse
    

    miércoles, 5 de junio de 2013 18:10
    Moderador
  • QUe tal, te envié todo, inclusive a mi tambien me pareció extraño que no saliera el PING ahi o RDP. La maquina no tiene antivirus y tiene el firewall desactivado. Lo que no entiendo como es que le puede hacer ping a cualquier PC de la 90.0/24 y viseversa..

    Que sugerencia podrías darme para saber o hacer una ruta que funcione.. o borro la que tiene ahorita y la vuelvo agregar?

    Saludos!

    miércoles, 5 de junio de 2013 18:27
  • Suponiendo que tu DC tiene la IP 192.168.90.22 desde una PC cliente en la red 91.0/24 ejecuta estos dos comandos y pega un pantallazo del resultado:

    tracert 192.168.90.22

    telnet 192.168.90.22 3389

    Saludos,


    Jimcesse
    Principal: http://sysadmin-cr.com/
    Alterno: http://blogs.itpro.es/jimcesse
    

    miércoles, 5 de junio de 2013 19:49
    Moderador
  • Que tal amigo, este es el pantallazo del tracer:

    Microsoft Windows [Versión 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Reservados todos los derechos. C:\Windows\system32>tracert 192.168.90.19 Traza a la dirección srv-dominio.kfdomain.dom [192.168.90.19] sobre un máximo de 30 saltos: 1 1 ms 1 ms 1 ms 192.168.91.1 2 21 ms 19 ms 24 ms 1.1.1.2 3 18 ms 14 ms 20 ms srv-dominio.kfdomain.dom [192.168.90.19] Traza completa. C:\Windows\system32>

    90.19 es el dominio. La ip 1.1.1.2 es el otro router por donde pasa, es decir, el del proveedor. Sale por la 91.1 pasa por el del proveedor y llega hasta la otra sucursal 90.0/24.

    Quiero unir una maquina al dominio desde alla y no lo hace, sale el error "Error al intentar conectarse al dominio "xxxxxxxx.xx": No se ha encontrado la ruta de acceso de la red"

    Hace ping a todo desde la 91.0 hasta cualquier cosa a la 90.0. Y Si quiero unir una maquina nueva con ip 91.120, DG 91.1 y DNS 90.19 (Servidor de DNS y Dominio) me sale ese mensaje.

    Que podría ser? No esta resolviendo nombres. Incluso para que las PC de la 91.0 puedan tener acceso a internet, deben colocar en el navegador el nombre o ip del proxy que está en la 90.0/24, es decir, TMG (90.1). Cuando colocan el nombre del servidor proxy con puerto 8080 no navega, pero si le colocas la ip con puerto 8080 si lo hace.

    Creo que es problemas de resolución de nombres pero no se si los routers tienen algo que ver ahí...

    Saludos!

    jueves, 6 de junio de 2013 19:06
  • Alguna idea amigo?

    viernes, 7 de junio de 2013 22:04