vpn y enrutador

Chus, sinceramente no se muy bien como estas creando la VPN entre
enrutadores
Has tenido que definir interfaces de marcado bajo demanda en ambos
servidores y en ambos debes crear las rutas de la forma que te indicaba en
mi post anterior, es decir:
Imagina que el Sitio1 utiliza el rango de direcciones internas
192.168.1.0/24. El Sitio2 192.168.2.0, segun esto:
En el Sitio1
Interface: el interface de marcado bajo demanda que has creado
Destination: 192.168.2.0
Network mask: 255.255.255.0

En el Sitio2:
Interface: el interface de marcado bajo demanda que has creado
Destination: 192.168.1.0
Network mask: 255.255.255.0

Ahora imagina que en el Sitio1, un servidor tienen la IP 192.168.1.1 y en el
Sitio2, otro servidor tienen la IP 192.168.2.1. Cuando un cliente del Sitio1
realiza un ping a 192.168.2.1, envia la peticion al defecult gateway, que es
la IP interna del servidor VPN, este evalua las rutas y sabe que para
alcanzar la subred 192.168.2.0 la peticion debe enviarse a traves del
interface de marcado bajo demanda.
Lo mismo para un cliente del Sitio2 que hace un ping a 192.168.1.1, lo envia
a la IP interna del servidor VPN y este en base a su tabla de rutas lo
reenvia por el interface de marcado bajo demanda.

Esto quiere decir que todas las mauinas de ambos sitios deben saber como
alcanzar el sitio remoto. Lo mas sencillo es configurar todas las maquinas
intqrnas con el default gateway a la IP interna del server VPN de su sitio o
crear rutas estaticas en lso clientes.

Repasa la informacion de este link:
http://www.microsoft.com/windows200...efault.asp
Este en concreto:
http://www.microsoft.com/windows200...r2rvpn.asp
El apartado que te interesa es este, aunque no estaria demas mirarse el
documento al completo:
Deploying a PPTP-based Router-to-Router VPN Connection

Ahora debes ajustarlo a tus necesidades. No es necesario usar
autentificacion EAP-TSL, puedes usar MS-CHAP v2 y no tienes porque usar
RADIUS, puedes usar autentificacion y accounting de Windows (el propio
RRAS). Si bien, ambas medidas son muy recomendables, sobre todo EAP-TLS ya
que contraseñas debiles, hacen mas vulnerable el protocolo PPTP. La
alternatica es logicamente L2TP/IPSec. No es muy complicado instalar una CA
y emitir un par de certificados.

Un saludo.
Ivan
MS MVP ISA Server


"Chus" escribió en el mensaje
news:

Ivan [MS MVP] escribió:

Entonces es que no has creado los interfaces de marcado bajo demanda,
posiblemente estas utilizando conexiones VPN de cliente y esto no es
valido.
Desde la MMC de RRAS, netwok interfaces, debe aparecer un interface de
marcado bajo demanda (Demand-dial). En caso contrario, no estas
definiendo correctamente la VPN entre enrutadores.

Tambien, desde: IP Routing, Static Routes, debes crear una ruta que
especifica:
Interface: el interface de marcado bajo demanda que has creado
Destination: el rango de la red remota
Network mask: la mascara de la red remota
gateway: no debes especificar gateway. Las peticiones para el rango de la
otra subred se enrutan por el inetrface de marcado bajo demanda.

Un saludo.

Saludos, de momento funciona perfectamente bien, ya consigo enrutar de la
lan1 a traves de la vpn hasta la lan2, para que a la inversa tambien
funcione... que debo hacer?

En principio si hago lo mismo en el server 2 debería de funcionar pero si
quiero utilizar la misma vpn, como agrego esa ruta estatica en el server
2?
1- Una ruta estatica normal no puedo agregarla porque no sabría salir.
2- Una ruta de marcado petición tampoco porque se supone que ya está
establecida.

Finalmente también debería de crear una ruta estática en el server 1 como
que todo lo que venga por la interfaz vpn se dirija hacia la ethernet de
la LAN?

Gracias y salu2

Ivan [MS MVP] escribió:

Chus, sinceramente no se muy bien como estas creando la VPN entre
enrutadores
Has tenido que definir interfaces de marcado bajo demanda en ambos
servidores y en ambos debes crear las rutas de la forma que te indicaba en
mi post anterior, es decir:
Imagina que el Sitio1 utiliza el rango de direcciones internas
192.168.1.0/24. El Sitio2 192.168.2.0, segun esto:
En el Sitio1
Interface: el interface de marcado bajo demanda que has creado
Destination: 192.168.2.0
Network mask: 255.255.255.0

En el Sitio2:
Interface: el interface de marcado bajo demanda que has creado
Destination: 192.168.1.0
Network mask: 255.255.255.0

Ahora imagina que en el Sitio1, un servidor tienen la IP 192.168.1.1 y en el
Sitio2, otro servidor tienen la IP 192.168.2.1. Cuando un cliente del Sitio1
realiza un ping a 192.168.2.1, envia la peticion al defecult gateway, que es
la IP interna del servidor VPN, este evalua las rutas y sabe que para
alcanzar la subred 192.168.2.0 la peticion debe enviarse a traves del
interface de marcado bajo demanda.
Lo mismo para un cliente del Sitio2 que hace un ping a 192.168.1.1, lo envia
a la IP interna del servidor VPN y este en base a su tabla de rutas lo
reenvia por el interface de marcado bajo demanda.

Esto quiere decir que todas las mauinas de ambos sitios deben saber como
alcanzar el sitio remoto. Lo mas sencillo es configurar todas las maquinas
intqrnas con el default gateway a la IP interna del server VPN de su sitio o
crear rutas estaticas en lso clientes.

Repasa la informacion de este link:
http://www.microsoft.com/windows200...efault.asp
Este en concreto:
http://www.microsoft.com/windows200...r2rvpn.asp
El apartado que te interesa es este, aunque no estaria demas mirarse el
documento al completo:
Deploying a PPTP-based Router-to-Router VPN Connection

Ahora debes ajustarlo a tus necesidades. No es necesario usar
autentificacion EAP-TSL, puedes usar MS-CHAP v2 y no tienes porque usar
RADIUS, puedes usar autentificacion y accounting de Windows (el propio
RRAS). Si bien, ambas medidas son muy recomendables, sobre todo EAP-TLS ya
que contraseñas debiles, hacen mas vulnerable el protocolo PPTP. La
alternatica es logicamente L2TP/IPSec. No es muy complicado instalar una CA
y emitir un par de certificados.

Un saludo.

Gracias una vez mas, creo que voy a leer un poco este finde a ver si asi
me aclaro.

Salu2