Enrutado y VPN

1er paso

Le pongo como puerta de enlace 192.168.1.101 (la IP del servidor A que he
configurado en el post anterior)
como IP le doy una del mismo rango.

"Mauri114" wrote:

Te lo agradezco ZIDAC, de todos modos creo que viene todo por el
enrutamiento. He hecho el siguiente experimento. he deshabilitado el RRAS. Y
simplemente he creado en mis sitios de red una conexión nueva de VPN, la he
activado y luego en un cliente he puesto como puerta de enlace este servidor
(SIN EL RRAS HABILITADO). Y el resultado es el mismo, desde el servidor
acceso a toda la otra red y desde el cliente acceso solamente a la IP
asignada al Servidor de su red por el otro servidor VPN.

Creo que voy a empezar a configurar de nuevo. Si me equivoco me corregis.



"ZIDAC" wrote:

> Hola, yo tengo el mismo escenario y me funciona estupendamente, dejadme un
> par de días y os miro la configuración mia y la vuestra a ver si veo el
> problema, OK?
>
> SALUDOS,
> ZIDAC

1.- Hago un ping a una IP de la otra red (223.223.2.x) desde el SERVIDOR A y
automáticamente me levanta la conexión y el ping me responde, puedo hacer
ping a todas las máquinas de la otra red.
2.- Hago un ping a una IP de la otra red (223.223.2.x) desde el CLIENTE y
automáticamente me levanta la conexión, pero el PING NO RESPONDE.
3.- Hago un PING desde el CLIENTE a la IP asignada por el servidor B VPN al
servidor de esta oficina(192.168.1.101 se le asiga la 223.223.2.202) y
funciona, es la única IP visible de este rango.
4.- Hago un tracert 223.223.2.x de la otra red y el resultado es:
1 2ms 2ms 2ms 192.168.1.101
2 192.168.1.101informes: host de destino inaccesible
5.- Hago un tracert a 223.223.2.202 (IP asiganada a mi servidor)
1 3ms 2ms 4ms 223.223.2.202
traza completa

Bueno esta es mi triste historia, no he falseado nada y lo he ido haciendo
al mismo tiempo que escrbía por si olvidaba algo...(aunque ya lo he hecho
1500 veces... :-)
Si creeis que he hecho algo mal, decídmelo

gracias de antemano.

"Mauri114" wrote:

He probado de la siguiente manera.

servidor con dos Tarjetas de red.
1 192.168.1.101/255.255.255.0 y como puerta de enlace 192.168.1.1 (router
adsl).
2 192.168.0.101/255.255.255.0 sin puerta de enlace.
El cliente como puerta de enlace 192.168.0.101

La 1 es la que da acceso a internet y la 2 la red local. Pasa exactamente lo
mismo. Los clientes solo ven el servidor. Solo me queda poner el router adsl
como bridge y dar a la tarjeta de red 1 la IP externa... pero sinceramente
creo que el problema debe estar en otro lado. Sigue pareciendo que que no es
capaza de enrutar a traves del adaptador de conexión VPN independientemente
de una o dos tarjetas de red. Se supone que las peticiones a la otra red
viajarían por la VPN, vaya por un adaptador o por otro...

Gracias por tu tiempo y si se te ocurre otra cosa o necesitas mas
información, te puedo hasta mandar un doc con todo el esquema de la red..

Un saludo,
Mauricio Cruz

"Ivan [MS MVP]" wrote:

> "Mauri114" escribió en el mensaje
> news:
> > Si está habilitado.
> > Si que funciona el PING a la IP asignada por el marcado a petición.
> > No puedo acceder a la IP del servidor VPN en la otra red.
> >
> > Utilizo esas IPs por que estas redes ya estaban montadas y configuradas
> > antes de cojerlas yo, ahora estoy reconfigurando todo y probando cosas,
> > pero
> > no se si pasar de lo de al VPN y empezar con las IPssigh!!
>
> Si eso me lo suponia. Solo fue un mero consejo, y aunque ya daba por hecho
> que estabas al tanto, pues por si acaso..
>
> >
> > Por si sirve de algo.
> > Si desde un cliente que no ve la otra oficina mediante el enrutado, lanzo
> > una conexión VPN directa si que me funciona. Pero eso lo quería dejar como
> > última opción, ya que los usuarios son "muy usuarios", y les gusta
> > encender
> > su ordenador y abrir su programa y no tener que hacer nada mas.
>
> Mira mi otro post. Creo que el error esta en como habeis realizado la
> configuracion inicial del servidor VPN. De todas formas, yo no perdia un
> minuto mas e instalaba dos interfaces de red en los servidores VPN. Ademas
> de ser mas facil de implementar y funcionar a la primera, es una
> implemtacion mucho mejor en todos lso sentidos.
>
> >
> > Un saludo, Lo curioso es que seamos dos personas con el mismo
> > problema...no
> > será que lo del enrutado no funciona cuando solo hay una tarjeta?.
>
> Funcionar funciona, ahora yo te recomiendo que instales dos interfaces
> de red y te olvides de la configuracion con un unico inteface. Quizas ambos
> habeis cometido algun pequeño error al configurar los servidores VPN..
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
>

Cuando me referia a que falseases informacion, pero de forma consistente, me
referia a que no es bueno postear cierta informacion, como nombres de
dominio, direcciones IPs publicas, etc, entonces, puedes fasear esta
informacion pero de una forma que permita diagnosticar el problema, no me
referia a que pretendas engañarnos de alguna manera con los resultados
hombre... ;-)

Respecto al problema, yo empezaria por plantearme los siguiente: soy yo el
que comete algun error de configuracion o es este escenario en particular el
que hace que no funcione de manera correcta ? como sales de dudas ? pues muy
facil: te descargas la version trial de VMware o Virtual server, creas
varias maquinas virtuales y simulas este escenario. Funciona ? si funciona,
ya sabes bastante. Tu configuracion en el entorno real es buena, pero, hay
algo que no terminas de ver, y que para nosotros desde aqui puede ser
complicado de ver, e impide que funcione. Si no te funciona, te puedo
indicar paso a paso el procedimiento a realizar en un entorno simulado con 5
maquinas virtuales.
Cuando uno se inicia en algo nuevo, es importantisimo probarlo antes y las
maquinas virtuales son una maravilla para esto porque muchas veces no se
puede disponer de un gran numero de maquinas fisicas para probarlo. Merece
la pena que le dediques un poco de tiempo.

En este escenario se me ocurre que el problema esta en un filtrado
intermedio. Si, ya se que tu me vas a jurar y perjurar que no es asi, peor,
hay veces que pasamos 50 veces por deleante del problema y no somos capaces
de identificarlo. Porque pienso que es un problema de filtrado ? pues porque
cuando desde un cliente haces ping contra un host de la red remota, dices
que el servidor VPN levanta el tunel, inicia la llamada en el interface de
marcado bajo demanda y conecta sin problemas, luego es clarisimo que si
ha inciado la llmada es porque debe enrutar las petciones del cliente por
dicho interface. Si la peticion, a pesar de ser enrutada no alcanza el
destino, una dos dos:
1-Prolemas de enrutamiento en la otra subred y no hay camino de vuelta...
2-Problemas de fltrado (Firewalls, filtros de algun router, etc)

Si el punto 1 lo podemos descartar por tus indicaciones, por eliminacion,
solo queda el punto 2. Por supuesto que no es mas que mera intuicion y es
mas que posble que este equivocado

Un saludo.
Ivan
MS MVP ISA Server


"Mauri114" escribió en el mensaje
news:

1.- Hago un ping a una IP de la otra red (223.223.2.x) desde el SERVIDOR A
y
automáticamente me levanta la conexión y el ping me responde, puedo hacer
ping a todas las máquinas de la otra red.
2.- Hago un ping a una IP de la otra red (223.223.2.x) desde el CLIENTE y
automáticamente me levanta la conexión, pero el PING NO RESPONDE.
3.- Hago un PING desde el CLIENTE a la IP asignada por el servidor B VPN
al
servidor de esta oficina(192.168.1.101 se le asiga la 223.223.2.202) y
funciona, es la única IP visible de este rango.
4.- Hago un tracert 223.223.2.x de la otra red y el resultado es:
1 2ms 2ms 2ms 192.168.1.101
2 192.168.1.101informes: host de destino inaccesible
5.- Hago un tracert a 223.223.2.202 (IP asiganada a mi servidor)
1 3ms 2ms 4ms 223.223.2.202
traza completa

Bueno esta es mi triste historia, no he falseado nada y lo he ido haciendo
al mismo tiempo que escrbía por si olvidaba algo...(aunque ya lo he hecho
1500 veces... :-)
Si creeis que he hecho algo mal, decídmelo

gracias de antemano.

"Mauri114" wrote:

He probado de la siguiente manera.

servidor con dos Tarjetas de red.
1 192.168.1.101/255.255.255.0 y como puerta de enlace 192.168.1.1 (router
adsl).
2 192.168.0.101/255.255.255.0 sin puerta de enlace.
El cliente como puerta de enlace 192.168.0.101

La 1 es la que da acceso a internet y la 2 la red local. Pasa exactamente
lo
mismo. Los clientes solo ven el servidor. Solo me queda poner el router
adsl
como bridge y dar a la tarjeta de red 1 la IP externa... pero
sinceramente
creo que el problema debe estar en otro lado. Sigue pareciendo que que no
es
capaza de enrutar a traves del adaptador de conexión VPN
independientemente
de una o dos tarjetas de red. Se supone que las peticiones a la otra red
viajarían por la VPN, vaya por un adaptador o por otro...

Gracias por tu tiempo y si se te ocurre otra cosa o necesitas mas
información, te puedo hasta mandar un doc con todo el esquema de la red..

Un saludo,
Mauricio Cruz

"Ivan [MS MVP]" wrote:

> "Mauri114" escribió en el mensaje
> news:
> > Si está habilitado.
> > Si que funciona el PING a la IP asignada por el marcado a petición.
> > No puedo acceder a la IP del servidor VPN en la otra red.
> >
> > Utilizo esas IPs por que estas redes ya estaban montadas y
> > configuradas
> > antes de cojerlas yo, ahora estoy reconfigurando todo y probando
> > cosas,
> > pero
> > no se si pasar de lo de al VPN y empezar con las IPssigh!!
>
> Si eso me lo suponia. Solo fue un mero consejo, y aunque ya daba por
> hecho
> que estabas al tanto, pues por si acaso..
>
> >
> > Por si sirve de algo.
> > Si desde un cliente que no ve la otra oficina mediante el enrutado,
> > lanzo
> > una conexión VPN directa si que me funciona. Pero eso lo quería dejar
> > como
> > última opción, ya que los usuarios son "muy usuarios", y les gusta
> > encender
> > su ordenador y abrir su programa y no tener que hacer nada mas.
>
> Mira mi otro post. Creo que el error esta en como habeis realizado la
> configuracion inicial del servidor VPN. De todas formas, yo no perdia
> un
> minuto mas e instalaba dos interfaces de red en los servidores VPN.
> Ademas
> de ser mas facil de implementar y funcionar a la primera, es una
> implemtacion mucho mejor en todos lso sentidos.
>
> >
> > Un saludo, Lo curioso es que seamos dos personas con el mismo
> > problema...no
> > será que lo del enrutado no funciona cuando solo hay una
> > tarjeta?.
>
> Funcionar funciona, ahora yo te recomiendo que instales dos
> interfaces
> de red y te olvides de la configuracion con un unico inteface. Quizas
> ambos
> habeis cometido algun pequeño error al configurar los servidores
> VPN..
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
>

Hola Ivan:
Me he decidido a aplazar el tema hasta que haga unas pruebas, he instlado
VMware y he comenzado ...

Lo primero que he hecho es simular un sencillo escenario de enrutado, con
dos Windows XP y un Win2003, de esta forma

XP(192.168.1.2) (192.168.1.1)Win2003(192.168.2.1) XP(192.168.2.2)

He habilitado el enrutamiento, solo el enrutamiento, sin marcado a peticion.
Asi todo OK, entre un XP y el otro tengo ping y todo funciona ...

Ahora pretendo que un tercer interface del Win2003 me de acceso a internet,
para ello agrego una nueva tarjeta de red al Win2003 y la configuro en modo
bridge y la IP por DHCP ya que en mi red "real" tengo server DHCP.
Pero asi no funciona, los pc's no salen a internet y yo entiendo que
deberian de salir, es como si el interface virtual en modo bridge no me
permitiria enrutarlo, como si fuese un problema del VMware, aunque se me
hace un poco raro ...

Este es el esquema de la red final:

XP(192.168.1.2) (192.168.1.1)Win2003(192.168.2.1) XP(192.168.2.2)
|
|(192.168.217.115
DHCP)
|
|
Router(192.168.217.1)

Asi pues los clientes no hacen ping a la red 192.168.217.0 / 24
Te pego la tabla de rutado del servidor:
-
IPv4 Tabla de enrutamiento
==ILista de interfaces
0x1 ... MS TCP Loopback interface
0x30003 ...00 0c 29 22 46 54 .. VMware Accelerated AMD PCNet Adapter
0x30004 ...00 0c 29 22 46 40 .. VMware Accelerated AMD PCNet Adapter
0x30005 ...00 0c 29 22 46 4a .. VMware Accelerated AMD PCNet Adapter
=Rutas activas:
Destino de red M scara de red Puerta de acceso Interfaz M,trica
0.0.0.0 0.0.0.0 192.168.217.1 192.168.217.115 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.1 10
192.168.1.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.1 192.168.1.1 10
192.168.2.0 255.255.255.0 192.168.2.1 192.168.2.1 10
192.168.2.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.2.255 255.255.255.255 192.168.2.1 192.168.2.1 10
192.168.217.0 255.255.255.0 192.168.217.115 192.168.217.115 10
192.168.217.115 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.217.255 255.255.255.255 192.168.217.115 192.168.217.115 10
224.0.0.0 240.0.0.0 192.168.1.1 192.168.1.1 10
224.0.0.0 240.0.0.0 192.168.2.1 192.168.2.1 10
224.0.0.0 240.0.0.0 192.168.217.115 192.168.217.115 10
255.255.255.255 255.255.255.255 192.168.1.1 192.168.1.1 1
255.255.255.255 255.255.255.255 192.168.2.1 192.168.2.1 1
255.255.255.255 255.255.255.255 192.168.217.115 192.168.217.115 1
Puerta de enlace predeterminada: 192.168.217.10
==Rutas persistentes:
Ninguno
-

Todas estas rutas las ha creado automaticamente Win2003, no he creado
ninguna ruta estatica, pero antes de hacer esta captura habia probado varias
sin exito.

¿Porque me enruta bien entre los dos XP pero no puedo salir a Internet por
el tercer interface?
¿Son necesarias mas rutas de red que las que crea Win2003 automaticamente?
yo creo que no!

Estos problemas con el enrutado, me parecen algo tan basico que prefiero
entender y solucionar primero estos problemas antes de meter las VPN por
medio, un saludo Oscar.


"Ivan [MS MVP]" escribió en el mensaje
news:

"O. Jimenez" escribió en el mensaje
news:

Si, tienes razon, solo tengo una tarjeta de red y no he podido usar el
asistente para configurar las VPN.
En cuanto al enrutamiento IP en la pestaña IP de la configuracion del
servidor si que esta activada...
Cuando hago ping a la IP que me asigna el servidor remoto(192.168.0.191),
desde un cliente(con IP 192.168.217.105), si que me responde, pero si le
hago ping a la IP del interface RAS del servidor remoto (192.168.0.190)
no me responde.

Mira la tabla de rutas de ambos servidores VPN. Posiblemente el servidor
VPN no enruta las peticiones de lso cleinets VPN por el interface de
marcado bajo demanda y lo envia al default gateway.
Me temo que el problema radica en como has configurado el servidor VPN. Al
no disponer de dos interfaces de red, digamos que la configuracion hay que
hacerla paso a paso. En primer lugar hay que hablitar RRAS como servidor
VPN y hay que hacerlo seleccionando configuracion personalizada, ya que al
disponer de un solo ineetrface, no permite selecionarlo en la pantalla
principal. Seguido, configuras como se asignan direciones, de un rango o
de DHCP y luego creas el interface de marcado bajo demanda. Esto esta
explicado en este enlace:
http://www.microsoft.com/technet/pr...dpls2.mspx
En el apartado: Deploying a PPTP-based Site-to-Site VPN Connection,
Deploying the Answering Router y Deploying the Calling Router.

En cuanto a tus consejos, si que utilizo direcciones de clase C del rango
192.168.x.x con la mascara 255.255.255.0.

Lo decia por Mauri, ya que estab usando rangos validos en Internet.

Pero, lo de utilizar dos interfaces de red para VPN, no acabo de ver como
rebaja la seguridad, si el tunel esta encriptado desde el servidor hasta
el cliente, porque dos tarjetas me dan mas seguridad ?

No se trata del tunel,se trata del frontal de Internet. Un router no es un
firewall y nunca puede proporcionar la seguridad que proporciona este
ultimo.
Si lo implementas de esta forma:
Red1<->VPN1<-Internet->VPN2<->Red2
Puedes configurar un firewall en el servidor VPN en el que solo permites
en entrante el trafico PPTP procedente del gateway remoto.

De todas formas, voy a ver si obtengo permiso para instalar una tarjeta
de red adicional para las VPN, y cuando lo tengo preparado volveré a
intentar la conexión ...

Es lo correcto, es una implementacion como dios manda. Si te fijas, toda
la documentacion que encuentras relacionada con VPN entre sitios y
conexiones VPN de clientes, siempre requiere dos interfaces en el servidor
VPN. Que funcione con un unico inereface, no quiere decir nada. Hay
muchjas implementaciones no soportadas o no recomendadas que
funcionan..
En cuanto agreges un segundo adapatdor en cada servidor VPN, veras que es
algo sencillisimo de implementar y que funcioa a la primera. Te recomiendo
probar antes ese escenario:
http://www.microsoft.com/downloads/...layLang=en
Puedes utilizar maquinas virtuales con VMware o Virtual Server. Merece la
pena, luego en produccion es mas sencillo implantar cuando se ha probado
antes y la posibilidad de comoter errores es mucho menor

Un saludo.
Ivan
MS MVP ISA Server

El default gateway del servidor Windows 2003 solo debe ir sobre el interface
con IP 192.168.217.115, los otros dos interfaces no deben tener default
gateway, deben estar en blanco. Asegurate que los clientes XP tienen
configuradas DNS que pueden resolver en internet.

Mirate en este enlace las "Step-By-Step Guides", merece la pena realizarlos
con maquinas virtuales...
http://www.microsoft.com/windowsser...fault.mspx

Un saludo.
Ivan
MS MVP ISA Server

"O. Jimenez" escribió en el mensaje
news:

Hola Ivan:
Me he decidido a aplazar el tema hasta que haga unas pruebas, he instlado
VMware y he comenzado ...

Lo primero que he hecho es simular un sencillo escenario de enrutado, con
dos Windows XP y un Win2003, de esta forma

XP(192.168.1.2) (192.168.1.1)Win2003(192.168.2.1) XP(192.168.2.2)

He habilitado el enrutamiento, solo el enrutamiento, sin marcado a
peticion.
Asi todo OK, entre un XP y el otro tengo ping y todo funciona ...

Ahora pretendo que un tercer interface del Win2003 me de acceso a
internet, para ello agrego una nueva tarjeta de red al Win2003 y la
configuro en modo bridge y la IP por DHCP ya que en mi red "real" tengo
server DHCP.
Pero asi no funciona, los pc's no salen a internet y yo entiendo que
deberian de salir, es como si el interface virtual en modo bridge no me
permitiria enrutarlo, como si fuese un problema del VMware, aunque se me
hace un poco raro ...

Este es el esquema de la red final:

XP(192.168.1.2) (192.168.1.1)Win2003(192.168.2.1) XP(192.168.2.2)
|

|(192.168.217.115 DHCP)
|
|
Router(192.168.217.1)

Asi pues los clientes no hacen ping a la red 192.168.217.0 / 24
Te pego la tabla de rutado del servidor:
-
IPv4 Tabla de enrutamiento
==> ILista de interfaces
0x1 ... MS TCP Loopback interface
0x30003 ...00 0c 29 22 46 54 .. VMware Accelerated AMD PCNet Adapter
0x30004 ...00 0c 29 22 46 40 .. VMware Accelerated AMD PCNet Adapter
0x30005 ...00 0c 29 22 46 4a .. VMware Accelerated AMD PCNet Adapter
==> ==> Rutas activas:
Destino de red M scara de red Puerta de acceso Interfaz
M,trica
0.0.0.0 0.0.0.0 192.168.217.1 192.168.217.115 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.1 10
192.168.1.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.1 192.168.1.1 10
192.168.2.0 255.255.255.0 192.168.2.1 192.168.2.1 10
192.168.2.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.2.255 255.255.255.255 192.168.2.1 192.168.2.1 10
192.168.217.0 255.255.255.0 192.168.217.115 192.168.217.115 10
192.168.217.115 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.217.255 255.255.255.255 192.168.217.115 192.168.217.115 10
224.0.0.0 240.0.0.0 192.168.1.1 192.168.1.1 10
224.0.0.0 240.0.0.0 192.168.2.1 192.168.2.1 10
224.0.0.0 240.0.0.0 192.168.217.115 192.168.217.115 10
255.255.255.255 255.255.255.255 192.168.1.1 192.168.1.1 1
255.255.255.255 255.255.255.255 192.168.2.1 192.168.2.1 1
255.255.255.255 255.255.255.255 192.168.217.115 192.168.217.115 1
Puerta de enlace predeterminada: 192.168.217.10
==> Rutas persistentes:
Ninguno
-

Todas estas rutas las ha creado automaticamente Win2003, no he creado
ninguna ruta estatica, pero antes de hacer esta captura habia probado
varias sin exito.

¿Porque me enruta bien entre los dos XP pero no puedo salir a Internet por
el tercer interface?
¿Son necesarias mas rutas de red que las que crea Win2003 automaticamente?
yo creo que no!

Estos problemas con el enrutado, me parecen algo tan basico que prefiero
entender y solucionar primero estos problemas antes de meter las VPN por
medio, un saludo Oscar.


"Ivan [MS MVP]" escribió en el mensaje
news:

"O. Jimenez" escribió en el mensaje
news:

Si, tienes razon, solo tengo una tarjeta de red y no he podido usar el
asistente para configurar las VPN.
En cuanto al enrutamiento IP en la pestaña IP de la configuracion del
servidor si que esta activada...
Cuando hago ping a la IP que me asigna el servidor
remoto(192.168.0.191), desde un cliente(con IP 192.168.217.105), si que
me responde, pero si le hago ping a la IP del interface RAS del servidor
remoto (192.168.0.190) no me responde.

Mira la tabla de rutas de ambos servidores VPN. Posiblemente el servidor
VPN no enruta las peticiones de lso cleinets VPN por el interface de
marcado bajo demanda y lo envia al default gateway.
Me temo que el problema radica en como has configurado el servidor VPN.
Al no disponer de dos interfaces de red, digamos que la configuracion hay
que hacerla paso a paso. En primer lugar hay que hablitar RRAS como
servidor VPN y hay que hacerlo seleccionando configuracion personalizada,
ya que al disponer de un solo ineetrface, no permite selecionarlo en la
pantalla principal. Seguido, configuras como se asignan direciones, de un
rango o de DHCP y luego creas el interface de marcado bajo demanda. Esto
esta explicado en este enlace:
http://www.microsoft.com/technet/pr...dpls2.mspx
En el apartado: Deploying a PPTP-based Site-to-Site VPN Connection,
Deploying the Answering Router y Deploying the Calling Router.

En cuanto a tus consejos, si que utilizo direcciones de clase C del
rango 192.168.x.x con la mascara 255.255.255.0.

Lo decia por Mauri, ya que estab usando rangos validos en Internet.

Pero, lo de utilizar dos interfaces de red para VPN, no acabo de ver
como rebaja la seguridad, si el tunel esta encriptado desde el servidor
hasta el cliente, porque dos tarjetas me dan mas seguridad ?

No se trata del tunel,se trata del frontal de Internet. Un router no es
un firewall y nunca puede proporcionar la seguridad que proporciona este
ultimo.
Si lo implementas de esta forma:
Red1<->VPN1<-Internet->VPN2<->Red2
Puedes configurar un firewall en el servidor VPN en el que solo permites
en entrante el trafico PPTP procedente del gateway remoto.

De todas formas, voy a ver si obtengo permiso para instalar una tarjeta
de red adicional para las VPN, y cuando lo tengo preparado volveré a
intentar la conexión ...

Es lo correcto, es una implementacion como dios manda. Si te fijas, toda
la documentacion que encuentras relacionada con VPN entre sitios y
conexiones VPN de clientes, siempre requiere dos interfaces en el
servidor VPN. Que funcione con un unico inereface, no quiere decir nada.
Hay muchjas implementaciones no soportadas o no recomendadas que
funcionan..
En cuanto agreges un segundo adapatdor en cada servidor VPN, veras que es
algo sencillisimo de implementar y que funcioa a la primera. Te
recomiendo probar antes ese escenario:
http://www.microsoft.com/downloads/...layLang=en
Puedes utilizar maquinas virtuales con VMware o Virtual Server. Merece la
pena, luego en produccion es mas sencillo implantar cuando se ha probado
antes y la posibilidad de comoter errores es mucho menor

Un saludo.
Ivan
MS MVP ISA Server