seria correcto ...

Si necesitas acceder a la red interna, en el router debes redirigir el
protocolo 1723 TCP y el Id de protocolo 47 GRE a la IP del servidor VPN
(Windows 2000).
No hay problema, si queremos servicios, tenemos que abrir los puertos
necesarios... por arte de magia, no vas a poder conectarte ;-)
Como la conexion VPN la estableces contral el servidor Windows 2000 que esta
detras de un dispositivo NAT, solo tienes la opcion de usar PPTP (1723 TCP y
47 GRE), L2TP/IPSec queda descartado, no funcionaria.
Una vez que estableces la conexion VPN, la forma sencilla y segura de
administrar el servidor web de la DMZ es permitir en el firewall el
protocolo RDP desde la red interna a la DMZ.
Para la VPN utiliza como metodo de autentificacion MS CHAP v2 y contraseñas
complejas. Fuerza en la directiva de acceso remoto el cifrado MPPE de 128
Bits y habilita el bloqueo de cuentas en conexiones de acceso remoto:
http://www.microsoft.com/resources/...n_ltcn.asp

Puedes usar autentificacion EAP-TLS pero tendrias que hacer uso de
certificados digitales lo cual te obliga a montar un PKI.

Un saludo.
Ivan
MS MVP ISA Server


"Carlos O. M." escribió en el mensaje
news:%

Buenos Dias / Tardes

Primero, ruego perdonen mi insistencia en el tema, pero es que necesito
montar una VPN entre dos oficinas situadas en diferentes localidades, y
necesito resolver una duda que me esta matando :)


Mi red esta montada mas o menos de la siguiente manera ..

Un router (HW) Adsl el cual va a parar a un FireWall (HW) 3 Com
OfficeConnect, el cual permite montar un segmento con una DMZ, donde tengo
el Server WEB, y otro segmento, del cual cuelga mi intranet, montada con
un
Servidor Principal W2000 Srv.

Yo creo que el lugar idoneo para montar un servidor VPN es dentro de la
intranet, abriendo los correspondientes puertos (en el Router y el
FireWall
y redirigiendolos al Srv VPN) para crear un tunel PPTP... lo que pasa que
me da "repelus" el tema de abrir puertos... no se... toy obsesionado...

Pueden confirmarme esta teoria mia, y acabar de una vez por todas con
mis temores..
supongo que un buen argumento es el tema de encriptacion, autorizacion y
autentificacion que se crea al montar la VPN.. pero aun asi, me quita el
sueño...

Muchas gracias de antemano.

Muchas gracias Ivan


"Ivan [MS MVP]" escribió en el mensaje
news:

Si necesitas acceder a la red interna, en el router debes redirigir el
protocolo 1723 TCP y el Id de protocolo 47 GRE a la IP del servidor VPN
(Windows 2000).
No hay problema, si queremos servicios, tenemos que abrir los puertos
necesarios... por arte de magia, no vas a poder conectarte ;-)
Como la conexion VPN la estableces contral el servidor Windows 2000 que

esta

detras de un dispositivo NAT, solo tienes la opcion de usar PPTP (1723 TCP

y

47 GRE), L2TP/IPSec queda descartado, no funcionaria.
Una vez que estableces la conexion VPN, la forma sencilla y segura de
administrar el servidor web de la DMZ es permitir en el firewall el
protocolo RDP desde la red interna a la DMZ.
Para la VPN utiliza como metodo de autentificacion MS CHAP v2 y

contraseñas

complejas. Fuerza en la directiva de acceso remoto el cifrado MPPE de 128
Bits y habilita el bloqueo de cuentas en conexiones de acceso remoto:

http://www.microsoft.com/resources/...n_ltcn.asp

Puedes usar autentificacion EAP-TLS pero tendrias que hacer uso de
certificados digitales lo cual te obliga a montar un PKI.

Un saludo.
Ivan
MS MVP ISA Server


"Carlos O. M." escribió en el mensaje
news:%
> Buenos Dias / Tardes
>
> Primero, ruego perdonen mi insistencia en el tema, pero es que

necesito

> montar una VPN entre dos oficinas situadas en diferentes localidades, y
> necesito resolver una duda que me esta matando :)
>
>
> Mi red esta montada mas o menos de la siguiente manera ..
>
> Un router (HW) Adsl el cual va a parar a un FireWall (HW) 3 Com
> OfficeConnect, el cual permite montar un segmento con una DMZ, donde

tengo

> el Server WEB, y otro segmento, del cual cuelga mi intranet, montada con
> un
> Servidor Principal W2000 Srv.
>
> Yo creo que el lugar idoneo para montar un servidor VPN es dentro de

la

> intranet, abriendo los correspondientes puertos (en el Router y el
> FireWall
> y redirigiendolos al Srv VPN) para crear un tunel PPTP... lo que pasa

que

> me da "repelus" el tema de abrir puertos... no se... toy obsesionado...
>
> Pueden confirmarme esta teoria mia, y acabar de una vez por todas con
> mis temores..
> supongo que un buen argumento es el tema de encriptacion, autorizacion y
> autentificacion que se crea al montar la VPN.. pero aun asi, me quita el
> sueño...
>
> Muchas gracias de antemano.
>
>
>

hola Carlos
por la parte del router aquí tienes documentación sobre el mismo y
concretamente para montar una VPN
http://www.adslayuda.com/3Com+main.html

mira también en mi site que tengo recogido bastante información y links


Alejandro Esteve
http://www.BibliotecaInformatica.Net
ftp://ftp.BibliotecaInformatica.Net

"Carlos O. M." wrote in message
news:#

Buenos Dias / Tardes

Primero, ruego perdonen mi insistencia en el tema, pero es que

necesito

montar una VPN entre dos oficinas situadas en diferentes localidades, y
necesito resolver una duda que me esta matando :)


Mi red esta montada mas o menos de la siguiente manera ..

Un router (HW) Adsl el cual va a parar a un FireWall (HW) 3 Com
OfficeConnect, el cual permite montar un segmento con una DMZ, donde tengo
el Server WEB, y otro segmento, del cual cuelga mi intranet, montada con

un

Servidor Principal W2000 Srv.

Yo creo que el lugar idoneo para montar un servidor VPN es dentro de

la

intranet, abriendo los correspondientes puertos (en el Router y el

FireWall

y redirigiendolos al Srv VPN) para crear un tunel PPTP... lo que pasa que
me da "repelus" el tema de abrir puertos... no se... toy obsesionado...

Pueden confirmarme esta teoria mia, y acabar de una vez por todas con
mis temores..
supongo que un buen argumento es el tema de encriptacion, autorizacion y
autentificacion que se crea al montar la VPN.. pero aun asi, me quita el
sueño...

Muchas gracias de antemano.