Publicar VPN Server Interno

Mauricio Marín T. wrote:

Amigos,

Tengo un VPN Server en mi red interna y quiero publicarlo hacia
internet para obviamente recibir llamadas y poder conectar clientes
externos a mi red vía VPN.

Mi consulta es : ¿Alguien tiene por ahí un LINK donde explique paso
a paso como publicar un VPN Server de mi Red Interna?


Saludos!


PD: Reitero las mil gracias para ivan.

Un dato, perdon. TEngo ISA Server 2000



Thanks!

Si usas ISA 2000, solo puedes publicar un servidor VPN utilizando el
protocolo L2TP/IPSec y soportando dicho servidor el estandar NAT-T.
Si hablamos de servidores Windows, unicamente 2003 soporta NAT-T.
Si utilizas PPTP necesitas ISA 2004.

Un saludo.
Ivan
MS MVP ISA Server


""Mauricio Marín T."" escribió en el
mensaje news:

Mauricio Marín T. wrote:

Amigos,

Tengo un VPN Server en mi red interna y quiero publicarlo hacia
internet para obviamente recibir llamadas y poder conectar clientes
externos a mi red vía VPN.

Mi consulta es : ¿Alguien tiene por ahí un LINK donde explique paso a
paso como publicar un VPN Server de mi Red Interna?


Saludos!


PD: Reitero las mil gracias para ivan.

Un dato, perdon. TEngo ISA Server 2000



Thanks!

Ivan [MS MVP] escribió:

Si usas ISA 2000, solo puedes publicar un servidor VPN utilizando el
protocolo L2TP/IPSec y soportando dicho servidor el estandar NAT-T.
Si hablamos de servidores Windows, unicamente 2003 soporta NAT-T.
Si utilizas PPTP necesitas ISA 2004.

Un saludo.

Vaya me he metido en este hilo porque lo siguiente que iba a realizar es
lo mismo que el compañero Mauricio. O sea que si uso isa 2000 solo
puedo utlizar l2tp/ipsec. Pero si utilizo el isa server como servidor
NAT de mi red interna a internet no puedo utilizarlo a la vez como
servidor VPN?
He oido que una ventaja de w2003 es que puede recibir/enviar conexiones
vpn y realizar nat mientras que un w2000 no. Yo tengo instalado ahora
mismo un servidor w2000 y un isa 2000. Lo he utilizado para que vayan
saliendo 5 usuarios en modo de "prueba". Quiere decir eso que si lo
configuro para realizar/recibir llamadas VPN de otro equipo (w2000
server o wxp desde cualquier ubicacion), ¿no van a poder conectarse?

Perdonad si me he liado un poco, pero antes usaba el kerio winroute y
este si que me permitia hacer NAT y podia conectar 2 oficinas por vpns.

Saludos.

Si utilizas ISA como servidor VPN no tendras problemas.
No puedes publicar un servidor VPN que utiliza PPTP porque ISA 2000 solo
permite publicar servicios basados en TCP/UDP y el protocolo GRE, no es TCP
ni UDP. ISA 2004 si permite publicar GRE y por lo tanto se puede publicar un
servidor VPN con PPTP.

En el caso de usar L2TP/IPSec, te da lo msimo usar ISA 2000 que ISA 2004 ya
que el problema radica en IPSec, que no funciona a traves de dispositivos
NAT. Para superar esta limitacion, se ha creado el estandar NAT-T que
permite el uso de IPSec a traves de dispositivos NAT.
En tu caso, aun usando ISA 2004, no podrias publicar un servidor VPN que
utiliza L2TP/IPSec ya que el servidor VPN es Windows 2000 y este no soporta
NAT-T. Necesitas que el servidor VPN sea Windows 2003.
Si el servidor VPN soporta NAT-T, en el ISA, independientemente de la
version, solo hay que crear dos reglas de publicacion para los protocolos
500 y 4500 UDP.

Un saludo.
Ivan
MS MVP ISA Server


"Chus" escribió en el mensaje
news:%

Ivan [MS MVP] escribió:

Si usas ISA 2000, solo puedes publicar un servidor VPN utilizando el
protocolo L2TP/IPSec y soportando dicho servidor el estandar NAT-T.
Si hablamos de servidores Windows, unicamente 2003 soporta NAT-T.
Si utilizas PPTP necesitas ISA 2004.

Un saludo.

Vaya me he metido en este hilo porque lo siguiente que iba a realizar es
lo mismo que el compañero Mauricio. O sea que si uso isa 2000 solo puedo
utlizar l2tp/ipsec. Pero si utilizo el isa server como servidor NAT de mi
red interna a internet no puedo utilizarlo a la vez como servidor VPN?
He oido que una ventaja de w2003 es que puede recibir/enviar conexiones
vpn y realizar nat mientras que un w2000 no. Yo tengo instalado ahora
mismo un servidor w2000 y un isa 2000. Lo he utilizado para que vayan
saliendo 5 usuarios en modo de "prueba". Quiere decir eso que si lo
configuro para realizar/recibir llamadas VPN de otro equipo (w2000 server
o wxp desde cualquier ubicacion), ¿no van a poder conectarse?

Perdonad si me he liado un poco, pero antes usaba el kerio winroute y este
si que me permitia hacer NAT y podia conectar 2 oficinas por vpns.

Saludos.

Ivan [MS MVP] escribió:

Si utilizas ISA como servidor VPN no tendras problemas.
No puedes publicar un servidor VPN que utiliza PPTP porque ISA 2000 solo
permite publicar servicios basados en TCP/UDP y el protocolo GRE, no es TCP
ni UDP. ISA 2004 si permite publicar GRE y por lo tanto se puede publicar un
servidor VPN con PPTP.

En el caso de usar L2TP/IPSec, te da lo msimo usar ISA 2000 que ISA 2004 ya
que el problema radica en IPSec, que no funciona a traves de dispositivos
NAT. Para superar esta limitacion, se ha creado el estandar NAT-T que
permite el uso de IPSec a traves de dispositivos NAT.
En tu caso, aun usando ISA 2004, no podrias publicar un servidor VPN que
utiliza L2TP/IPSec ya que el servidor VPN es Windows 2000 y este no soporta
NAT-T. Necesitas que el servidor VPN sea Windows 2003.
Si el servidor VPN soporta NAT-T, en el ISA, independientemente de la
version, solo hay que crear dos reglas de publicacion para los protocolos
500 y 4500 UDP.

Un saludo.

Vaya marrón. :(
Vamos que o paso a w2003 con isa 2004 o pongo dos servers independientes.

Como de compatible es isa 2004? Es decir, si yo tengo una configuración
de isa 2000 puedo instalar isa 2004 encima en modo actualización y me
guarda las reglas / protocolos /usuarios que he creado?