Enrutado y VPN

Por lo que veo los servidores VPN solo disponen de un interface de red y no
has podido usar los wizard de configuracion VPN, es esto asi ?
Si desde la MMC de RRAS, clic derecho sobre le nombre de tu server,
propieaddes, pestaña IP, esta habilitado el IP routing ?

Intenta hacer ping a la IP que se asigna el interface de marcado bajo
demanda dede un cliente de la red inetrna, lo alcanzas ? si lo alcanzas,
puedes alcanzar la IP del inetrface de marcado bajo demanda del servidor VPN
remoto ?

Aunque me imagino que eres cosciente, un par de consejos sobre la marcha:
1-Mo utilices el rango 223.223.2.0/24, utiliza direcciones RFC 1918 en las
redes internas.
2-Utiliza dos interfaces de red en un servidor VPN. Con un unico interface,
rebajas la seguridad en gran medida ya que solo tienss la minima proteccion
que proporciona el router.

Un saludo.
Ivan
MS MVP ISA Server


"Mauri114" escribió en el mensaje
news:

Culpa mía, lo reconozco,por eso lo volví a explicar todo.
No tengo ningún otro dispositivo de filtrado o firewall.
No estoy familiarizado con el comando tracert, pero te digo el resultado
de
ping y tracert.
Si hago PING desde el servidor con IP 192.168.1.101 a cualquier máquina
con
IP 223.223.2.x me contesta.
Si hago tracert desde el servidor con IP 192.168.1.101 a IP 223.223.2.99
(PC
de la otra oficina), hace dos saltos, uno a 223.223.2.200 (IP del servidor
de
la otra oficina y servidor vPN) y otro a 223.223.2.99 (máquina)

Si hago PING desde una máquina con puerta de enlace (192.168.1.101/sevidor
RRAS) a 223.223.2.99, no contesta.
Si hago TRACERT, el primer salto lo hace a 192.168.1.101(servidor/PEnl) y
los siguienetes da "tiempo de espera agotado y al final host inaccesible".
Pero si lo hago a 223..223.2.201, que es la IP que le asigna el servidor
VPN
de la otra oficina a el servidor de esta. si que contesta el PING y el
tracert da los siguientes valores: un solo salto a 223.223.2.201.

Siento "darte la bara con este problema", pero si me puedes ayudar te lo
agradezco.

Un saludo,

Si, tienes razon, solo tengo una tarjeta de red y no he podido usar el
asistente para configurar las VPN.
En cuanto al enrutamiento IP en la pestaña IP de la configuracion del
servidor si que esta activada...
Cuando hago ping a la IP que me asigna el servidor remoto(192.168.0.191),
desde un cliente(con IP 192.168.217.105), si que me responde, pero si le
hago ping a la IP del interface RAS del servidor remoto (192.168.0.190) no
me responde.

En cuanto a tus consejos, si que utilizo direcciones de clase C del rango
192.168.x.x con la mascara 255.255.255.0. Pero, lo de utilizar dos
interfaces de red para VPN, no acabo de ver como rebaja la seguridad, si el
tunel esta encriptado desde el servidor hasta el cliente, porque dos
tarjetas me dan mas seguridad ?

De todas formas, voy a ver si obtengo permiso para instalar una tarjeta de
red adicional para las VPN, y cuando lo tengo preparado volveré a intentar
la conexión ...

Muchas gracias por tu tiempo, un saludo ...

"Ivan [MS MVP]" escribió en el mensaje
news:OVF%

Por lo que veo los servidores VPN solo disponen de un interface de red y
no has podido usar los wizard de configuracion VPN, es esto asi ?
Si desde la MMC de RRAS, clic derecho sobre le nombre de tu server,
propieaddes, pestaña IP, esta habilitado el IP routing ?

Intenta hacer ping a la IP que se asigna el interface de marcado bajo
demanda dede un cliente de la red inetrna, lo alcanzas ? si lo alcanzas,
puedes alcanzar la IP del inetrface de marcado bajo demanda del servidor
VPN remoto ?

Aunque me imagino que eres cosciente, un par de consejos sobre la marcha:
1-Mo utilices el rango 223.223.2.0/24, utiliza direcciones RFC 1918 en las
redes internas.
2-Utiliza dos interfaces de red en un servidor VPN. Con un unico
interface, rebajas la seguridad en gran medida ya que solo tienss la
minima proteccion que proporciona el router.

Un saludo.
Ivan
MS MVP ISA Server


"Mauri114" escribió en el mensaje
news:

Culpa mía, lo reconozco,por eso lo volví a explicar todo.
No tengo ningún otro dispositivo de filtrado o firewall.
No estoy familiarizado con el comando tracert, pero te digo el resultado
de
ping y tracert.
Si hago PING desde el servidor con IP 192.168.1.101 a cualquier máquina
con
IP 223.223.2.x me contesta.
Si hago tracert desde el servidor con IP 192.168.1.101 a IP 223.223.2.99
(PC
de la otra oficina), hace dos saltos, uno a 223.223.2.200 (IP del
servidor de
la otra oficina y servidor vPN) y otro a 223.223.2.99 (máquina)

Si hago PING desde una máquina con puerta de enlace
(192.168.1.101/sevidor
RRAS) a 223.223.2.99, no contesta.
Si hago TRACERT, el primer salto lo hace a 192.168.1.101(servidor/PEnl) y
los siguienetes da "tiempo de espera agotado y al final host
inaccesible".
Pero si lo hago a 223..223.2.201, que es la IP que le asigna el servidor
VPN
de la otra oficina a el servidor de esta. si que contesta el PING y el
tracert da los siguientes valores: un solo salto a 223.223.2.201.

Siento "darte la bara con este problema", pero si me puedes ayudar te lo
agradezco.

Un saludo,

Si está habilitado.
Si que funciona el PING a la IP asignada por el marcado a petición.
No puedo acceder a la IP del servidor VPN en la otra red.

Utilizo esas IPs por que estas redes ya estaban montadas y configuradas
antes de cojerlas yo, ahora estoy reconfigurando todo y probando cosas, pero
no se si pasar de lo de al VPN y empezar con las IPssigh!!

Por si sirve de algo.
Si desde un cliente que no ve la otra oficina mediante el enrutado, lanzo
una conexión VPN directa si que me funciona. Pero eso lo quería dejar como
última opción, ya que los usuarios son "muy usuarios", y les gusta encender
su ordenador y abrir su programa y no tener que hacer nada mas.

Un saludo, Lo curioso es que seamos dos personas con el mismo problema...no
será que lo del enrutado no funciona cuando solo hay una tarjeta?.

"Ivan [MS MVP]" wrote:

Por lo que veo los servidores VPN solo disponen de un interface de red y no
has podido usar los wizard de configuracion VPN, es esto asi ?
Si desde la MMC de RRAS, clic derecho sobre le nombre de tu server,
propieaddes, pestaña IP, esta habilitado el IP routing ?

Intenta hacer ping a la IP que se asigna el interface de marcado bajo
demanda dede un cliente de la red inetrna, lo alcanzas ? si lo alcanzas,
puedes alcanzar la IP del inetrface de marcado bajo demanda del servidor VPN
remoto ?

Aunque me imagino que eres cosciente, un par de consejos sobre la marcha:
1-Mo utilices el rango 223.223.2.0/24, utiliza direcciones RFC 1918 en las
redes internas.
2-Utiliza dos interfaces de red en un servidor VPN. Con un unico interface,
rebajas la seguridad en gran medida ya que solo tienss la minima proteccion
que proporciona el router.

Un saludo.
Ivan
MS MVP ISA Server


"Mauri114" escribió en el mensaje
news:
> Culpa mía, lo reconozco,por eso lo volví a explicar todo.
> No tengo ningún otro dispositivo de filtrado o firewall.
> No estoy familiarizado con el comando tracert, pero te digo el resultado
> de
> ping y tracert.
> Si hago PING desde el servidor con IP 192.168.1.101 a cualquier máquina
> con
> IP 223.223.2.x me contesta.
> Si hago tracert desde el servidor con IP 192.168.1.101 a IP 223.223.2.99
> (PC
> de la otra oficina), hace dos saltos, uno a 223.223.2.200 (IP del servidor
> de
> la otra oficina y servidor vPN) y otro a 223.223.2.99 (máquina)
>
> Si hago PING desde una máquina con puerta de enlace (192.168.1.101/sevidor
> RRAS) a 223.223.2.99, no contesta.
> Si hago TRACERT, el primer salto lo hace a 192.168.1.101(servidor/PEnl) y
> los siguienetes da "tiempo de espera agotado y al final host inaccesible".
> Pero si lo hago a 223..223.2.201, que es la IP que le asigna el servidor
> VPN
> de la otra oficina a el servidor de esta. si que contesta el PING y el
> tracert da los siguientes valores: un solo salto a 223.223.2.201.
>
> Siento "darte la bara con este problema", pero si me puedes ayudar te lo
> agradezco.
>
> Un saludo,
>

"O. Jimenez" escribió en el mensaje
news:

Si, tienes razon, solo tengo una tarjeta de red y no he podido usar el
asistente para configurar las VPN.
En cuanto al enrutamiento IP en la pestaña IP de la configuracion del
servidor si que esta activada...
Cuando hago ping a la IP que me asigna el servidor remoto(192.168.0.191),
desde un cliente(con IP 192.168.217.105), si que me responde, pero si le
hago ping a la IP del interface RAS del servidor remoto (192.168.0.190) no
me responde.

Mira la tabla de rutas de ambos servidores VPN. Posiblemente el servidor VPN
no enruta las peticiones de lso cleinets VPN por el interface de marcado
bajo demanda y lo envia al default gateway.
Me temo que el problema radica en como has configurado el servidor VPN. Al
no disponer de dos interfaces de red, digamos que la configuracion hay que
hacerla paso a paso. En primer lugar hay que hablitar RRAS como servidor VPN
y hay que hacerlo seleccionando configuracion personalizada, ya que al
disponer de un solo ineetrface, no permite selecionarlo en la pantalla
principal. Seguido, configuras como se asignan direciones, de un rango o de
DHCP y luego creas el interface de marcado bajo demanda. Esto esta explicado
en este enlace:
http://www.microsoft.com/technet/pr...dpls2.mspx
En el apartado: Deploying a PPTP-based Site-to-Site VPN Connection,
Deploying the Answering Router y Deploying the Calling Router.

En cuanto a tus consejos, si que utilizo direcciones de clase C del rango
192.168.x.x con la mascara 255.255.255.0.

Lo decia por Mauri, ya que estab usando rangos validos en Internet.

Pero, lo de utilizar dos interfaces de red para VPN, no acabo de ver como
rebaja la seguridad, si el tunel esta encriptado desde el servidor hasta
el cliente, porque dos tarjetas me dan mas seguridad ?

No se trata del tunel,se trata del frontal de Internet. Un router no es un
firewall y nunca puede proporcionar la seguridad que proporciona este
ultimo.
Si lo implementas de esta forma:
Red1<->VPN1<-Internet->VPN2<->Red2
Puedes configurar un firewall en el servidor VPN en el que solo permites en
entrante el trafico PPTP procedente del gateway remoto.

De todas formas, voy a ver si obtengo permiso para instalar una tarjeta de
red adicional para las VPN, y cuando lo tengo preparado volveré a intentar
la conexión ...

Es lo correcto, es una implementacion como dios manda. Si te fijas, toda la
documentacion que encuentras relacionada con VPN entre sitios y conexiones
VPN de clientes, siempre requiere dos interfaces en el servidor VPN. Que
funcione con un unico inereface, no quiere decir nada. Hay muchjas
implementaciones no soportadas o no recomendadas que funcionan..
En cuanto agreges un segundo adapatdor en cada servidor VPN, veras que es
algo sencillisimo de implementar y que funcioa a la primera. Te recomiendo
probar antes ese escenario:
http://www.microsoft.com/downloads/...layLang=en
Puedes utilizar maquinas virtuales con VMware o Virtual Server. Merece la
pena, luego en produccion es mas sencillo implantar cuando se ha probado
antes y la posibilidad de comoter errores es mucho menor

Un saludo.
Ivan
MS MVP ISA Server

"Mauri114" escribió en el mensaje
news:

Si está habilitado.
Si que funciona el PING a la IP asignada por el marcado a petición.
No puedo acceder a la IP del servidor VPN en la otra red.

Utilizo esas IPs por que estas redes ya estaban montadas y configuradas
antes de cojerlas yo, ahora estoy reconfigurando todo y probando cosas,
pero
no se si pasar de lo de al VPN y empezar con las IPssigh!!

Si eso me lo suponia. Solo fue un mero consejo, y aunque ya daba por hecho
que estabas al tanto, pues por si acaso..

Por si sirve de algo.
Si desde un cliente que no ve la otra oficina mediante el enrutado, lanzo
una conexión VPN directa si que me funciona. Pero eso lo quería dejar como
última opción, ya que los usuarios son "muy usuarios", y les gusta
encender
su ordenador y abrir su programa y no tener que hacer nada mas.

Mira mi otro post. Creo que el error esta en como habeis realizado la
configuracion inicial del servidor VPN. De todas formas, yo no perdia un
minuto mas e instalaba dos interfaces de red en los servidores VPN. Ademas
de ser mas facil de implementar y funcionar a la primera, es una
implemtacion mucho mejor en todos lso sentidos.

Un saludo, Lo curioso es que seamos dos personas con el mismo
problema...no
será que lo del enrutado no funciona cuando solo hay una tarjeta?.

Funcionar funciona, ahora yo te recomiendo que instales dos interfaces
de red y te olvides de la configuracion con un unico inteface. Quizas ambos
habeis cometido algun pequeño error al configurar los servidores VPN..

Un saludo.
Ivan
MS MVP ISA Server