none
Habilitado RRAS para VPN, ahora el servidor no puede navegar por internet (Windows Server 2003 R2 Standadrd SP2) RRS feed

  • Pregunta

  • Hola! desde que he habilitado el servicio RRAS en el servidor, este no puede navegar por internet.

    El servidor es Windows 2003 R2 SP2 Standard. En el escenario hay solo un servidor, es una empresa pequeña. El servidor tiene rol de DC, TS, Printer server, File sharing y DHCP. Para dar acceso a usuarios remotos a las apps mediante TS se ha creado VPN y habilitado para ello RRAS. La VPN funciona correctamente y TS es accesible desde fuera via internet. Pero si RRAS está habilitado, el servidor deja de navegar por internet y ni siquiera es capaz de hacer ping a la puerta de enlace (router ADSL). La VPN está configurada para otorgar direcciones IP de un rango diferente al de las NIC, y otorga IPs de un pool establecido en la configuración de RRAS, siendo 192.168.41.115 la primera IP (y es la que se asigna al servidor VPN). La configuración de red del servidor es:

    NIC WAN utilizada para dar acceso remoto a los usuarios de TS y puerta de enlace: 192.168.4.2

    NIC LAN utilizada para recursos compartidos para los usuarios de la red local: 172.26.0.2

    PPP RAS para VPN (rango diferente al de WAN): 192.168.41.115

    Este es el resultado de ipconfig /all:

    Nombre del host . . . . . . . : Servidor
    Sufijo DNS principal . . . . : mprima.net <---[se debe de cambiar a .local]
    Tipo de nodo. . . . . . . . . : desconocido
    Enrutamiento IP habilitado. . : Sí
    Proxy de WINS habilitado. . . : Sí
    Lista de búsqueda sufijo DNS : mprima.net

    Adaptador PPP Interfaz de servidor RAS (Dial In) :

    Sufijo conexión específica DNS:
    Descripción . . . . . . . . . : WAN (PPP/SLIP) Interface
    Dirección física. . . . . . . : 
    DHCP habilitado . . . . . . . : No
    Dirección IP. . . . . . . . . : 192.168.41.115
    Máscara de subred . . . . . . : 255.255.255.255
    Puerta de enlace predet.. . . :

    Adaptador Ethernet LAN:

    Sufijo conexión específica DNS:
    Descripción . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (NDIS VBD
    Client)
    Dirección física. . . . . . . :
    DHCP habilitado . . . . . . . : No
    Dirección IP. . . . . . . . . : 172.26.0.2
    Máscara de subred . . . . . . : 255.255.255.0
    Puerta de enlace predet.. . . :
    Servidores DNS. . . . . . . . : 172.26.0.2
    80.58.61.250

    Adaptador Ethernet WAN:

    Sufijo conexión específica DNS:
    Descripción . . . . . . . . . : Intel(R) PRO/1000 PT Server Adapter
    Dirección física. . . . . . . :
    DHCP habilitado . . . . . . . : No
    Dirección IP. . . . . . . . . : 192.168.4.2
    Máscara de subred . . . . . . : 255.255.255.0
    Puerta de enlace predet.. . . : 192.168.4.1
    192.168.4.1
    Servidores DNS. . . . . . . . : 192.168.4.2
    80.58.61.250
    192.168.41.115
    Servidor WINS principal . . . : 192.168.4.2
    Servidor WINS secundario. . . : 192.168.4.1

    Como decía antes, con tan solo deshabilitar RRAS, el servidor vuelve a navegar por internet y puede descargar actualizaciones. Si RRAS se habilita, el servidor ya no es capaz de hacer siquiera ping a la puerta de enlace WAN.

    Alguna idea?

    Muchas gracias de antemano!

    sábado, 24 de noviembre de 2012 13:21

Respuestas

  • Varias cosas a cambiar, aunque sea sólo una la que te lo impide, que lo dejo para el final :-)

    - Eso de que un Controlador de Dominio esté directamente expuesto a Internet es una muy muy mala idea desde el punto de vista seguridad

    - Un Controlador de Dominio con más de una interfaz de red, es conocido que trae problemas

    - La interfaz externa no debe tener habilitado NetBIOS, y menos que menos configurado un servidor WINS
    Tampoco debería tener habilitados ni el cliente para redes Microsoft, ni compartir archivos e impresoras

    - La interfaz externa, no debe tener configurado servidor DNS, e inclusive desmarcada la opción en las propiedades avanzadas de TCP/IP para que se registre en el DNS

    - En ninguna interfaz de la red debe aparecer un DNS externo como el que tienes (80.58.61.250)
    Para que resuelva Internet, en el DNS se configuran los Reenviadores

    - Y la última :-)
    El problema es que al configurar RRAS como VPN aplica filtros sobre la interfaz externa permitiendo *únicamente* los protocolpo de VPN.
    En el RRAS en interfaces (la segunda), propiedades de la conexión externa, verás que hay dos botones "Inbound Filters" y "Outbound Filter", en esos es donde debes permitir el tráfico porque es donde están las limitaciones de permitir sólo el tráfico de VPNs

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Na320 martes, 27 de noviembre de 2012 11:22
    sábado, 24 de noviembre de 2012 19:21
    Moderador

Todas las respuestas

  • Varias cosas a cambiar, aunque sea sólo una la que te lo impide, que lo dejo para el final :-)

    - Eso de que un Controlador de Dominio esté directamente expuesto a Internet es una muy muy mala idea desde el punto de vista seguridad

    - Un Controlador de Dominio con más de una interfaz de red, es conocido que trae problemas

    - La interfaz externa no debe tener habilitado NetBIOS, y menos que menos configurado un servidor WINS
    Tampoco debería tener habilitados ni el cliente para redes Microsoft, ni compartir archivos e impresoras

    - La interfaz externa, no debe tener configurado servidor DNS, e inclusive desmarcada la opción en las propiedades avanzadas de TCP/IP para que se registre en el DNS

    - En ninguna interfaz de la red debe aparecer un DNS externo como el que tienes (80.58.61.250)
    Para que resuelva Internet, en el DNS se configuran los Reenviadores

    - Y la última :-)
    El problema es que al configurar RRAS como VPN aplica filtros sobre la interfaz externa permitiendo *únicamente* los protocolpo de VPN.
    En el RRAS en interfaces (la segunda), propiedades de la conexión externa, verás que hay dos botones "Inbound Filters" y "Outbound Filter", en esos es donde debes permitir el tráfico porque es donde están las limitaciones de permitir sólo el tráfico de VPNs

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Na320 martes, 27 de noviembre de 2012 11:22
    sábado, 24 de noviembre de 2012 19:21
    Moderador
  • Hola Guillermo, muchísimas gracias por tu respuesta! Te respondo en relación a mi pregunta, para dejar en primer lugar la resolución del post:

    Efectivamente el problema eran los filtros. Cuando habilité RRAS, bajo Enrutamiento IP -> General -> Adaptador WAN añadí los filtros entrantes y salientes pero de forma incorrecta, introduje la dirección IP del servidor VPN hacia "cualquiera" en vez de poner "cualquiera" a "cualquiera"  como he hecho ahora siguiendo tu ayuda. Ahora el servidor navega y es capaz de descargar actualizaciones.

    Dicha la resolución del problema, respecto a lo que comentas de DC expuesto, ciertamente, pero es el único servidor que hay, con lo cual no se puede adoptar una estructura diferente. Sería eliminar el DA y degradar el 2003 Standard a SBS. Que no es el caso debido a las necesidades. El servidor se encuentra detrás de un firewall por hardware. De otro modo, Microsoft da a entender que un único servidor 2003 Server Standard es lo que una pequeña compañía necesita, con lo cual, los argumentos de venta son contrarios a la tecnología real? Si por ellos fuera, venderían una licencia por cada rol que quisiéramos adoptar. Pero la realidad es que una buena pieza de hardware bien diseña, equipada y configurada es capaz de lidiar con casi todos los roles que se necesitan para una pequeña compañía.

    La configuración de NetBIOS ya ha sido cambiada. La configuración de DNS ya ha sido ajustada.

    Muchas gracias por tu tiempo y tus puntualizaciones, han sido de gran ayuda.

    Recibe un gran saludo.

    GL.


    martes, 27 de noviembre de 2012 11:25
  • Respecto a las ideas de Microsoft es así, parece no coherente, pero no está del todo equivocado (a veces :-))

    Por un lado tenía un paquete SBS, que incumplia todas sus recomendaciones para un ambiente de Dominio. Todos los roles, un único Controlador de Dominio, con más de una interfaz de red, y expuesto a Internet :-S
    El tema es que SBS estaba orientado originalmente a un máximo de 25 usuarios, y luego por motivos "vaya a saber" se amplió hasta 75. Y no es lo mismo 25 que 75

    Creo que Microsoft ha recapacitado, y SBS tal como era no existe más

    De todas formas y volviendo al tema, si, a veces en la pequeña empresa no hay presupuesto, pero muchas cosas se pueden resolver con un poco de ingenio.

    Si no hay presupuesto para otro servidor, bueno, nosotros sabemos en general cómo armar "un buen sistema de escritorio". Un Controlador de Dominio en una pequeña empresa no requiere grandes recursos, me animo a decirte que con un 1GB RAM y un disco duro chico tienes de sobra

    Porque el tema delicado, es que si tienes un único Controlador de Dominio, y a este le sucede algo malo, te queda toda la red sin trabajar hasta que lo soluciones, y siempre y cuando tengas copia de seguridad y la puedas recuperar y funcione. Piensa solamente que recuperar una copia de seguridad en un hardware diferente no hay garantía que funcione. Además las horas que lleva.

    En cambio, si un Controlador de Dominio adicional, simplemente los usuarios "se quejarán" por media hora de que la red está lenta, pero seguirán trabajando. En esa media hora, reinstalas el Controlador de Dominio y lo repromocionas.
    Luego toca la "limpieza del AD" de "el que se fue sin avisar"

    Lo importante, no hay falta de continuidad en el trabajo :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 27 de noviembre de 2012 18:45
    Moderador