VPN no resuelve DNS, ayuda

Sobre lo que me has preguntado, el servidor DNS es el mismo que el de VPN y
solo tiene una tarjeta de red. La configuración de la VPN, la hizo en su día
telefónica, y todo estaba funcionado hasta que cambiamos de windows 2000 a
2003 SBS.
No se si te sirve de algo, pero yo desde la red del servidor puedo acceder
al cliente VPN perfectamente a través de su ip local (192.168.1.6), sin estár
conectado el cliente a través del icono de conexion de VPN.

Estos, son los datos:

* tracer de servidor DNS a cliente VPN (192.168.2.129 direccion que le
asigno por DHCP)
192.168.2.129 (1 solo salto, va directo sin pasár por nada)


* tracer de servidor DNS a cliente VPN (192.168.1.6 direccion de red que le
dá su routher)
192.168.2.1 (routher servidor DNS)
172.24.0.1 (me imagino que será un dispositivo de telefonica)
Tiempo de espera agotado
Tiempo de espera agotado
Tiempo de espera agotado
172.24.0.5 (me imagino que será un dispositivo de telefonica)
172.24.0.6 (me imagino que será un dispositivo de telefonica)
cliente VPN 192.168.1.6



* tracer de cliente VPN a servidor DNS (192.168.2.2)
192.168.1.1 (routher cliente vpn)
172.24.0.5 (me imagino que será un dispositivo de telefonica)
Tiempo de espera agotado
Tiempo de espera agotado
Tiempo de espera agotado
172.24.0.1 (me imagino que será un dispositivo de telefonica)
172.24.0.2 (me imagino que será un dispositivo de telefonica)
servidor.dominio.local 192.168.2.2

Gracias, por la ayuda que me prestas, pero la verdad es que no le veo
solución al temá, sabrías donde debería dirigirme para que me solucionen el
problema?. Gracias de nuevo y un saludo.
Francisco Enrique Alvarez
Administrador de Sistemas
FUNDACION DOÑANA 21


"Ivan [MS MVP]" escribió:

Pues el servidor DNS no sabe alcanzar a los clientes VPN.
Prueba con un tracert desde cliente VPN -< Server DNS y Server DNS ->
Cliente VPN y mira hasta donde alcanza y en que punto se produce el
problema.
Imagino que el servisor DNS tiene dos interfaces de red, no ? no es que sea
imprescindible, pero es la implemntacion correcta.
Internet<>Server VPN<>Red Interna

Un saludo.
Ivan
MS MVP ISA Server


"libastian" escribió en el mensaje
news:
>A ver no sé exactamente a que te refieres.
>
> Los PCS de dentro de la red tienen DHCP, y su puerta de enlace es el
> servidor (192.168.2.2), el pc que accede por vpn tambien le tengo puesto
> el
> servidor como puerta de enlace, en la conexion VPN.
>
> Todos los PCS (Clientes,Servidor,Cliente VPN), responden a ping con la IP,
> pero el cliente VPN no resuelve los nombres de host. Ejemplo:
>
> desde el cliente VPN, ping 192.168.2.2 seria ok, ping servidor, me daría
> error.
> Francisco Enrique Alvarez
> Administrador de Sistemas
> FUNDACION DOÑANA 21
>
>
> "Ivan [MS MVP]" escribió:
>
>> Y los equipos internos tienen como default gateway la IP interna del
>> servidor VPN o una ruta que les permita alcanzar la subred de los
>> clientes
>> VPN ?
>> Si un ping a la direccion IP tampoco contesta, ese es el problema.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>> "libastian" escribió en el mensaje
>> news:
>> > El ipconfig /all
>> > ip 192.168.2.129
>> > mascara 255.255.255.255
>> > puerta de enlace 192.168.2.129
>> > servidores dns 192.168.2.2 (mi servidor)
>> > servidor wins principal 192.168.2.2 (mi servidor)
>> >
>> > Espero que te sirva de ayuda. Tambien me he creado un nuevo host (A)
>> > con
>> > su
>> > puntero apuntado a la ip del cliente y con el nombre del usuario, pero
>> > tambpo
>> > me funciona. Un saludo
>> > Francisco Enrique Alvarez
>> > Administrador de Sistemas
>> > FUNDACION DOÑANA 21
>> >
>> >
>> > "Ivan [MS MVP]" escribió:
>> >
>> >> La mascara y default gateway son los correctos.
>> >> El problema lo tienes posiblemente en que el servidor VPN no
>> >> porporciona
>> >> al
>> >> cliente los DNS y WINS internos. Verificalo con ipconfig /all
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "libastian" escribió en el mensaje
>> >> news:
>> >> > Tendo un Windows 2003 Small Busines Server(192.168.2.2), anterior
>> >> > mente
>> >> > un
>> >> > windows 2000.
>> >> >
>> >> > He realizado el asistente para conexion por VPN, y todo parece
>> >> > correcto.
>> >> > El
>> >> > cliente tiene un windows 2000.
>> >> >
>> >> > Tengo configurado mi servidor para DNS DHCP.
>> >> >
>> >> > El cliente conecta correctamente y le dá la ip que le tengo
>> >> > reservada
>> >> > (192.168.2.129) pero como máscará de red le dá la (255.255.255.255)
>> >> > y
>> >> > de
>> >> > puerta de enlace la (192.168.2.129)
>> >> >
>> >> > Tengo ping a todos los equipos de la red, pero no resuelve sus
>> >> > nombres.
>> >> > Me
>> >> > imagino que será un problema de DNS o de WINS, pero no tengo ni idea
>> >> > de
>> >> > como
>> >> > configurarlo, os agradecería vuesta ayuda, gracias.
>> >> > Francisco Enrique Alvarez
>> >> > Administrador de Sistemas
>> >> > FUNDACION DOÑANA 21
>> >>
>> >>
>> >>
>>
>>
>>

Para empezar tienes un error de concepto. Cuando haces un tracert entre
Cliente VPN<->Servidor VPN, no puedes ver esos routers intermedios, ya que
el trafico va encapsulado y unicamente debes ver un salto, que es lo que
ocurre en tu primer ejemplo:

* tracer de servidor DNS a cliente VPN (192.168.2.129 direccion que le
asigno por DHCP)
192.168.2.129 (1 solo salto, va directo sin pasár por nada)

Si puedes ver mas saltos si logicamente alcanzas otro host de la red interna
separado por un routers respecto al servidor VPN o asignarias a los clientes
VPN direcciones IP de un rango distinto de la red interna.. Se trata de una
red virtual y es como si el cliente estaria fisicamente en la red interna.

En tu segundo ejemplo, se ve ese error de concepto:

* tracer de servidor DNS a cliente VPN (192.168.1.6 direccion de red que le
dá su routher)
192.168.2.1 (routher servidor DNS)
172.24.0.1 (me imagino que será un dispositivo de telefonica)
Tiempo de espera agotado
Tiempo de espera agotado
Tiempo de espera agotado
172.24.0.5 (me imagino que será un dispositivo de telefonica)
172.24.0.6 (me imagino que será un dispositivo de telefonica)
cliente VPN 192.168.1.6

No puedes hacer ping a la direccion IP "fisica" del cliente,si no a la IP
virtual del tunel VPN, la que le asigna el servidor VPN al cliente. La red
del cliente no es alcanzable directamente, luego el servidor VPN envia esa
peticion a su default gateway donde logicamente es imposible que sea
alcanzable.
Si el cliente VPN tiene asignada en ese momento la IP 192.168.2.129, el
tracer debe ser contra esa IP.

Respecto al tercero:
* tracer de cliente VPN a servidor DNS (192.168.2.2)
192.168.1.1 (routher cliente vpn)
172.24.0.5 (me imagino que será un dispositivo de telefonica)
Tiempo de espera agotado
Tiempo de espera agotado
Tiempo de espera agotado
172.24.0.1 (me imagino que será un dispositivo de telefonica)
172.24.0.2 (me imagino que será un dispositivo de telefonica)
servidor.dominio.local 192.168.2.2
Esto no tiene ninguna logica a no ser que tengas deshabilitado en el cliente
el uso de gateway en red remota para poder hacer uso simultaneo de la
conexion VPN e internet (malisima idea por cierto.). Si haces un tracer
a 192.168.2.2, nunca debes ver los router intermedios por el motivo que te
comentaba al principio. Ten en cuenta que el tracert debes realizarlo conrta
la IP "fisica" del servidor, no contra la IP asignada para la VPN. Un
servidor VPN no deja de ser un router.
Pregunto... 192.168.2.2 es la direccion IP que el servidor tienen
configurado en las propiedades de TCP/IP?

Un saludo.
Ivan
MS MVP ISA Server

SOLUCIONADOOO!!!!!!

A ver, os comento por si os sirve de ayuda. En el cliente VPN , en las
propiedades TCIP en DNS he agregado el sufijo dominio.local. Luego he agreado
el cliente al dominio especificando dominio.local. Y listo, ya trabaja en red
y todo funcionando.

De todos modos gracias Ivan por tu ayuda.
Francisco Enrique Alvarez
Administrador de Sistemas
FUNDACION DOÑANA 21


"Ivan [MS MVP]" escribió:

Para empezar tienes un error de concepto. Cuando haces un tracert entre
Cliente VPN<->Servidor VPN, no puedes ver esos routers intermedios, ya que
el trafico va encapsulado y unicamente debes ver un salto, que es lo que
ocurre en tu primer ejemplo:
>* tracer de servidor DNS a cliente VPN (192.168.2.129 direccion que le
>asigno por DHCP)
>192.168.2.129 (1 solo salto, va directo sin pasár por nada)
Si puedes ver mas saltos si logicamente alcanzas otro host de la red interna
separado por un routers respecto al servidor VPN o asignarias a los clientes
VPN direcciones IP de un rango distinto de la red interna.. Se trata de una
red virtual y es como si el cliente estaria fisicamente en la red interna.

En tu segundo ejemplo, se ve ese error de concepto:
>* tracer de servidor DNS a cliente VPN (192.168.1.6 direccion de red que le
>dá su routher)
>192.168.2.1 (routher servidor DNS)
>172.24.0.1 (me imagino que será un dispositivo de telefonica)
>Tiempo de espera agotado
>Tiempo de espera agotado
>Tiempo de espera agotado
>172.24.0.5 (me imagino que será un dispositivo de telefonica)
>172.24.0.6 (me imagino que será un dispositivo de telefonica)
>cliente VPN 192.168.1.6
No puedes hacer ping a la direccion IP "fisica" del cliente,si no a la IP
virtual del tunel VPN, la que le asigna el servidor VPN al cliente. La red
del cliente no es alcanzable directamente, luego el servidor VPN envia esa
peticion a su default gateway donde logicamente es imposible que sea
alcanzable.
Si el cliente VPN tiene asignada en ese momento la IP 192.168.2.129, el
tracer debe ser contra esa IP.

Respecto al tercero:
* tracer de cliente VPN a servidor DNS (192.168.2.2)
192.168.1.1 (routher cliente vpn)
172.24.0.5 (me imagino que será un dispositivo de telefonica)
Tiempo de espera agotado
Tiempo de espera agotado
Tiempo de espera agotado
172.24.0.1 (me imagino que será un dispositivo de telefonica)
172.24.0.2 (me imagino que será un dispositivo de telefonica)
servidor.dominio.local 192.168.2.2
Esto no tiene ninguna logica a no ser que tengas deshabilitado en el cliente
el uso de gateway en red remota para poder hacer uso simultaneo de la
conexion VPN e internet (malisima idea por cierto.). Si haces un tracer
a 192.168.2.2, nunca debes ver los router intermedios por el motivo que te
comentaba al principio. Ten en cuenta que el tracert debes realizarlo conrta
la IP "fisica" del servidor, no contra la IP asignada para la VPN. Un
servidor VPN no deja de ser un router.
Pregunto... 192.168.2.2 es la direccion IP que el servidor tienen
configurado en las propiedades de TCP/IP?

Un saludo.
Ivan
MS MVP ISA Server

Buenas. Tengo exactamente el mismo problema que tu tenías.
Te refieres a que das de alta un cliente en el servidor o lo agregas en
propiedades de la conexion? agregas el sufijo en propiedades avanzadas
de la conexión del cliente cierto? Especifica que yo tambien llevo
loco con esto un buen tiempo. Danos detalles :-D

Saludos y muchas gracias.


libastian ha escrito:

SOLUCIONADOOO!!!!!!

A ver, os comento por si os sirve de ayuda. En el cliente VPN , en las
propiedades TCIP en DNS he agregado el sufijo dominio.local. Luego he agreado
el cliente al dominio especificando dominio.local. Y listo, ya trabaja en red
y todo funcionando.

De todos modos gracias Ivan por tu ayuda.
Francisco Enrique Alvarez
Administrador de Sistemas
FUNDACION DOÑANA 21


"Ivan [MS MVP]" escribió:

> Para empezar tienes un error de concepto. Cuando haces un tracert entre
> Cliente VPN<->Servidor VPN, no puedes ver esos routers intermedios, ya que
> el trafico va encapsulado y unicamente debes ver un salto, que es lo que
> ocurre en tu primer ejemplo:
> >* tracer de servidor DNS a cliente VPN (192.168.2.129 direccion que le
> >asigno por DHCP)
> >192.168.2.129 (1 solo salto, va directo sin pasár por nada)
> Si puedes ver mas saltos si logicamente alcanzas otro host de la red interna
> separado por un routers respecto al servidor VPN o asignarias a los clientes
> VPN direcciones IP de un rango distinto de la red interna.. Se trata de una
> red virtual y es como si el cliente estaria fisicamente en la red interna.
>
> En tu segundo ejemplo, se ve ese error de concepto:
> >* tracer de servidor DNS a cliente VPN (192.168.1.6 direccion de red que le
> >dá su routher)
> >192.168.2.1 (routher servidor DNS)
> >172.24.0.1 (me imagino que será un dispositivo de telefonica)
> >Tiempo de espera agotado
> >Tiempo de espera agotado
> >Tiempo de espera agotado
> >172.24.0.5 (me imagino que será un dispositivo de telefonica)
> >172.24.0.6 (me imagino que será un dispositivo de telefonica)
> >cliente VPN 192.168.1.6
> No puedes hacer ping a la direccion IP "fisica" del cliente,si no a la IP
> virtual del tunel VPN, la que le asigna el servidor VPN al cliente. La red
> del cliente no es alcanzable directamente, luego el servidor VPN envia esa
> peticion a su default gateway donde logicamente es imposible que sea
> alcanzable.
> Si el cliente VPN tiene asignada en ese momento la IP 192.168.2.129, el
> tracer debe ser contra esa IP.
>
> Respecto al tercero:
> * tracer de cliente VPN a servidor DNS (192.168.2.2)
> 192.168.1.1 (routher cliente vpn)
> 172.24.0.5 (me imagino que será un dispositivo de telefonica)
> Tiempo de espera agotado
> Tiempo de espera agotado
> Tiempo de espera agotado
> 172.24.0.1 (me imagino que será un dispositivo de telefonica)
> 172.24.0.2 (me imagino que será un dispositivo de telefonica)
> servidor.dominio.local 192.168.2.2
> Esto no tiene ninguna logica a no ser que tengas deshabilitado en el cliente
> el uso de gateway en red remota para poder hacer uso simultaneo de la
> conexion VPN e internet (malisima idea por cierto.). Si haces un tracer
> a 192.168.2.2, nunca debes ver los router intermedios por el motivo que te
> comentaba al principio. Ten en cuenta que el tracert debes realizarlo conrta
> la IP "fisica" del servidor, no contra la IP asignada para la VPN. Un
> servidor VPN no deja de ser un router.
> Pregunto... 192.168.2.2 es la direccion IP que el servidor tienen
> configurado en las propiedades de TCP/IP?
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
>

Si tu dominio se denomina por poner un ejemplo dominio.com, un host de la
red interna se denomina Server y:
-Un ping a Server no resuelve.
-Un ping a Server.dominio si resuelve

Tu problema es el msimo que el de Libastian, en caso contrario no es ese el
problema. De todas formas, en el primer caso no resuelve por la ausencia de
un servidor WINS en la red interna.

Un saludo.
Ivan
MS MVP ISA Server


"Javi (CC)" escribió en el mensaje
news:
Buenas. Tengo exactamente el mismo problema que tu tenías.
Te refieres a que das de alta un cliente en el servidor o lo agregas en
propiedades de la conexion? agregas el sufijo en propiedades avanzadas
de la conexión del cliente cierto? Especifica que yo tambien llevo
loco con esto un buen tiempo. Danos detalles :-D

Saludos y muchas gracias.


libastian ha escrito:

SOLUCIONADOOO!!!!!!

A ver, os comento por si os sirve de ayuda. En el cliente VPN , en las
propiedades TCIP en DNS he agregado el sufijo dominio.local. Luego he
agreado
el cliente al dominio especificando dominio.local. Y listo, ya trabaja en
red
y todo funcionando.

De todos modos gracias Ivan por tu ayuda.
Francisco Enrique Alvarez
Administrador de Sistemas
FUNDACION DOÑANA 21


"Ivan [MS MVP]" escribió:

> Para empezar tienes un error de concepto. Cuando haces un tracert entre
> Cliente VPN<->Servidor VPN, no puedes ver esos routers intermedios, ya
> que
> el trafico va encapsulado y unicamente debes ver un salto, que es lo que
> ocurre en tu primer ejemplo:
> >* tracer de servidor DNS a cliente VPN (192.168.2.129 direccion que le
> >asigno por DHCP)
> >192.168.2.129 (1 solo salto, va directo sin pasár por nada)
> Si puedes ver mas saltos si logicamente alcanzas otro host de la red
> interna
> separado por un routers respecto al servidor VPN o asignarias a los
> clientes
> VPN direcciones IP de un rango distinto de la red interna.. Se trata de
> una
> red virtual y es como si el cliente estaria fisicamente en la red
> interna.
>
> En tu segundo ejemplo, se ve ese error de concepto:
> >* tracer de servidor DNS a cliente VPN (192.168.1.6 direccion de red
> >que le
> >dá su routher)
> >192.168.2.1 (routher servidor DNS)
> >172.24.0.1 (me imagino que será un dispositivo de telefonica)
> >Tiempo de espera agotado
> >Tiempo de espera agotado
> >Tiempo de espera agotado
> >172.24.0.5 (me imagino que será un dispositivo de telefonica)
> >172.24.0.6 (me imagino que será un dispositivo de telefonica)
> >cliente VPN 192.168.1.6
> No puedes hacer ping a la direccion IP "fisica" del cliente,si no a la
> IP
> virtual del tunel VPN, la que le asigna el servidor VPN al cliente. La
> red
> del cliente no es alcanzable directamente, luego el servidor VPN envia
> esa
> peticion a su default gateway donde logicamente es imposible que sea
> alcanzable.
> Si el cliente VPN tiene asignada en ese momento la IP 192.168.2.129, el
> tracer debe ser contra esa IP.
>
> Respecto al tercero:
> * tracer de cliente VPN a servidor DNS (192.168.2.2)
> 192.168.1.1 (routher cliente vpn)
> 172.24.0.5 (me imagino que será un dispositivo de telefonica)
> Tiempo de espera agotado
> Tiempo de espera agotado
> Tiempo de espera agotado
> 172.24.0.1 (me imagino que será un dispositivo de telefonica)
> 172.24.0.2 (me imagino que será un dispositivo de telefonica)
> servidor.dominio.local 192.168.2.2
> Esto no tiene ninguna logica a no ser que tengas deshabilitado en el
> cliente
> el uso de gateway en red remota para poder hacer uso simultaneo de la
> conexion VPN e internet (malisima idea por cierto.). Si haces un
> tracer
> a 192.168.2.2, nunca debes ver los router intermedios por el motivo que
> te
> comentaba al principio. Ten en cuenta que el tracert debes realizarlo
> conrta
> la IP "fisica" del servidor, no contra la IP asignada para la VPN. Un
> servidor VPN no deja de ser un router.
> Pregunto... 192.168.2.2 es la direccion IP que el servidor tienen
> configurado en las propiedades de TCP/IP?
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
>