Anda di halaman 1dari 56

Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN)

Una de las ms usadas configuraciones en la pequea y mediana empresa es conectar los


diferentes sitios geogrficos que poseen a travs de Internet usando VPNs. No es en general
la mejor de todas las opciones pero es la que est al alcance en forma econmica para todos
los presupuestos

Hace ya un tiempo hice una nota similar pero con Windows Server 2008-R2, y me he
decidido a hacer esta con Windows Server 2012 porque hay varias diferencias y por
supuesto mejoras

Aprovechar tambin, y ya que es lo ms comn en la pequea empresa que al tener poca


disponibilidad de servidores, utilicen el mismo equipo para hacer la VPN y proveer
conectividad a Internet a los clientes

Es un opcional si quieren hacerlo esto ltimo, slo lo mostrar porque est prcticamente
incluido en la configuracin objeto, esto es conectar dos sitios geogrficos diferentes a
travs de VPN, y por su uso generalizado

Lo que s es importante, es que estos servidores que crearn la conexin no sean


Controladores de Dominio ya que es un riesgo muy grande de seguridad

Inclusive, y por seguridad, en la configuracin que mostrar, los dos servidores VPN no
pertenecern a ningn Dominio, simplemente estarn en grupo de trabajo (Workgroup), ya
que durante la autenticacin se usarn cuentas locales, y en caso de compromiso de las
mismas, no es lo mismo una cuenta local de un servidor que una del Dominio

Veamos el diagrama con las mquinas que utilizaremos. La mquina ISP es totalmente
opcional y se utilizar slo si quieren asegurarse que la conexin compartida a Internet
funciona bien
El hecho de estar usando un Controlador de Dominio, es slo porque luego usar la misma
infraestructura para una nota que incluya la configuracin de Sitios de Active Directory. Lo
mismo vale para DC2 que en realidad es, por ahora slo un servidor miembro del Dominio,
pero no es Controlador de Dominio

De todas formas repasemos la configuracin de las mquina utilizadas

DC1 Windows Server 2012


Nombre: dc1.root.guillermod.com.ar
Direccin IP 192.168.1.201/24 (/24 = 255.255.255.0)
Default Gateway 192.168.1.254
Controlador de Dominio (no necesario para esta demostracin)

VPN1 Windows Server 2012


Nombre: VPN1
Interfaz Interna:
Direccin IP 192.168.1.254/24
Interfaz Externa:
Direccin IP 131.107.0.1/16
Deshabilitados todos los protocolos, salvo TCP/IPv4
Deshabilitado NetBIOS sobre TCP/IP
No tiene ningn Default Gateway (Puerta de Enlace)

ISP Windows Server 2012 (Opcional)


Nombre: ISP
Direccin IP 131.107.0.100/16
Instalado Web Server, sin ninguna configuracin extra

VPN2 Windows Server 2012


Nombre: VPN2
Interfaz Interna:
Direccin IP 192.168.2.254/24
Interfaz Externa:
Direccin IP 131.107.0.2/16
Deshabilitados todos los protocolos, salvo TCP/IPv4
Deshabilitado NetBIOS sobre TCP/IP
No tiene ningn Default Gateway (Puerta de Enlace)

DC2 Windows Server 2012


Nombre: dc2.root.guillermod.com.ar
Direccin IP 192.168.2.202/24
Default Gateway 192.168.2.254
Servidor miembro del Dominio (no necesario para esta demostracin)

IMPORTANTE: estos pasos los debemos ejecutar tanto en VPN1 como en VPN2
Comenzaremos agregando los roles necesarios de la forma habitual
Ac vemos una de las diferencias con Windows 2008-R2 ahora est dentro de un rol nuevo
Remote Access

Por supuesto que agregamos la funcionalidad adicional requerida


Para el que le interese el tema, a mi s, vean los comentaros que ya hice en la notaCompartir
Conexin a Internet sobre la instalacin forzada del IIS :-(
Si quieren configurar tambin el acceso compartido a Internet, deben marcar adems la
opcin Routing
Cuando finaliza la instalacin nos ofrece, y aceptaremos, la configuracin mediante
asistente
Demorar unos momentos en aparecer el siguiente cuadro, y revisen porque a veces queda
tapado por otra ventana. Como no implementaremos en esta ocasin Direct Access,
marcamos la tercera opcin
Nos abrir la consola de Routing and Remote Access donde procederemos a la
configuracin, usando el asistente que accedemos con botn derecho
Si conjuntamente con VPN quieren configurar el uso compartido de Internet sigan el
asistente. Si no les interesara el compartir Internet, marque la primera opcin Remote
access (Dial-up or VPN)

Muy importante, marquen cul es la interfaz externa (la que conecta a Internet)
Debemos asignar el rango de direcciones IP que se asignarn a la VPN, como siempre yo
prefiero un rango separado de la red
Se van a necesitar dos redes VPN, una para la conexin desde BAires (Buenos Aires) hacia
Mendoza, y otra para Mendoza hacia BAires

Por lo tanto:
En VPN1 eleg 172.16.0.1 a 172.16.0.2
En VPN2 eleg 172.17.0.1 a 172.17.0.2

Una direccin del rango la necesita el servidor que recibe la VPN, y otra para asignarsela al
servidor que se conecta.
Por lo tanto tomando slo 2 IPs me aseguro que no se pueda conectar otro. Si tuvieran ms
de un sitio, o esperaran que se conecten usuarios deberan asignar ms direcciones al rango:
una para el servidor y una ms por cada conexin esperada
Como lo usar en un ambiente de Dominio Active Directory me tengo que asegurar que no
interfiera en la resolucin de nombres, ni en la asignacin de IPs, por lo tanto elijo la
segunda opcin

Por supeusto que en este caso no usaremos RADIUS


Y finalizamos
Por supuesto, aunque no lo usemos siempre aparece el mensaje de DHCP Relay Agent

Podemos observar que ha quedado configurada la opcin de compartir Internet


Ya podran probar el acceso desde DC1 al servidor web ISP, yo lo mostrar al final, cuando
probamos todo

Atencin que ahora viene la parte ms delicada, y donde se suelen cometer los errores. Por
ahora lo nico que hemos hecho es la instalacin y configuracin de los servidores VPN,
ahora necesitamos configurar las conexiones entre los dos sitios

Vamos a aclara algunas cosas para que luego resulte sencillo seguir los procedimientos

Yo estoy usando para la demostracin dos sitios: BAires y Mendoza.


Y necesitaremos dos redes VPN: una desde BAires hacia Mendoza, y otra desde Mendoza
hacia BAires estamos de acuerdo? ;-)
Por lo tanto tengo que establecer credenciales para cada una de las conexiones

Cuando BAires llame a Mendoza (VPN1 llame a VPN2) utilizar un nombre de usuario
local que debe ser autenticado y autorizado por VPN2.

El nombre de la conexin ser el nombre de la cuenta usada para validar


O sea, cuando BAires llame, usar el usuario BAires (con contrasea) que debe ser una
cuenta vlida y autorizada para acceso remoto en VPN2
En VPN1 debo crear una conexin llamada BAires, y en VPN2 debe haber una cuenta local
llamada BAires autorizada para VPN

As mismo, cuando Mendoza llame a BAires, usar una conexin llamada Mendoza, cuenta
que debe estar creada y autorizada en Baires

Como lo anterior no fcil de comprender hasta que uno lo hace, a partir de este momento
configuraremos en forma separada cada servidor

Lo siguiente solamente en VPN1

Debemos crear la conexin, comencemos en VPN1 creando la conexin hacia Mendoza


Colocamos el nombre del sitio al que deseamos conectarnos
Usaremos VPN

Ya que no tenemos certificados de mquina utilizaremos como protocolo PPTP


Indicamos la direccin IP externa del servidor de Mendoza
Y si deseamos que Mendoza tambin pueda inciar conexin marcamos Add a user account
so a remote router can dial in

El prximo paso nos preguntar por la red de destino, para agregar la correspondiente
entrada en la tabla de ruteo. Agregamos la red que estamos usando en Mendoza
Ahora nos solicita las credenciales que utilizar Mendoza cuando llame a BAires. Con esto
crear en VPN1 una cuenta local autorizada para acceder por VPN
Debemos asignarle la contrasea correspondiente

Ahora nos est solicitando las credenciales que usar BAires para conectarse hacia
Mendoza. Esta cuenta se deber crear en VPN2 de Mendoza (lo hace el propio asistente de
configuracin)
Y por fin, fin :-)
Podemos observar que se ha creado una conexin llamada Mendoza. Entremos a sus
propiedades para ver qu ha configurado

Algo que seguramente necesitemos cambiar: que la tome como conexin permanente, esto
es que no la desconecte por falta de actividad, lo que en muchos casos acarreara que
cambiara la direccin IP y tengamos que hacer el cambio en la interfaz.

Es altamente conveniente que veamos con el ISP de tener conexiones con IP fija
Otra a cambiar: podemos tranquilamente deshabilitar la autenticacin CHAP, por insegura,
y porque no se utilizar
Dejamos VPN1, y vamos a VPN2

Lo siguiente solamente en VPN2

El proceso de configuracin es totalmente anlogo, salvo algunas pantallas donde indicar


los cambios respecto a lo hecho en VPN1
Ahora la conexin es desde Mendoza a BAires
Ahora es la direccin IP externa de VPN1
Ahora incluiremos la red que tenemos en BAires
En este caso es BAires (VPN1) la cuenta que llamar a Mendoza (VPN2)
Y Mendoza (VPN2) la cuenta que llamar a BAires (VPN1)
Estuvimos nombrando que hay que crear cuentas locales tanto en VPN1 como en VPN2
(Mendoza y BAires respectivamente). En versiones anteriores del sistema operativo esto
debamos hacerlo en este momento, pero con Windows Server 2012 esto ya lo ha hecho el
asistente anterior

Si entramos en Computer Management de cada servidor veremos que se han creado las
cuentas, y se les han marcado las opciones que no caduque la contrasea y que puedan
ingresar por VPN

Muestro la cuenta creada en VPN1 (BAires), pero es anlogo en VPN2 (Mendoza)


Ahora lleg el momento de la verdad probamos si funciona?
Unos instantes de suspenso :-)
O tenas dudas? :-)

Debemos proceder anlogamente en VPN2 y verificar que conecte


Y todo esto que hicimos funcionar realmente?

Comencemos probando desde DC1 si podemos acceder a Internet. Debemos usar direccin
IP porque no hemos hecho la infraestructura de DNS necesaria
Exito!

Y podr conectarse DC2 con DC1? por supuesto!


Bueno, esto lleg hasta ac, ya tenemos dos sitios conectados por VPN y verificada tanto la
conectividad entre los sitios como el acceso a Internet

Esta estructura la usar en la siguiente nota, donde procederemos a promocionar a DC2


como Controlador de Dominio del Dominio existente, y lo ms importante crearemos la
estructura de Sites, Subnets y Links necesaria para el correcto funcionaiento de nuestro
Dominio
About these ads

Tu voto:

7 Votes
Comprtelo:

Google

LinkedIn4

Me gusta:
De Guillermo Delprato, el 02/02/2013 a las 13:01, bajo Conectividad de Red, How To - Step-by-step - Paso a
paso, Servicios de Red, Windows Server 2012. Etiquetas: Conectividad de Red,conexin compartida a
internet, How To - Step-by-step - Paso a paso, Servicios de Red,windows server, Windows Server 2012. 40
comentarios
Enva un comentario o deja una ruta: Trackback URL.

Windows Server 2012: Compartir Conexin a Internet


Active Directory [Actualizado]
Comentarios

jecavallin En 03/02/2013 a las 22:21

Enlace permanente | Responder

Excelente . Saludos

o Delprato En 04/02/2013 a las 07:21

Enlace permanente | Responder

Gracias Jorge!

Jorge Cavallin En 04/02/2013 a las 16:37

Enlace permanente | Responder

Hola. Disculpa el atrevimiento Ya que se esta en una nueva version de SO , estara bueno
una refrescada que pasa en AD , cual es su base de datos , que datos se guarda en la
misma , catalogo global , donde se guarda y que motor lo hace replicar , lo mismo , como
funsiona el sysvo y quien lo replica . saludos

o Delprato En 04/02/2013 a las 17:03

Enlace permanente | Responder

Hola Jorge, ningn atrevimiento, al contrario te agradezco las ideas para nuevas notas
En general estoy dedicndole ms tiempo a los HowTo/Demos porque veo que tienen
mucha ms actividad que las notas explicativas/tericas
Mi ocupacin formal es capacitacin, y cada vez veo ms que lamentablementea la
mayora le interesa resolver un tema aunque no comprenda cmo funciona :-(
Aunque tambin creo que es algo incentivado por Microsoft. Casi siempre hay un asistente
que con darle siempre next, next, todo queda funcionando. Despus, vienen los
problemas cuando no es la configuracin necesaria el caso
Pero igual gracias, tengo por ahora dos notas casi listas que estn relacionadas con esto
sobre configuracin de Sites de AD, y el uso de los RODC (Read Only Domain Controllers)
Respecto a la actualizacin a W2012, el tema es que desde el punto de vista Active
Directory, los cambios ms grandes estn expuestos en las notas, por ejemplo todo el
apoyo a virtualizacin, el resto digamos que no tiene grandes cambios. Igual como
comentaba antes, voy a ver de preparar algunas notas sobre funcionamiento

Jorge Cavallin En 06/02/2013 a las 23:14

Enlace permanente

Hola , muchas gracias por tu respuesta . Ya que estas en el tema favor de mencionar
esto : http://support.microsoft.com/kb/944043/es , puesto que en entornos de dominios
con XP y 2003 es fundamenta la aplicacin del paquete de compatibilidad de Windows
Server 2008 dominio de slo lectura (RODC) . Saludos y muy bueno lo que hacen

Delprato En 07/02/2013 a las 07:54

Enlace permanente

Lo tendr en cuenta gracias


Parece que haz tenido problemas justamente con eso :-)

Jorge Cavallin En 07/02/2013 a las 16:48

Enlace permanente

Hola si con el tema de los RODC , estoy con un temita desde hace varios meses por no
haber ledo lo suficiente . ;))

Delprato En 07/02/2013 a las 19:01

Enlace permanente

No s si llego hoy, pero seguro durante el fin de semana sale el de Sites, que es lo que
da el motivo para los RODCs
Pregunt por ac si quers, y puedo ayudar , en lugar de aprobar el post te respondo
al correo

Jorge Cavallin En 08/02/2013 a las 10:44

Enlace permanente

Ok , muchas gracias . La parte fuerte la esta haciendo un colega de MS contratado al


respecto (ADRAP + TAM + Premier)

Delprato En 08/02/2013 a las 12:17

Enlace permanente
Bien!

CARLOS VIDAL En 05/02/2013 a las 18:26

Enlace permanente | Responder

Muy bueno, yo necesito hacer algo similar y a penas empiezo asimilar algunos conceptos
VPN, Servidor etc.; mi necesidad es tener acceso a la informacin generada y guardada en
los servidores, ubicados en ciudades diferentes.. la pregunta seria esta conexin que explicas,
aplica y me sirve para satisfacer mi necesidad??..

o Delprato En 05/02/2013 a las 19:42

Enlace permanente | Responder

Hola Carlos, la conexin entre sitios es el principio, es lo que da conectividad de red, o


para decirlo ms fcilmente es lo que permite que mquinas que estn en diferentes sitios
se puedan conectar
Luego lo de poder guardar y acceder va a depender de otras cosas como si es ambiente
de grupo de trabajo o dominio
Influyen mucho el ancho de banda de la conexin a Internet, la capacidad hardware de los
servidores, etc. etc.

Roberto En 25/02/2013 a las 16:05

Enlace permanente | Responder

Hola. Me ha gustado mucho, y acostumbrado al next, next no he llegado a entender ciertos


conceptos.
No entendido porque las redes VPN tienen que estar en un rango diferente de las redes de las
delegaciones. solo se necesitan para los servidores de acceso?
He intentado reproducir esta VPN, solo he realizado la mitad, ya se me conectan las redes,
pero solo se ven las IPs de los servidores de VPN, el resto de IPs no se alcanzan. Me esta
fallando el ruteo y no se donde.
Si tienes tiempo. gracias.

o Delprato En 25/02/2013 a las 16:32

Enlace permanente | Responder

Hola Roberto, por las dudas aclaro :-)


Cada sitio debe tener una red diferente para que se produzca el ruteo entre la central y
las delegaciones
Respecto a la direcciones de red de la VPN propiamente dicha es otro tema
Cuando se instala un servidor VPN se puede configurar para que d a los clientes de la
VPN direcciones en el mismo rango interno, o en otro cualquiera.
De las dos formas funciona, en el primer caso funciona como ARP Proxy, y en el segundo
como Router
En general prefiero el segundo, porque al estar en una red diferente se puede controlar el
trfico por filtrado de paquetes en base a direccin IP y protocolo
En el esquema que hice yo tanto VPN1 como VPN2, no forman parte del Dominio, luego no
interactan para nada con ste
Si fueran parte del Dominio, y funcionaran como ARP Proxy entonces s habra que tener
cuidado porque VPN2 tendra adems de su IP de la delegacin, una direccin del sitio
central, con lo cual pueden producirse inconvenientes cuando busque a los Controladores
de Dominio
Agrego que me falt respecto a la conexin y ver. Revisa que por omisin, en la interfaz
externa crea filtrado esttico de paquetes permitiendo slo los protocolos de VPN
Pero entre la VPN y la red interna no hay ningn filtrado, salvo el propio cortafuegos

Roberto En 25/02/2013 a las 18:07

Enlace permanente

Gracias por la contestacin y no te hago mas preguntas porque es tarea mia el


estudiar :) mi reto con esto y por lo que di con tu blog es unir dos delegaciones (mi
casa y la de mi madre) en un mismo dominio y poder formar un cluster, Por eso
necesito un dominio y luego otro tema sera las IPs del cluster.
SL2

Delprato En 25/02/2013 a las 19:47

Enlace permanente

Unir las dos delegaciones en un Dominio, no deberas tener ningn problema


Pobre tu madre :-)
Ahora eso de cluster Failover Cluster? ambos nodos en el mismo sitio?
Porque se pueden armar Failover Cluster Multi Site, pero se necesita hardware
especfico
Ac tienes como para comenzar el cluster
Windows Server 2012: Failover Cluster para Hyper-V (Parte 1 Creando la
Infraestructura) | WindowServer:
http://windowserver.wordpress.com/2012/11/22/windows-server-2012-failover-cluster-
para-hyper-v-parte-1-creando-la-infraestructura-2/
Tiene ya escritas cinco notas, desde la 1 a la 6

v0o0gu3 En 07/04/2013 a las 14:45

Enlace permanente

Hola Guillermo, buenas tardes y gracias por tus grandes notas sobre Windows Server.
Estoy intentando hacer esta pregunta en:
http://social.technet.microsoft.com/Forums/es-ES/wsnies/thread/ee55b254-566d-4de0-
a2d1-a9edefe52c56/
Pero por errores en la pgina no puedo citar o responder a una de tus entradas, por eso
lo escribo aqu y de antemano te doy mil gracias.
Estoy siguiendo esta gua paso a paso para intentar hacer un laboratorio de pruebas
pero no consigo tener visibilidad entre los dos sites.
La diferencia adicional que tengo respecto a tu configuracin DC1-VPN1-Internet-VPN2-
DC2 es que tengo los router del proveedor ISP entre medias: DC1-VPN1-Router Adsl 1-
Internet-Router Adsl 2-VPN2-DC2.
Como configuracin IP tengo la siguiente:
DC1
IP_LAN: 10.10.100.1 PE: 10.10.100.2
VPN1
IP_WAN: 192.168.0.2 PE: 192.168.0.1 DNS: 8.8.8.8
IP_LAN: 10.10.100.2
Router Adsl 1
IP_WAN: (la ip pblica del ISP)
IP_LAN: 192.168.0.1
DC2
IP_LAN: 10.10.101.1 PE: 10.10.101.2
VPN1
IP_WAN: 192.168.1.2 PE: 192.168.1.1 DNS: 8.8.8.8
IP_LAN: 10.10.101.2
Router Adsl 1
IP_WAN: (la ip pblica del ISP)
IP_LAN: 192.168.1.1
A la hora de crear las interfaces demand dial en VPN1 y VPN2 apunto a las direcciones
pblicas de los router Adls 1 y 2.
La conexin aparece como conectado en ambos sites.
He redirigido el puerto 1723 en ambos routers a la IP_LAN de VPN1 y VPN2
192.168.X.X
He comprobado que los router que tengo soportan vpn_passtrough y soportan el
protocolo GRE 47.
Pero cuando quiero hacer ping desde DC1 a DC2, por ejemplo:
DC1: ping 10.10.101.1 no responde.
DC1: ping 10.10.100.1 no responde.
Lo que si funciona en los dos sites es el NAT hecho por VPN1 y VPN2 para compartir el
acceso a internet de la interfaz conectada a internet a la interfaz de la LAN.
Como IPs que asignan VPN1 y VPN2 cuando establecen la conexin he puesto IPs del
rango de la LAN.
Los firewall de todos los servidores estn apagados.
Tengo que crear alguna entrada adicional de rutas estticas para que tengan visibilidad
ambos sites?
Estoy un poco perdido.
Espero vuestra ayuda.
Gracias y un saludo.

Delprato En 07/04/2013 a las 18:20

Enlace permanente

La redireccin en los Router ADSL hay que hacerla hacia la direccin externa de los
VPN, que por lo que interpreto me parece que ah est el problema
Es decir, todo lo que llegue a la IP externa del Router, sea redirigido a la interfaz
*externa del servidor VPN*
Respecto a las IPs para las VPNs, creo que el artculo lo dice, a m me gustan ms
rangos independientes, es ms fcil si quieres filtrar y adems es ms claro si hay que
resolver problemas, pero usando IPs locales de cada sitio debera funcionar igual
El tema es que si usas IPs diferentes, el VPN funciona como Router, y si son IPs locales
es como si fuera un Proxy ARP que a veces da algn problema
v0o0gu3 En 08/04/2013 a las 11:34

Enlace permanente | Responder

Hola Guillermo, buenas tardes.


Gracias por la respuesta.
Tengo dudas de cmo hacerlo realmente. No s si tengo que crear una ruta estatica dentro de
las reglas del router ADSL o dentro del rol de RRAS hacer esa misma ruta esttica.
Si es dentro del router. Entiendo que por defecto estar redirigido todo a la IP_LAN del router,
en este caso 192.168.0.1. Tendra que crear una ruta que redirija a la IP_LAN del servidor
VPN 192.168.0.2??
Si es en el rol. Cmo debera crear esta ruta esttica o respecto a qu interfaz?
Espero puedas explicarme un poco porque creo que no tengo nada claro los conceptos bsico
de rutas.
Gracias y un saludo.

o Delprato En 09/04/2013 a las 07:49

Enlace permanente | Responder

En cada Router hay que hacer que todo lo que llegue a Direccin IP Pblica Protocolo
TCP-1723 se enve a Direccin IP Externa TCP-1723 del servidor VPN
Los que manejan la conectividad entre los sitios son los servidores VPN, y el propio
asistente de configuracin pregunta cul es la red del otro sitio, as que ya quedan
definidas las rutas necesarias. No hay que hacer nada en el Router
Fjate que en la figura que est luego del prrafo que pego a continuacin est la
indicacin de la red del otro sitio
El prximo paso nos preguntar por la red de destino, para agregar la correspondiente
entrada en la tabla de ruteo. Agregamos la red que estamos usando en Mendoza

v0o0gu3 En 09/04/2013 a las 10:54

Enlace permanente

Hola Guillermo, muchisimas gracias por la respuesta.


Pues viendo la indicacin que me haces. La configuracin que tengo es la correcta y tal
cual como tienes en esta nota.
Tengo creado una regla de redireccin de puertos en cada ruter a la IP de la de interfaz
conectada al router de los servidores vpn del puerto 1723.
Si no fuera as no se conecectara con la conexin demand dial. y si lo hace.
Tambin me aparece la regla de ruta de las ips del rango LAN remoto.
Pero cada vez que quiero hacer ping desde un cliente a la ip del rango LAN remoto, me
da tiempo de espera agotado para la solicitud y eso que la regla de ruteo que se crea
por defecto es sobre la interfaz de marcada.
Ejemplo de la regla: 10.10.101.0 255.255.255.0 interfaz=demand dial
Hago tracert desde un cliente a una IP LAN remoto, y la traza va a hasta la puerta de
enlace, que es el servidor VPN, pero a partir de ah ya da TIME OUT.
El ping no responde ni siquiera haciendo ping desde los servidores VPNs a la IP de otro
servidor vpn, ni las IPs del pool establecido en la configuracin 172.x.x.x ni con las IP
de la LAN 10.10.x.x
Me encuentro en un punto en el que no veo en que punto de la configuracin est
fallando.
Para comprobar si el tunel est establecido, basta con ver que la interfaces demand dial
estn conectadas no es as?
Espero tu ayuda. Gracias y un saludo.
PD: he creado una entrada en en technet para no llenar est nota de preguntas tcnica.
http://social.technet.microsoft.com/Forums/en-
US/windowsserver2008r2branchoffice/thread/1bb0be27-3b66-4c04-b869-0d3d8f1ce2c8

Delprato En 10/04/2013 a las 08:15

Enlace permanente

Respondo por ac porque veo que lo haz puesto en los foros Technet en ingls, y no en
los de espaol :-)
Para saber si la VPN est realmente conectada, lo puedes ver en la consola RRAS, las
interfases deben estar como Connected es as?
Segundo punto a revisar cul es la puerta de enlace de los clientes en cada site?
recuerda que debe ser la interfaz interna del servidor VPN?
Porque el cliente tiene que saber que debe dirigir la respuesta al servidor VPN local
Y tercer que es tpico del error que comentas est permitido el PING en el cortafuegos
de los clientes? porque a m me ha pasado :-)
Prueba deshabilitando, aunque sea momentneamente el firewall de cada cliente

v0o0gu3 En 10/04/2013 a las 09:03

Enlace permanente | Responder

Hola Guillermo, buenas tardes.


En la consola de RRAS de ambos servidores VPN (VPN1 y VPN2) la interfaz demand dial
aparece como conectada. He revisado los puertos en la misma consola. Y aparece como
activo un puerto PPTP en cada servidor. Obtienen IPs remotas del pool creado en la
configuracin VPN. que de hecho al final cambie los rangos y los puse como indicabas en la
nota y los puese de rangos 172.X.X.X diferences a los de WAN Interface(192.x.x.x) y LAN.
(10.X.X.X)
Los firewall, estn desactivados en todas las mquinas para ahorrarme problemas. Tanto en
los servidores como en los clientes. Una vez que funcione los habilitar y crear las reglas
pertinentes.
Una prueba que he realizado ha sido hacer un tracert desde cualquiera de los servidores VPN
a una IP de la LAN remota, por ejemplo: tracert 10.X.X.X, pero no timepo agotado para la
solicitud.
He comprobado que se crease la ruta estatica 10.X.X.X en la interfaz de la conexin de
marcado y es correcta en ambos servidores.
Una observacin que tengo que hacer, es que cuando hago la conexin slo desde un punto,
sin demand dial, es decir, creado una conexin vpn remota desde un cliente y de esta manera
si soy capaz de hacer ping a todas las mquinas remotas y desde las remotas al cliente que
se conecta. Por lo que deduzco que la conexin funciona correctamente y los routers ADSL,
permiten el trafico GRE.
No s en que punto de la configuracin estoy fallando. Porque parace que las mquinas no
entiendes que el trafico debe ir por la interfaz demand dial.
De hecho cuando me preguntas respecto a la puerta de enlace de las maquinas de la LAN y la
puerta de enlace es la IP_LAN del servidor VPN, ya que est haciendo correctamente el NAT
y comparte bien internet en las mquinas de la LAN, pero el tema del tnel VPN no est
funcionando.
Tendr que habilitar algo como NPS o alguna politica de red?? En principio no debera de ser
as no?
Espero tu respuesta. Gracias y un saludo.

o Delprato En 10/04/2013 a las 11:02

Enlace permanente | Responder

Reviso, pienso, pienso, pienso, porque por todo lo que comentas est todo correcto
Sigo pensando, ahhhhhhhhhhhhhhhh!!! a ver si es esto
Creo recordar que un post anterior nombraste que los VPNs eran W2008-r2 es asi?
Si es eso ya lo encontramos :-)
En W2008-R2 o anteriores, cuando configuras VPN y durante el asistente le indicas cul es
la interfaz externa, por omisin hay un checkbox que dice algo as como habilitar la
seguridad. La consecuencia de eso, es que sobre ambas interfases pone filtrado de
paquetes permitiendo *solamente* los protocolos de VPN
En RRAS, en las propiedades de cada interfaz, tienes dos botones Inbound Filters y
Outbound Filters (creo que se llaman as). Ingresa en cada uno de ellos y elimina los
filtros
Dime si era ese el problema

v0o0gu3 En 10/04/2013 a las 12:02

Enlace permanente

Buenas tardes Guillermo, gracias de ante mano por estar tan disponible e intentar
solucionar mis problemas
Bueno, te comento:
Tengo un error muy grande desde el principio, que ha sido slo probar a hacer ping a la
direccin IP de la LAN remota, cosa que nunca funciona, da Time out.
La segunda prueba que he hecho siempre ha sido hacer una traza hasta la IP de la LAN
remota, cosa que tampoco funciona y da time out.
Pero ahora se me ha ocurrido crear un recurso compartido en un servidor del SITE 1 y
resulta que desde una mquina del SITE 2 puedo acceder a ese recurso compartido de
manera \\IP_LAN_REMOTA.
He probado a hacer escritorio remoto a la IP_LAN_REMOTA y tambin funciona.
Entonces por lo que deduzco todo funciona correctamente y lo que me ha vuelto loco ha
sido el tema de ping y tracert.
Ahora me hago una pregunta. Por qu el ping y el tracert no funcionan? porque estos
dos comandos no se dirigen por la interfaz demand dial y protocolos como RDP(3389)
s se dirigen?
Se me escapa conceptualmente esta teora.
Respecto a los Filtros de entrada y salida, he revisado en todas las interfaces de RRAS
y no hay ningn filtro creado.
Podra empezar a implentar el Active Directory con esta configuracin? o tendra
problemas a la hora de querer replicar Active Directory y DNS de un Site a otro?
Puede que se haya creado alguna regla (invisible para m) al crear el recurso
compartido y haya empezado todo a funcionar?
Gracias por tu ayuda y espero que puedas contestarme a estas dudas que me surgen
de nuevo.
Un saludo.

Delprato En 10/04/2013 a las 12:24

Enlace permanente

:D :D :D
Si todo funciona menos PING y TRACERT es casi seguro que lo que se est
bloqueando en algn lado es el protocolo ICMP, pero eso te toca a t ir mquina por
mquina y ver dnde :)
Para poder tener ambiente de dominio a travs de la VPN hay varias consideraciones
- ICMP de los clientes a los DCs es requerido. Los clientes (salvo W8) lo necesitan
durante el inicio de sesin porque lo usan para detectar si estn en una red lenta y de
acuerdo a eso es cmo aplican las GPOs
- Una VPN siempre es lenta por el consumo de recursos que implica cifrar / descifrar la
informacin. Consume mucho procesador y aumenta el trfico
- Cuidado con las conexiones asimtricas (tipo ADSL) porque el que manda es el
menor que suele ser el de subida
- Se debe armar en AD la correspondiente infraestructura de Sites, Links y Subnets.
Para explicarle al sistema la infraestructura fsica
- Depende tambin del tamao del AD
Pero como poder, se puede perfectamente

v0o0gu3 En 10/04/2013 a las 13:22

Enlace permanente | Responder

Buenas tardes, Guillermo.


Muchas gracias por toda tu ayuda y sobre todo por la cantidad de notas que tienes sobre
Windows Server.
Son mi Biblia!! :-)
No s porque motivo ahora desde los cliente hace trazas y responde al ping, por lo que el
protocolo ICMP est funcionando correctamente y no hay nada que lo bloquee.
Es posible que al haber creado un recurso compartido en una mquina remota e intentar
acceder a ese recurso haya empezado a funcionar todo o son paranoias mas?
Respecto a la configuracin que quiero hacer de Active Directory, es sencilla, ya que contar
con dos Sites Geogrficos y contar con un controlador de dominio principal en el Site1 y
quiero hacer la promocin a un segundo controlador de dominio en el Site2.
Ambos tendrs DNS, que entiendo que tengo que poner IP DNS a los controladores en los
clientes de ambos sites no? Tambin debo de poner la DNS en la interfaz LAN de los
servidores VPN o no es necesario?
Ahora me voy a por tu siguiente nota: Configurando Sites en AD. y empezar a crear los sitios,
subnets, etc.
Una pregunta: Tengo un dominio Pepito.es que la gestin de DNS la hace una empresa. Si yo
quiero crear un dominio que sea casa.pepito.es, tendr pobremas a la hora de que yo no
estoy en el bosque pepito.es y no tengo permisos a ese dominio al gestionarlo una empresa?
tendra que llamarlo pepito.local para que no haya problemas en la promocin?
Gracias y un saludo.
o Delprato En 11/04/2013 a las 08:47

Enlace permanente | Responder

No tiene relacin que al crear un compartido si habilite ICMP, debe haber habido algn otro
tema, quizs alguna informacin incorrecta cacheada, la verdad no s :-(
Cuidado con el tema nombre de Dominio AD, es una decisin clave y que si luego
decides cambiarlo, no es una operacin trivial, puede llegar a dar bastante trabajo
No es lo mismo Dominio de Internet que Dominio de AD. Se puede usar el mismo, o
diferente, o como planteas un subdominio del de prescencia en Internet. En este ltimo
caso es importante que en los DNSs pblicos no figure la delegacin al subdominio AD.
No necesitas ningn permiso sobre el dominio pepito.es
Cualquiera de las tres opciones planteadas es vlida y funciona, aunque luego en cada una
se tengan que hacer configuraciones diferentes para resolver nombres externos. Lo
importante es que el nombre contenga por lo menos un . (punto) para no tener problemas
con la resolucin DNS

joncris En 02/08/2013 a las 01:08

Enlace permanente | Responder

soy nuevo en esto, el servidor vpn reemplaza el router en las sedes o como es la conexin?
es que sucede lo siguiente un cliente que ya tiene toda su red funcionando quiere un servicio
en un data center que yo estoy montando, el servicio requiere de la confirmacin del dominio
del cliente y este se encuentra en su sede lejos de mi data center, considero que la solucin
es una vpn pero no veo como funciona con la red ya montada si entra en conflicto con la
router o algo similar y mas aun como lo configura dentro del data para que no interfiera con los
demas equipos. agradeceria si alguno tiene un diagrama mucho mas detallado
(soporte1@pcypartes.com), gracias de antemano.

o Delprato En 02/08/2013 a las 08:15

Enlace permanente | Responder

El servidor VPN no reemplaza a un Router, aunque ambas funcionalidades pueden estar


en el mismo equipo, o separados
Un Router permite la conectividad a Internet
Una disposicin muy usada es Internet-Router-VPN-RedInterna
Un servidor VPN permite que desde Internet se pueda acceder en forma segura y
autenticada a la red interna
Por otro lado lamentablemente en estos comentarios referidos a la nota en cuestin no los
podemos usar para asesoramiento o consultora de cmo implementarlo para
determinadas situaciones. Habra que conocer muchos ms datos, y adems la extensin
hara imposible hacerlo ac

joncris En 02/08/2013 a las 16:31

Enlace permanente
ok, me aclara mucho sobre como seria la secuencia de la red. agradezco la
informacion.

Delprato En 02/08/2013 a las 17:20

Enlace permanente

La nota donde haz puesto el comentario se refiere a interconectar sitios diferentes a


travs de Internet, quizs te sean ms ltiles cualquiera de estas dos notas
Demostracin Conectando Clientes a la Red por VPN Windows Server 2008-R2 y
Windows 7 Parte 1 por PPTP | WindowServer:
http://windowserver.wordpress.com/2011/07/09/demostracin-conectando-clientes-a-la-
red-por-vpn-windows-server-2008-r2-y-windows-7-parte-1-pptp-2/
Windows Server 2012: Demostracin Conectando Clientes a la Red por VPN |
WindowServer:
http://windowserver.wordpress.com/2012/07/29/windows-server-2012-demostracin-
conectando-clientes-a-la-red-por-vpn/
Trackbacks

Por Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) WindowServer
MVPs de LATAM el 07/02/2013 a las 21:36

[...] Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) WindowServer [...]
Por Configurando Sites (Sitios) en Active Directory WindowServer el 08/02/2013 a las 13:30

[...] En esta ocasin aprovechar la infraestructura ya creada para la nota Windows Server
2012: Conectando Sitios por VPN (Site to Site VPN) [...]
Por Configurando Sites (Sitios) en Active Directory WindowServer el 08/02/2013 a las 13:33

[...] En esta ocasin aprovechar la infraestructura ya creada para la nota Windows Server
2012: Conectando Sitios por VPN (Site to Site VPN) [...]
Por Windows Server 2012: Por Qu un RODC (Read Only Domain Controller)
WindowServer el 16/02/2013 a las 09:53

[...] esta demostracin y casi como continuacin a las dos anteriores Windows Server
2012: Conectando Sitios por VPN (Site to Site VPN) y Configurando Sites (Sitios) en Active
Directory voy a desarrollar una funcionalidad poco [...]
Por Windows Server 2012: Por Qu un RODC (Read Only Domain Controller)
WindowServer el 16/02/2013 a las 09:56

[...] esta demostracin y casi como continuacin a las dos anteriores Windows Server 2012:
Conectando Sitios por VPN (Site to Site VPN) y Configurando Sites (Sitios) en Active
Directory voy a desarrollar una funcionalidad [...]
Por Windows Server 2012: Por Qu un RODC (Read Only Domain Controller) WindowServer
MVPs de LATAM el 21/02/2013 a las 22:55

[...] esta demostracin y casi como continuacin a las dos anteriores Windows Server 2012:
Conectando Sitios por VPN (Site to Site VPN) y Configurando Sites (Sitios) en Active Directory
voy a desarrollar una funcionalidad poco [...]
Por Instalacin de Active Directory Promoviendo un Controlador de Dominio en un Site
Remoto Nota V | WindowServer el 14/06/2013 a las 09:54

[] La ms real podramos hacerla utilizando dos servidores y configurar una VPN Sitio a
Sitio. Pueden ver un ejemplo de configuracin con paso a paso en Windows Server 2012:
Conectando Sitios por VPN (Site to Site VPN) []
Por Instalacin de Active Directory Promoviendo un Controlador de Dominio en un Site
Remoto Nota V WindowServer el 14/06/2013 a las 10:01

[] La ms real podramos hacerla utilizando dos servidores y configurar una VPN Sitio a
Sitio. Pueden ver un ejemplo de configuracin con paso a paso en Windows Server 2012:
Conectando Sitios por VPN (Site to Site VPN) []