none
problema montando vpn RRS feed

  • Pregunta

  • buenas que tal? les paso a comentar, en una pequeña red hay 4 equipos windows 10 y un servidor 2012 r2, quiero montar una vpn para ofrecer conexion completa desde fuera, el servidor está conectado a un router que solo actua de modem, las 2 tarjetas de red del servidor estan conectadas al router, cuando instalo el rol rras le configuro como acceso remoto y nat, le indico la tarjeta que si tiene acceso a internet le digo que quiero indicar ips automaticas (dhcp) le digo que autentique los usuarios sin radius y habilito el servicio, el primer problema esque el servidor arroja 2 errores cuando se intenta conectar desde fuera, estos no tienen sentido aveces arroja uno y otras otro.

    º1 se produjo un error en los tuneles vpn probados, tal vez el servidor este inaccesible.

    esto no tiene sentido lo tendria si el firewall estuviese bloqueando los puertos pero eso no es asi, ni el del router ni el del servidor ya que ambos tienen reglas para tener los puertos abiertos.

    º2 se denegó la conexión poque no se reconoce la combinación de nombre de usuario y contraseña, este error es falso ya que si se inicia sesion en el dominio si la reconoce pero en el vpn no, se trata de un bug? la autenticación está configurada como autenticación de windows asi que no deberia dar ese error absurdo.

    el segundo problema esque al habilitar la vpn la red interna se cae casi completamente, no puedo abrir %\windir%\tracing para mirar el log porque me dice que windows no lo encuentra, si detengo el servicio la red vuelve a funcionar perfecto, tambien debo decir que no puede ser fallo de certificado ya que hay instalada una entidad de ertificados para el ssl para iis asi que eso no puede ser, todo lo que encuentro en google de forma oficial es para el 2008 r2, alguien arrojaria luz sobre el camino? gracias por su tiempo

    lunes, 19 de diciembre de 2016 2:18

Respuestas

  • Tienes varios inconvenientes con la configuración que nombras, y que seguramente son los que están causando los problemas

    El servidor VPN debe tener una interfaz conectada a la red externa, y otra a la interna, nunca ambas a la misma red. Primero porque esto ya de por sí trae problema, y aparte porque de ninguna forma podrá pasar tráfico de red entre una y otra si ambas están en la misma red

    La configuración es Router --- SrvVPN_Ext --- VPN --- SrvVPN_Int --- Switch --- PCs_Int

    Segundo problema, un Controlador de Dominio con dos interfaces de red, trae problemas, es algo conocido porque registra ambas direcciones IP en su DNS, no puedes evitarlo, y los clientes seleccionarán ambas

    Tercero, y muy a tener en cuenta, permitir conexiones externas a un Controlador de Dominio es un problema grave de seguridad. Estás casi exponiendo en Internet a la máquina que tiene "lo más valioso de tu red" como son usuario y contraseñas
    Y si a eso le agregamos que dices que tiene NAT, o sea que tiene una interfaz con dirección IP pública entonces el problema es mucho peor todavía

    Las opciones que tienes, es poner un Router, que admita la cantidad de VPNs que necesites simultáneas, con lo cual las conexiones externas son al Router

    O la otra, es poner un servidor VPN, pero separado de la máquina actual que es Controlador de Dominio

    Dejo un enlace que tiene una demostración de la configuración

    Windows Server 2012 (R2): Configurar Servidor VPN | WindowServer:
    https://windowserver.wordpress.com/2014/03/27/windows-server-2012-r2-configurar-servidor-vpn/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 19 de diciembre de 2016 18:40
    • Marcado como respuesta fhuvu lunes, 19 de diciembre de 2016 18:57
    lunes, 19 de diciembre de 2016 9:48
    Moderador
  • Tu esquema es sencillo, yo lo haría poniendo un router appliance que me levante una Vpn IPSec, dentro de la lan todos los equipos tienen igual tratamiento, igual el servidor solo ocuparía una tarjeta y se conectaría al internet como los demás, la diferencia es que en el appliance pondría reglas para natear puertos hacia la IP privada del servidor (SQL, Remote Destop, etc). Yo prefiero esta manera de hacerlo por que es más seguro, la defensa se hace en capa 3 es decir en el firewall del appliance, no a nivel se sistema operatvo cuando el peligro ya está dentro.

    • Propuesto como respuesta Moderador M lunes, 19 de diciembre de 2016 18:40
    • Marcado como respuesta fhuvu lunes, 19 de diciembre de 2016 18:58
    lunes, 19 de diciembre de 2016 15:14
  • solucionado montando un ubuntu virtual dentro del servidor ya funciona, ya se puede acceder desde cualquier dispositivo externo, un poquitin lento, unos 50 kb de diferencia mas o menos pero almenos funciona, quera evitar linux a toda costa pero me persigue. si eso funciona desde una evaluacion de server con un adsl ridiculo imagina mañana en el server real con fibra
    • Marcado como respuesta Moderador M martes, 20 de diciembre de 2016 16:57
    lunes, 19 de diciembre de 2016 22:45

Todas las respuestas

  • Tienes varios inconvenientes con la configuración que nombras, y que seguramente son los que están causando los problemas

    El servidor VPN debe tener una interfaz conectada a la red externa, y otra a la interna, nunca ambas a la misma red. Primero porque esto ya de por sí trae problema, y aparte porque de ninguna forma podrá pasar tráfico de red entre una y otra si ambas están en la misma red

    La configuración es Router --- SrvVPN_Ext --- VPN --- SrvVPN_Int --- Switch --- PCs_Int

    Segundo problema, un Controlador de Dominio con dos interfaces de red, trae problemas, es algo conocido porque registra ambas direcciones IP en su DNS, no puedes evitarlo, y los clientes seleccionarán ambas

    Tercero, y muy a tener en cuenta, permitir conexiones externas a un Controlador de Dominio es un problema grave de seguridad. Estás casi exponiendo en Internet a la máquina que tiene "lo más valioso de tu red" como son usuario y contraseñas
    Y si a eso le agregamos que dices que tiene NAT, o sea que tiene una interfaz con dirección IP pública entonces el problema es mucho peor todavía

    Las opciones que tienes, es poner un Router, que admita la cantidad de VPNs que necesites simultáneas, con lo cual las conexiones externas son al Router

    O la otra, es poner un servidor VPN, pero separado de la máquina actual que es Controlador de Dominio

    Dejo un enlace que tiene una demostración de la configuración

    Windows Server 2012 (R2): Configurar Servidor VPN | WindowServer:
    https://windowserver.wordpress.com/2014/03/27/windows-server-2012-r2-configurar-servidor-vpn/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 19 de diciembre de 2016 18:40
    • Marcado como respuesta fhuvu lunes, 19 de diciembre de 2016 18:57
    lunes, 19 de diciembre de 2016 9:48
    Moderador
  • Tu esquema es sencillo, yo lo haría poniendo un router appliance que me levante una Vpn IPSec, dentro de la lan todos los equipos tienen igual tratamiento, igual el servidor solo ocuparía una tarjeta y se conectaría al internet como los demás, la diferencia es que en el appliance pondría reglas para natear puertos hacia la IP privada del servidor (SQL, Remote Destop, etc). Yo prefiero esta manera de hacerlo por que es más seguro, la defensa se hace en capa 3 es decir en el firewall del appliance, no a nivel se sistema operatvo cuando el peligro ya está dentro.

    • Propuesto como respuesta Moderador M lunes, 19 de diciembre de 2016 18:40
    • Marcado como respuesta fhuvu lunes, 19 de diciembre de 2016 18:58
    lunes, 19 de diciembre de 2016 15:14
  • quiza me explique mal. el servidor no tiene 2 puertas de enlace solo una, es decir l tarjeta de lan tiene 10.0.0.1 y la tarjeta de lan no tiene puerta de enlace, solo apunta al dns del servidor.

    no puedo poner otro servidor porque esto supondria comprar una nueva licencia y no, con respecto al router vpn no puedo compar uno con vpn porque todos llevan linux y yo linux cuanto mas lejos mejor, uso el que tenemos porque no queda mas remedio, en cuanto a lo que dices de que tengo mala configuracion......... quiza sera para windows porque en mi propio hogar puedo montar la misma configuracion que en el curro solo que con un servidor ubuntu y no me da ningun problema, por lo tanto repito se trata de un bug? ya que si me bajo una version de evaluacion y lo configuro igual que en el curro pero sin ser dc pasa exactamemte igual, por tanto no es por problema de que es un dc

    lunes, 19 de diciembre de 2016 19:08
  • quiza me explique mal. el servidor no tiene 2 puertas de enlace solo una, es decir l tarjeta de lan tiene 10.0.0.1 y la tarjeta de lan no tiene puerta de enlace, solo apunta al dns del servidor.

    no puedo poner otro servidor porque esto supondria comprar una nueva licencia y no, con respecto al router vpn no puedo compar uno con vpn porque todos llevan linux y yo linux cuanto mas lejos mejor, uso el que tenemos porque no queda mas remedio, en cuanto a lo que dices de que tengo mala configuracion......... quiza sera para windows porque en mi propio hogar puedo montar la misma configuracion que en el curro solo que con un servidor ubuntu y no me da ningun problema, por lo tanto repito se trata de un bug? ya que si me bajo una version de evaluacion y lo configuro igual que en el curro pero sin ser dc pasa exactamemte igual, por tanto no es por problema de que es un dc

    ¿En qué parte se nombra "puerta de enlace"? porque en ningún momento nombre esa configuración

    Bueno, si crees que hay otra solución que no sea con una máquina separada, o con un Router, puedes implementarla como quieras

    Estos foros son sólo una contribución voluntaria tratando de ayudar a otras personas, damos ayuda y proponemos soluciones que consideramos mejor, pero por supuesto cada uno es reponsable de lo que hace, y cómo lo hace

    Si piensas que lo que haz hecho funcionará en el ambiente productivo, pues puedes hacerlo, y no tomar en cuenta ninguna respuesta ni consideración que se haga

    Y sí, aunque no lo creas, un Controlador de Dominio, no es una máquina igual que todas las demás

    Suerte :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 19 de diciembre de 2016 19:47
    Moderador
  • no me quejo del foro al contrario, amabilidad,rapidez en las respuestas,claridad. no no me quejo, menciono las puertas de enlace porque uno de mis compañeros me dice esta mañana que podria ser este el fallo el que yo pusiera la misma red y puerta de enlace en ambas redes.

    la tarjeta uno tiene 192.168.1.50 y la tarjeta dos (lan) tiene 10.0.0.1  por eso mencionaba las puertas por si llegases a la misma conclusion, lo que me escama esque un software creado por una compañia multinacional con recursos incomparables tenga tantos problemas, y un sistema operativo creado por 100 o 200 personas y ofrece mas libertades gratuitamente con mas seguridad?, microsoft no ofrece documentacion centralizada y si la ofrece es minima, todo es pagando y muchas veces ni siquiera asi te atienden (no hablo de los foros), todo son obligaciones y ningun derecho, la unica razon por la que amo windows desde mis 7 años (ahora 30) es que es mas rapido que linux mas ligero menos complicado mas compatible mas expandido, pero claro luego ves  que auque pagues no obtienes todo lo necesario....... te deprimes, en linux te tiras 20 minutos para hacer algo que en windows tardas dos, ademas linux no te facilita mucho las coss, es demasiado verborrero, windows es mas limpio almenos para mi, pero claro con tantas limitaciones de diseño te dan ganas de no pagarlo

    lunes, 19 de diciembre de 2016 20:38
  • No dudo para nada de tus capacidades de desarrollador, que seguramente serán muy buenas, pero con el tema infraestructura (ITPro) tienes ... cómo decirlo para que no lo vayas a tomar a mal ... bueno, estás flojo flojo

    Trataré de aclarar algunas cosas

    - Si tienes conectividad a Internet entonces no tienes un simple "modem". Es un "Router con NAT" y que además funciona como "Bridge" si usas ADSL. De otra forma no hay posibilidad de comunicación usando direcciones IP privadas

    - Con esas dos direcciones IP, tienes dos redes IP totalmente diferentes. Una cosa es la red física (cableada) y otra la lógica (IP). Están conectadas a la misma red física, pero lógicamente son redes diferentes

    - La configuración Puerta de Enlace tiene que ser una dirección local a la red de la interfaz, no puede ser remota. Un ejemplo básico ¿puedes poner la puerta de salida de una habitación, en otra habitación? en ese caso no entra ni sale nadie

    - Tener dos puertas de enlace, no es lo normal, pero puede tener sentido en algunas configuraciones específicas. La Puerta de Enlace es la salida por omisión, "cualquier tráfico externo envíalo ahí", pero ¿¿¿Cuál??? si me haz puesto más de una
    Se puede elegir una "Puerta de Enlace por omisión" jugando con la métrica de cada interfaz, pero no funciona como la mayoría piensa. Va a usar siempre la de menor métrica, y cambiará a la siguiente sólo si la primera Puerta de Enlace deja de responder, que no es lo mismo que no llegar al destino final

    Si estás reducido en presupuesto, revisa la documentación del Router que tienes, la mayoría permite conexiones VPN, en el peor de los casos será sólo una por vez, pero aún la mayoría de los domésticos lo admite
    El problema sería si estás con un ISP que no te permite acceder a la configuración del Router, y ahí sí, estás con problemas

    Respecto a las políticas de Microsoft no emito opinión, tiene cosas muy buenas, y no tan buenas. Específicamente la documentación creo que es uno de los temas que debería mejorar bastante, y en español es poca y a veces con mala traducción. Por eso suelo siempre hacer las búsquedas en inglés, es mucho más reducido en cuanto a palabras clave, y hay muchísima más información en la web

    Respecto a que Windows Server sea un sistema operativo para "100 a 200" personas, creo que estás muy equivocado, ya que es para varios miles de usuarios :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    lunes, 19 de diciembre de 2016 21:36
    Moderador
  • si se podria poner una puerta de una habitacion a otra siempre que sea adjunta, osea si se puede, no es necesario que tenga dos redes fisicas para montarla con una sola suficiente, de nuevo cito a linux, solo con crear una tarjeta virtual y apuntar el trafico de una a otra buala, ya lo tienes hecho pero en windows? todo limitaciones para lo caro que es, el router nos lo trajeron cuando contratamos fibra con movistar y no no soporta vpn, si puedes abrir los puertos para montarla con un servidor fisico o virtual pero no mas, con respecto a las mejoras no solo la documentaxion sino tambien el servicio de atencion, que apesar de llamar a españa te atiende latinoamericanos que no entienden nada de lo que les hablas, los foros son la unica fuente real de informacion
    lunes, 19 de diciembre de 2016 21:56
  • La Puerta de Enlace es análogo a una puerta física, si la habitación no tiene puerta, no entras ni sales, y más vale que no quede ningún albañil del lado de adentro :)

    Cómo se comunican dos redes IP, no es un tema ni de Linux ni de Windows, es como está definido el protocolo TCP/IP. No es ninguna limitación de ningún sistema operativo, es una normalización aceptada por todo el que quiera conectarse a Internet

    Si el Router del ISP no permite crear VPNs, siempre puedes poner uno propio interno a tu red, y de bajo costo

    Hasta se podría hacer también con una máquina virtual, pero no es una configuración fácil si no dominas IP y virtulización. No es una configuración sencilla de las redes necesarias

    Saludos desde latinoamérica

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 19 de diciembre de 2016 22:18
    Moderador
  • solucionado montando un ubuntu virtual dentro del servidor ya funciona, ya se puede acceder desde cualquier dispositivo externo, un poquitin lento, unos 50 kb de diferencia mas o menos pero almenos funciona, quera evitar linux a toda costa pero me persigue. si eso funciona desde una evaluacion de server con un adsl ridiculo imagina mañana en el server real con fibra
    • Marcado como respuesta Moderador M martes, 20 de diciembre de 2016 16:57
    lunes, 19 de diciembre de 2016 22:45