Enrutado y VPN

Voy a explicar otra vez el tema porque parece que no lo hago bien y no me
entiendes.

Entorno:
Dos Oficinas con una red cada una con un servidor windows2003
Una con 192.168.0.x/255.255.255.0
La otra con 223.223.2.x/255.255.255.0
Cada servidor W2003 con servidor DNS.
Cada servidor con RRAS configurado para enrutador y VPN.
Una ADSL con IP fija en cada oficina con los correspondientes puertos
redirigidos al servidor.
En enrutamiento IP, una conexión a VPN que es la que se utiliza para
conectar los servidores entre si.
En la asignación de IPs a clientes en cada servidor solo una ya que el único
que se conecta es el servidor.
En rutas estáticas la siguiente linea
223.223.2.0/255.255.255.0 metrica 1. Sin puerta de enlace ya que la conexión
se hace sobre una conexión VPN y no sobre otro adaptador de red.
en el otro servidor 192.168.0.0/255.255.255.0 metrica 1. "lo mismo".

Cuando desde el servidor 223.223 lanzo un ping 1 192.168 me activa
la conexión y veo todas la máquinas de ese lado sin problemas.
Cuando desde el servidor 192168 lanzo un ping 1 223.223.2... me
activa la conexión y veo todas la máquinas de ese lado sin problemas también.
Por no decir que accedo a todas, impresoras y todos los recursos de red.

El problema no está aquí, sino en el resto de máquinas, a las que pongo como
PUERTA DE ENLACE LA IP DEL SERVIDOR QUE TOCA, pero que cando lanzo un ping
por ejemplo de una máquina con IP 192 a otra 223.., levanta la
conexión pero el ping no responde

mas claro ahora?. Parece que lo que falla es el enrutado de las otras
máquinas, pero NO el enrutado que se hace en el servidor. Y lo que quería
saber es si hay que configurar algo mas en el RRAS. Lo de servidor wins y eso
solo sirve para el nombre de las máquinas, cosa que tengo arreglada con los
servidores DNS. El problema es que las las máquinas entre si de las dos
oficinas son totalmente invisibles, incluso a nivel de ping excepto si lo
hago directamente desde el servidor..

Si quieres algún dato mas de las redes te puedo mandar hasta capturas de
pantalla.


"Ivan [MS MVP]" wrote:

Una cosa es la conectividad IP y otra muy distinta "ver", que me imagino que
te refieres a entorno de red..
Para que entorno de red funcione (yo te aconsejaria pasar de el
olimpicamente) necesitas instalar el servicio WINS en un servidor de cada
Subred. Instala dicho servicio en un servidor que solo disponga de un
interface de red. Si lo instalas en una maquina con mas de un adaptador de
red, como por ejmeplo el servidor VPN, a parte de que tendras muchos
problemas, puede que esos problemas sean insuperables.
Una vez instalado el servicio WINS configuras todos los clientes de cada
subred, incluido el propo servidor WINS con la IP del servidor WINS. EL
sigueinte paso es configurar los dos servidores WINS para que repliquen
entre ellos.

Tambien es posible usar un unico servidor WINS en una subred y configurar
todos los clientes y servidores de ambas subredes conj al IP del servidor
WINS. Logicamente aumentara el trafico en el enlace VPN

Como te decia al principio, yo te aconsejaria pasar de entorno de red. Es
infinitamente mejor hacer uso de DNS y DFS.

Un saludo.
Ivan
MS MVP ISA Server


"Mauri114" escribió en el mensaje
news:
> Hola O.Gimenez, Yo estoy en el mismo caso que tú.
>
> he instaladoi el RRAS con una conexión VPn y desde el servidor funciona
> correctamente, pero cuando intento que una máquina que tenga como puerta
> de
> enlace este servidor, vea las máquinas de la otra subred no puede.También
> he
> creado las rutas estáticas y tal, pero sigue sin funcionar. solo desde el
> servidor veo todas las máquinas.
> ¿Has conseguido arreglarlo?, este tema me interesa mucho, si consigo algo
> ya
> te lo diría yo también.
>
> "Ivan [MS MVP]" wrote:
>
>> "O. Jimenez" escribió en el mensaje
>> news:
>> > Muchas gracias Ivan, me ha sido de gran utilidad, no sabia que se
>> > podian
>> > configurar asi las interfaces de marcado.
>> > Ya he creado el interface de marcado y lo he configurado como
>> > persistente,
>> > en el mismo asistente he creado 2 rutas estaticas, te voy a especificar
>> > las IP's.
>> > Mi red 192.168.217.0 / 24
>> > VPN1 - 192.168.0.0 / 24
>> > VPN2 - 192.168.140.0 / 24
>>
>> Yo esto no lo entiendo. Una cosa son las IPs de los interfaces de
>> marcado bajo demanda y otra muy distinta los rangos de IPs de las
>> subredes
>> internas. No necesitas dos rutas, unicamente una en cada servidor VPN. Es
>> decir:
>> Subred1:
>> Rango de direcciones IP: 192.168.1.0/24
>> Subred2:
>> Rango de direcciones IP: 192.168.2.0
>>
>> Pues bien, en el servidor VPN de la subred1, unicamente debes tener una
>> ruta
>> para alcanzar la subred 192.168.2.0 y en el servidor VPN de la subred2,
>> unicamente debes tener una ruta para la subred1.
>> Si utilizas los sistentes, estos te generan estas rutas...
>> Mirate los enlaces que te pase en mi otropost y si puedes monta un
>> escenario
>> como el que indica el primer articulo, te quedara todo mucho mas claro.
>> Puedes usar VMware o Virtual Server.
>>
>> > La VPN 2 es accesible a traves de el router 192.168.0.254 de la red
>> > remota.
>> >
>> > Hasta aqui tod OK, mi servidor Win 2003 tiene ping a toda la red
>> > 192.168.0.0/24 y a la red 192.168.140.0/24.
>> > Lo que no consigo hacer ahora, es que todos los demas clientes de mi
>> > red
>> > (192.168.217/24) que tienen como puerta de enlace a mi servidor sean
>> > enrutados por el hacia las redes 192.168.0.0/24 y 192.168.140.0/24
>>
>> Para que los clientes de ambas subredes puedan alcanzar la subred remota,
>> dos opciones:
>> 1-Su default gateway debe ser la IP interna del servidor VPN.
>> 2-Utilizar rutas estaticas.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>>

Si utilizas el comando tracert, hasta donde alcanzan las peticiones ?
Has descartado que algun dispositivo de filtrado/firewall, este
descartanbdo estas peticiones ?

Y no te lo tomes a mal, pero, si desde un primer momento me dices que no hay
conectividad IP, en lugar de usar el termino "ver", por mi perfecto, me
ahorro darle a la tecla un rato para escribirte el post anterior y no me
habria ido por los cerros de Ubeda.

Un saludo.
Ivan
MS MVP ISA Server

"Mauri114" escribió en el mensaje
news:

Voy a explicar otra vez el tema porque parece que no lo hago bien y no me
entiendes.

Entorno:
Dos Oficinas con una red cada una con un servidor windows2003
Una con 192.168.0.x/255.255.255.0
La otra con 223.223.2.x/255.255.255.0
Cada servidor W2003 con servidor DNS.
Cada servidor con RRAS configurado para enrutador y VPN.
Una ADSL con IP fija en cada oficina con los correspondientes puertos
redirigidos al servidor.
En enrutamiento IP, una conexión a VPN que es la que se utiliza para
conectar los servidores entre si.
En la asignación de IPs a clientes en cada servidor solo una ya que el
único
que se conecta es el servidor.
En rutas estáticas la siguiente linea
223.223.2.0/255.255.255.0 metrica 1. Sin puerta de enlace ya que la
conexión
se hace sobre una conexión VPN y no sobre otro adaptador de red.
en el otro servidor 192.168.0.0/255.255.255.0 metrica 1. "lo mismo".

Cuando desde el servidor 223.223 lanzo un ping 1 192.168 me activa
la conexión y veo todas la máquinas de ese lado sin problemas.
Cuando desde el servidor 192168 lanzo un ping 1 223.223.2... me
activa la conexión y veo todas la máquinas de ese lado sin problemas
también.
Por no decir que accedo a todas, impresoras y todos los recursos de red.

El problema no está aquí, sino en el resto de máquinas, a las que pongo
como
PUERTA DE ENLACE LA IP DEL SERVIDOR QUE TOCA, pero que cando lanzo un ping
por ejemplo de una máquina con IP 192 a otra 223.., levanta la
conexión pero el ping no responde

mas claro ahora?. Parece que lo que falla es el enrutado de las otras
máquinas, pero NO el enrutado que se hace en el servidor. Y lo que quería
saber es si hay que configurar algo mas en el RRAS. Lo de servidor wins y
eso
solo sirve para el nombre de las máquinas, cosa que tengo arreglada con
los
servidores DNS. El problema es que las las máquinas entre si de las dos
oficinas son totalmente invisibles, incluso a nivel de ping excepto si lo
hago directamente desde el servidor..

Si quieres algún dato mas de las redes te puedo mandar hasta capturas de
pantalla.


"Ivan [MS MVP]" wrote:

Una cosa es la conectividad IP y otra muy distinta "ver", que me imagino
que
te refieres a entorno de red..
Para que entorno de red funcione (yo te aconsejaria pasar de el
olimpicamente) necesitas instalar el servicio WINS en un servidor de cada
Subred. Instala dicho servicio en un servidor que solo disponga de un
interface de red. Si lo instalas en una maquina con mas de un adaptador
de
red, como por ejmeplo el servidor VPN, a parte de que tendras muchos
problemas, puede que esos problemas sean insuperables.
Una vez instalado el servicio WINS configuras todos los clientes de cada
subred, incluido el propo servidor WINS con la IP del servidor WINS. EL
sigueinte paso es configurar los dos servidores WINS para que repliquen
entre ellos.

Tambien es posible usar un unico servidor WINS en una subred y configurar
todos los clientes y servidores de ambas subredes conj al IP del servidor
WINS. Logicamente aumentara el trafico en el enlace VPN

Como te decia al principio, yo te aconsejaria pasar de entorno de red. Es
infinitamente mejor hacer uso de DNS y DFS.

Un saludo.
Ivan
MS MVP ISA Server


"Mauri114" escribió en el mensaje
news:
> Hola O.Gimenez, Yo estoy en el mismo caso que tú.
>
> he instaladoi el RRAS con una conexión VPn y desde el servidor funciona
> correctamente, pero cuando intento que una máquina que tenga como
> puerta
> de
> enlace este servidor, vea las máquinas de la otra subred no
> puede.También
> he
> creado las rutas estáticas y tal, pero sigue sin funcionar. solo desde
> el
> servidor veo todas las máquinas.
> ¿Has conseguido arreglarlo?, este tema me interesa mucho, si consigo
> algo
> ya
> te lo diría yo también.
>
> "Ivan [MS MVP]" wrote:
>
>> "O. Jimenez" escribió en el mensaje
>> news:
>> > Muchas gracias Ivan, me ha sido de gran utilidad, no sabia que se
>> > podian
>> > configurar asi las interfaces de marcado.
>> > Ya he creado el interface de marcado y lo he configurado como
>> > persistente,
>> > en el mismo asistente he creado 2 rutas estaticas, te voy a
>> > especificar
>> > las IP's.
>> > Mi red 192.168.217.0 / 24
>> > VPN1 - 192.168.0.0 / 24
>> > VPN2 - 192.168.140.0 / 24
>>
>> Yo esto no lo entiendo. Una cosa son las IPs de los interfaces de
>> marcado bajo demanda y otra muy distinta los rangos de IPs de las
>> subredes
>> internas. No necesitas dos rutas, unicamente una en cada servidor VPN.
>> Es
>> decir:
>> Subred1:
>> Rango de direcciones IP: 192.168.1.0/24
>> Subred2:
>> Rango de direcciones IP: 192.168.2.0
>>
>> Pues bien, en el servidor VPN de la subred1, unicamente debes tener
>> una
>> ruta
>> para alcanzar la subred 192.168.2.0 y en el servidor VPN de la
>> subred2,
>> unicamente debes tener una ruta para la subred1.
>> Si utilizas los sistentes, estos te generan estas rutas...
>> Mirate los enlaces que te pase en mi otropost y si puedes monta un
>> escenario
>> como el que indica el primer articulo, te quedara todo mucho mas
>> claro.
>> Puedes usar VMware o Virtual Server.
>>
>> > La VPN 2 es accesible a traves de el router 192.168.0.254 de la red
>> > remota.
>> >
>> > Hasta aqui tod OK, mi servidor Win 2003 tiene ping a toda la red
>> > 192.168.0.0/24 y a la red 192.168.140.0/24.
>> > Lo que no consigo hacer ahora, es que todos los demas clientes de mi
>> > red
>> > (192.168.217/24) que tienen como puerta de enlace a mi servidor sean
>> > enrutados por el hacia las redes 192.168.0.0/24 y 192.168.140.0/24
>>
>> Para que los clientes de ambas subredes puedan alcanzar la subred
>> remota,
>> dos opciones:
>> 1-Su default gateway debe ser la IP interna del servidor VPN.
>> 2-Utilizar rutas estaticas.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>>

Culpa mía, lo reconozco,por eso lo volví a explicar todo.
No tengo ningún otro dispositivo de filtrado o firewall.
No estoy familiarizado con el comando tracert, pero te digo el resultado de
ping y tracert.
Si hago PING desde el servidor con IP 192.168.1.101 a cualquier máquina con
IP 223.223.2.x me contesta.
Si hago tracert desde el servidor con IP 192.168.1.101 a IP 223.223.2.99 (PC
de la otra oficina), hace dos saltos, uno a 223.223.2.200 (IP del servidor de
la otra oficina y servidor vPN) y otro a 223.223.2.99 (máquina)

Si hago PING desde una máquina con puerta de enlace (192.168.1.101/sevidor
RRAS) a 223.223.2.99, no contesta.
Si hago TRACERT, el primer salto lo hace a 192.168.1.101(servidor/PEnl) y
los siguienetes da "tiempo de espera agotado y al final host inaccesible".
Pero si lo hago a 223..223.2.201, que es la IP que le asigna el servidor VPN
de la otra oficina a el servidor de esta. si que contesta el PING y el
tracert da los siguientes valores: un solo salto a 223.223.2.201.

Siento "darte la bara con este problema", pero si me puedes ayudar te lo
agradezco.

Un saludo,

Hola Ivan y Mauri:

Si, asi es, en mi caso ocurre exactamente lo mismo, consigo una conectividad
completa entre los servidores y desde los servidores a las redes opuestas,
pero no entre los puestos de cada una de las redes a través de los
servidores.

No he hecho nunca una configuración de este tipo, pero al parecer lo que
falta es algo asi como el "forwarding" de linux para que los pequetes
atraviesen el servidor hacia la red VPN.

Si el servidor tiene habilitado el enrutamiento deberia "enrutar" los
paquetes entre sus interfaces no ? hay que habilitar algo mas ? Según lo veo
yo, las conexiones VPN estan bien hechas, pero el servidor cuando recibe
paquetes de los clientes no los envia por el tunel, sino que los descarta.

Cualquier sugerencia o prueba que se pueda llevar a cabo sera bienvenida,
gracias por tu tiempo Ivan, un saludo, Oscar Jimenez

"Mauri114" escribió en el mensaje
news:

Culpa mía, lo reconozco,por eso lo volví a explicar todo.
No tengo ningún otro dispositivo de filtrado o firewall.
No estoy familiarizado con el comando tracert, pero te digo el resultado
de
ping y tracert.
Si hago PING desde el servidor con IP 192.168.1.101 a cualquier máquina
con
IP 223.223.2.x me contesta.
Si hago tracert desde el servidor con IP 192.168.1.101 a IP 223.223.2.99
(PC
de la otra oficina), hace dos saltos, uno a 223.223.2.200 (IP del servidor
de
la otra oficina y servidor vPN) y otro a 223.223.2.99 (máquina)

Si hago PING desde una máquina con puerta de enlace (192.168.1.101/sevidor
RRAS) a 223.223.2.99, no contesta.
Si hago TRACERT, el primer salto lo hace a 192.168.1.101(servidor/PEnl) y
los siguienetes da "tiempo de espera agotado y al final host inaccesible".
Pero si lo hago a 223..223.2.201, que es la IP que le asigna el servidor
VPN
de la otra oficina a el servidor de esta. si que contesta el PING y el
tracert da los siguientes valores: un solo salto a 223.223.2.201.

Siento "darte la bara con este problema", pero si me puedes ayudar te lo
agradezco.

Un saludo,

Hola O.Jimenez

Si, parece que los tiros van por ahí. Lo curioso es que lo he probado con
dos tarjetas de red en vez de con una conexión VPN y funciona. Parece que
cuando hay una conexión VPN no enrutara los paquetes bien. Voy a hacer unas
cuantas pruebas mas, si consigo algo te lo digo.
Un saludo,
Mauricio

"O. Jimenez" wrote:

Hola Ivan y Mauri:

Si, asi es, en mi caso ocurre exactamente lo mismo, consigo una conectividad
completa entre los servidores y desde los servidores a las redes opuestas,
pero no entre los puestos de cada una de las redes a través de los
servidores.

No he hecho nunca una configuración de este tipo, pero al parecer lo que
falta es algo asi como el "forwarding" de linux para que los pequetes
atraviesen el servidor hacia la red VPN.

Si el servidor tiene habilitado el enrutamiento deberia "enrutar" los
paquetes entre sus interfaces no ? hay que habilitar algo mas ? Según lo veo
yo, las conexiones VPN estan bien hechas, pero el servidor cuando recibe
paquetes de los clientes no los envia por el tunel, sino que los descarta.

Cualquier sugerencia o prueba que se pueda llevar a cabo sera bienvenida,
gracias por tu tiempo Ivan, un saludo, Oscar Jimenez

"Mauri114" escribió en el mensaje
news:
> Culpa mía, lo reconozco,por eso lo volví a explicar todo.
> No tengo ningún otro dispositivo de filtrado o firewall.
> No estoy familiarizado con el comando tracert, pero te digo el resultado
> de
> ping y tracert.
> Si hago PING desde el servidor con IP 192.168.1.101 a cualquier máquina
> con
> IP 223.223.2.x me contesta.
> Si hago tracert desde el servidor con IP 192.168.1.101 a IP 223.223.2.99
> (PC
> de la otra oficina), hace dos saltos, uno a 223.223.2.200 (IP del servidor
> de
> la otra oficina y servidor vPN) y otro a 223.223.2.99 (máquina)
>
> Si hago PING desde una máquina con puerta de enlace (192.168.1.101/sevidor
> RRAS) a 223.223.2.99, no contesta.
> Si hago TRACERT, el primer salto lo hace a 192.168.1.101(servidor/PEnl) y
> los siguienetes da "tiempo de espera agotado y al final host inaccesible".
> Pero si lo hago a 223..223.2.201, que es la IP que le asigna el servidor
> VPN
> de la otra oficina a el servidor de esta. si que contesta el PING y el
> tracert da los siguientes valores: un solo salto a 223.223.2.201.
>
> Siento "darte la bara con este problema", pero si me puedes ayudar te lo
> agradezco.
>
> Un saludo,
>