none
Isa server 2004 y win 2008 ayuda RRS feed

  • Pregunta

  • Estimados,

    Quisiera saber si me pueden ayudar con un tema, Tengo en la oficina principal Un Isa 2004 que maneja todo el trafico de salida al internet. Se abrio una sucursal e instalaron un servidor win 2008 r2. el tema es que necesitan conectarlos por una vpn para poder utilizar los aplicativos que estan alojados en los servidores de la oficina central. Cual es el procedimiento para levantar la vpn por pptp entre las dos oficinas?

    miércoles, 4 de abril de 2012 6:31

Respuestas

  • Hola dvharley,

    El error 807 indica una desconexion (ERROR_VPN_DISCONNECT 807) es decir la conexión entre los servidores se ha interrumpido,  seguramente estara ligado a algun problema puntual en tus comunicaciones.

    Respecto al tema del enrutamiento entre la delegación y tu central, me enviaste las reglas de firewall de la matriz, la segunda de ellas debería ser de Bosque a Internal, en matriz deberías tener definidas tambien estas reglas pero en orden inverso (1º Bosque -> Internal y 2º Internal -> Bosque). Por otra parte veo que tienes alguna regla por encima de ellas, verifica que no sea alguna de estas la que este cortando el tráfico entre las sedes. Puedes ejecutar pings, desde equipos de la matriz hacia equipos de la delegación y a la inversa y revisar lo que esta pasando en la ventana de monitorización de ambos ISAs.

    Revisa este link, que aunque se refiere a un tunel IPSec, es un articulo muy interesante sobre el procedimeinto a seguir a la hora de configurar una VPN site to site con ISA 2004, y seguramente te sera útil:

    http://www.isaserver.org/tutorials/2004ipsectunnelmode.html

    Con respecto al tema de los clientes vpn, tienes dos opciones para que tus clientes VPN obtengan dirección IP, crear un DHCP o utilizar un rango de direcciones, las direcciones 169.254.... te las asigna cuando no encuentra DHCP y tampoco tienes definido un rango de IPs. Si el direccionamiento IP de los equipos en tu red es fijo, cuando definas el ambito (si te decantas por utilizar DHCP) define un rango de direcciones que no esten utilizando estos equipos (por ejemplo puedes usar 192.168.7.2 a 192.168.7.199 para los equipos de la red y definir el rango 192.168.7.200 a 192.168.7.230 para los cliente VPN), de igual forma si te inclinas por definir un rango, en lugar de utilizar el DHCP, elige un rango de direcciones que no este usado por tus equipos. De cualquier modo puedes definir, para evitar problemas de "overlap", una red diferente para tus equipos VPN (Por ejemplo la 192.168.22.0/24), no vas a tener ningún problema por hacer esto, define las reglas de firewall para permitir los acceso que necesites e igualmente debes definir una regla de red para "enrutar" el tráfico desde clientes VPN a la LAN, con que tengas esto definido todo te debería funcionar sin problemas.

    Igualmente puedes revisar el siguiente link, que seguramente también te ayudará:

    http://www.isaserver.org/articles/2004vpnserver.html

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    • Propuesto como respuesta Eduardo Portescheller martes, 17 de abril de 2012 12:07
    • Marcado como respuesta dvharley sábado, 21 de abril de 2012 7:28
    lunes, 16 de abril de 2012 11:19

Todas las respuestas

  • Hola dvharley,

     En el siguiente link tienes información de como realizar esta configuración.

    http://technet.microsoft.com/library/cc302474.aspx

    Suerte

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    miércoles, 4 de abril de 2012 10:33
  • Estimado Gregoj,

    ya realize los pasos en matriz con el isa 2004, solo me falta crear la ruta de red, esta debe ser from Branch--->to Matriz? o al revez.

    Y la segunda pregunta es en sucursal solo tengo q configurar el Network policy and access services?

    muchas gracias por tu aydua

    miércoles, 4 de abril de 2012 16:28
  • Estimado GregoJ,

    Te comento que en la sucursal, ya esta configurado y desde el servidor q es w2008 r2, ya hago ping a mi red en la matriz, pero los equipos en la sucursal no hacen ping?.

    En el lado de la matriz no realizo la conexion en el rras tengo un error que no se puede conectar unreachable. me dice q el dispositivo de conexion tiene un error. Puede ser q el router cisco este cerrado algun puerto de entrada??

    jueves, 5 de abril de 2012 14:31
  • Hola dvharley,

    El acceso desde la sucursal a la matriz debe ser mediante el servidor windows 2008, me imagino que los clientes de la sucursal tendran por gateway el router de la sucursal, y cuando este recibe peticiones de un cliente hacia la red de la matriz no sabe que hacer con ellas, para solucionar el problema debes añadir en el router una ruta estatica de modo que las peticiones hacia la matriz sean dirigidas al servidor windows 2008 con esto tendras conexión seguro.

    Respecto al segundo tema seguramente sea tema del router cisco que te esta cortando algo necesitas tener abierto el puerto 1723 TCP y el protocolo GRE, revisa que el router permite este tráfico.

    Suerte

    Un saludo


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    jueves, 5 de abril de 2012 17:01
  • Estimado Gregoj,

    Muchas gracias por tu ayuda, te comento que instale en la sucursal un servidor con win 2003 e instale isa 2004, la conexion ahora la realice entre los dos isa server 2004, y el interfaz de red en la matriz al fin se pudo conectar. Desde el isa de matriz al fin puedo hacer ping a la sucursal, ahora lo unico q falta es que mis equipos de matriz puedan hacer ping a los equipos o al server de sucursal.

    Me puedes ayudar con este inconveniente, en los dos isa ya puse las reglas de permitir el trafico tanto de ida como de vuelta.

    viernes, 13 de abril de 2012 14:20
  • Hola dvharley,

    Si desde el ISA de la matriz, puedes hacer ping a la sucursal (cualquier equipo ademas del ISA de la sucursal), y los equipos de tu matriz tienen como puerta de enlace predeterminada al ISA de la matriz no deberías tener problemas. Mándame como es la configuración IP de una maquina de la matriz y de otra de la sucursal, si en alguno de los dos lados utilizas una puerta de enlace diferente al ISA dímelo también. Seria interesante ver el resultado de un tracert desde un equipo de la matriz a uno de la sucursal y a la inversa para descartar errores de routing.

    Cuando tenga esta información te podre decir algo más.

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    viernes, 13 de abril de 2012 14:56
  • Estimado Gregoj,

    creo q es problema de ruteo, entre los isas puedo hacer ping, pero los clientes no. Te explico como esta la conexion:

    cliente matriz:

    Ip:192.168.1.x / 16

    gateway;192.168.1.1  "La direccion del Isa"

    Dns: 192.168.1.2 y 192.168.1.3 "direcciones del AD y su backup"

    ISA MATRIZ:

    Ip publica:

    IP: 190.11.......

    gateway:190.11.......

    dns: 192.168.1.2 y 192.168.1.3

    Ip privada:

    ip: 192.168.1.1 /16

    gateway: sin gateway

    dns: 192.168.1.2 y 192.168.1.3

    Cliente sucursal

    ip: 192.168.7.X / 24

    gateway: 192.168.7.1 "la ip del isa sucursal"

    dns: 192.168.7.1

    ISA SUCURSAL

    Ip publica: 200.110.........

    gateway:200.110........

    dns: 200.93.........

    Ip privada: 192.168.7.1 /24

    sin gateway

    dns: 192.168.7.1

    viernes, 13 de abril de 2012 15:43
  • Hola dvharley,

    ¿Tienes definida en el ISA una regla de red entre las redes Matriz y Sucursal? . Esta regla debería estar definida en ambos ISAs.

    Creo que este es el problema por que la configuración en clientes y ISAs es correcta.

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    viernes, 13 de abril de 2012 16:19
  • Gregoj,

    te envio las reglas de matriz:

    bosque se llama la sucursal..

    viernes, 13 de abril de 2012 17:39
  • Hola dvharley,

     No me referia a las reglas del firewall, sino a las reglas de redes.

     Configuración -> Redes -> Pestaña Reglas de Red

     Debes tener una regla para permitir el tráfico entre Internal y Bosque de forma Enrutada y no "NATeada".

     Esta regla tiene que estar definida en ambos ISAs.

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio


    sábado, 14 de abril de 2012 14:52
  • Estimado Gregoj,

    Si tengo una regla de red:

    En matriz esta desde internal a bosque por route

    En sucursal esta desde bosque a internal por route

    pero lo raro es q el dia de hoy no puedo conectarme a matriz por vpn de cliente, tengo el error 807 q no recibe peticiones de vpn.

    Una pregunta adicional en sucursal tengo q instalar Dhcp, pq me conecte por vpn cliente y me dio unas ip del rango 169.254?????? en sucursal tengo el rango 192.168.7.X, pero si quiero q la vpn de por el mismo rango me dice q hay un error pq puede haber overlap en las direcciones. Como soluciono esto?

    Muchas gracias por tu ayuda

    domingo, 15 de abril de 2012 0:07
  • Hola dvharley,

    El error 807 indica una desconexion (ERROR_VPN_DISCONNECT 807) es decir la conexión entre los servidores se ha interrumpido,  seguramente estara ligado a algun problema puntual en tus comunicaciones.

    Respecto al tema del enrutamiento entre la delegación y tu central, me enviaste las reglas de firewall de la matriz, la segunda de ellas debería ser de Bosque a Internal, en matriz deberías tener definidas tambien estas reglas pero en orden inverso (1º Bosque -> Internal y 2º Internal -> Bosque). Por otra parte veo que tienes alguna regla por encima de ellas, verifica que no sea alguna de estas la que este cortando el tráfico entre las sedes. Puedes ejecutar pings, desde equipos de la matriz hacia equipos de la delegación y a la inversa y revisar lo que esta pasando en la ventana de monitorización de ambos ISAs.

    Revisa este link, que aunque se refiere a un tunel IPSec, es un articulo muy interesante sobre el procedimeinto a seguir a la hora de configurar una VPN site to site con ISA 2004, y seguramente te sera útil:

    http://www.isaserver.org/tutorials/2004ipsectunnelmode.html

    Con respecto al tema de los clientes vpn, tienes dos opciones para que tus clientes VPN obtengan dirección IP, crear un DHCP o utilizar un rango de direcciones, las direcciones 169.254.... te las asigna cuando no encuentra DHCP y tampoco tienes definido un rango de IPs. Si el direccionamiento IP de los equipos en tu red es fijo, cuando definas el ambito (si te decantas por utilizar DHCP) define un rango de direcciones que no esten utilizando estos equipos (por ejemplo puedes usar 192.168.7.2 a 192.168.7.199 para los equipos de la red y definir el rango 192.168.7.200 a 192.168.7.230 para los cliente VPN), de igual forma si te inclinas por definir un rango, en lugar de utilizar el DHCP, elige un rango de direcciones que no este usado por tus equipos. De cualquier modo puedes definir, para evitar problemas de "overlap", una red diferente para tus equipos VPN (Por ejemplo la 192.168.22.0/24), no vas a tener ningún problema por hacer esto, define las reglas de firewall para permitir los acceso que necesites e igualmente debes definir una regla de red para "enrutar" el tráfico desde clientes VPN a la LAN, con que tengas esto definido todo te debería funcionar sin problemas.

    Igualmente puedes revisar el siguiente link, que seguramente también te ayudará:

    http://www.isaserver.org/articles/2004vpnserver.html

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    • Propuesto como respuesta Eduardo Portescheller martes, 17 de abril de 2012 12:07
    • Marcado como respuesta dvharley sábado, 21 de abril de 2012 7:28
    lunes, 16 de abril de 2012 11:19