Documentos de Académico
Documentos de Profesional
Documentos de Cultura
– Parte 1 por PPTP
En esta demostración veremos de manera sencilla cómo podemos configurar un Windows Server 2008-R para permitir el
acceso remoto a nuestra red usando VPNs (Virtual Private Network).
Veremos la configuración de conexión usando dos de los protocolos clásicos: primero PPTP y luego con L2TP+IPSec en
la siguiente nota.
Para usar una estructura lo más simple posible, en este caso no utilizaré ambiente de Dominio, sino simplemente 3
máquinas en grupo de trabajo.
La segunda parte en Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 –
Parte 2 por L2TP-IPSec, SSTP y IKEv2
SRV1: Windows Server 2008-R2, servidor Interno de nuestra red al que deseamos acceder remotamente.
Interfaz de Red: IP 192.168.1.1/24 Puerta de Enlace: 192.168.1.254
VPN1: Windows Server 2008-R2, servidor VPN con dos interfaces de red una interna y otra externa conectada a la
supuesta “Internet”
Lo primero que haré, será compartir en SRV1 una carpeta que usaré como prueba de conexión del cliente remoto.
Y luego en el Network and Sharing Center, hacemos click en Public Network y seleccionamos que es una Work Network
Para asegurarnos que todo está correcto podemos verificar el compartido desde VPN1 haciendo un simple NET VIEW
\\SRV1
Ahora vamos a configurar el servidor VPN1 como servidor de acceso remoto. Para eso abrimos el Server Manager y
seguimos el procedimiento de acuerdo a las figuras siguientes
Ahora vamos a configurar el servidor VPN y para eso abrimos Administrative Tools / Routing and Remote Access
Con botón derecho sobre el servidor elegimos Configure and Enable Routing and Remote Access
Y seguimos el asistente
Es importante que seleccionemos adecuadamente la interfaz externa, pues el sistem implementará filtrado de paquetes
permitiendo únicamente el ingreso por VPN. No podremos ni siquiera hacer un simple PING desde el exterior.
Teniendo ya configurado el servidor VPN, ahora vamos al cliente CL1, que recuerdo está conectado a la red externa
emulando Internet.
Vamos al Network and Sharing Center y elegimos Setup a New Connection or Network
Y seguimos el asistente
si queremos optimizar la velocidad de conexión vamos a las propiedades de la interfaz y seleccionamos que
directamente use PPTP sin probar otros métodos
Y nos conectamos
Si queremos podemos ver los detalles de la conexión
Ahora ya podremos conectarnos a los recursos compartidos de la red, aunque hay algo muy importante y no por todos
conocido.
Debemos
recordar que localmente en CL1 hemos iniciado sesión con un usuario, llamémoslo “LocalUser”.
Luego hicimos la conexión a VPN1 usando el usuario “VPNUser”
Cuando tratemos de conectarnos a un recurso de un servidor, en este caso SRV1, el sistema usa para autenticar el
nombre/contraseña de “LocalUser” el cual no es válido en el servidor que tiene el recurso.
Y por lo tanto cuando vamos a hacer la primera conexión a un servidor debemos especificar
un nombre/contraseña
válidos en el mismo.
En el siguiente ejemplo, yo estoy usando la cuenta Administrator con su correspondiente contraseña válidos en SRV1
Con esto hemos demostrado la conexión VPN usando protocolo PPTP.
Si observamos en el Status de la conexión, ficha Details, veremos que nos hemos conectado usando protocolo PPTP, la
autenticación es MS-CHAPv2 y el cifrado es MPPE-128 (MPPE = Microsoft Point to Point Encryption)
Tu voto: 16 Votes
Compártelo
Relacionado
By Guillermo Delprato, on 09/07/2011 at 19:40, under Conectividad de Red, How To - Step-by-step - Paso a paso, Servicios de Red.
Etiquetas: Conectividad de Red, How To - Step-by-step - Paso a paso. 106 comentarios
Publica un comentario o deja una referencia: URL de la referencia.
Comentarios
No se debe ni puede tener un servidor VPN con una única conexión de red.
Un servidor VPN permite conectar una “red insegura” con una “segura”. Si tiene una única placa de red permitiría
conexiones desde “red insegura” en una placa que está en una “red segura”
Y qué pasa si es un SBS 2011 con una sola tarjeta de red? Por definición no permite más…
Gracias.
Un servidor VPN requiere dos interfaces ya que por seguridad no es recomendable acceso desde una red pública
directamente sobre una red privada interna.
Con SBS realmente no he trabajado nunca. Lo que sí he escuchado varias veces es “hay que usar los asistentes, ni
se te ocurra tratar de administrarlo como a un servidor normal”
Por lo que se ve buscando en la web, se puede pero no es lo mismo dependiendo la versión, por ejemplo un SBS
Essentials no tiene el asistente
Deseo configurar una VPN para poder compartir una Carpeta en mi Sede Principal y que mis clientes accesen a ellas
desde mis sucursales. Dispongo de 02 Servidores (Server 2008 R2). Por lo que veo se adapta al esquema del ejemplo.
Mi idea es Configurar :
Un Servidor de DATOS (1 NIC direccion interna LAN sin internet)
Un Servidor VPN (2 NIC – 1 direccion interna LAN – 1 direccion externa con acceso internet mediante Router ADSL)
Pero tengo ciertas dudas:
1. Veo que los clientes necesitan de una Internet address en este caso seria la direccion IP externa de mi Servidor VPN,
esa direccion debe de ser una IP Pública?
2. Puedo usar la IP Publica de mi Router ADSL y configurar la NAT para mi servidor VPN?
3. Es necesario de un dominio http://www.midominio.com?
4. Es posible mi solución o que me falta y que consideraciones debo de tener en cuenta?
Agradesco tu atencion.
Hola Percy, trato de usar este espacio para comentarios sobre la nota, y no sobre el tema. De otra forma esta nota
se convertiría en un soporte :)
Para consultas puedes dirigirte, por ejemplo, a los foros de Microsoft Technet que en este caso está
en: http://social.technet.microsoft.com/Forums/es-ES/wsnies/threads
De todas formas contesto rápidamente las preguntas, pero por favor luego dirige las preguntas al foro
1.- No, pueden estar en una red privada. Necesitan conectividad a Internet, y que el Router soporte “VPN Pass-
through” (deje pasar VPN)
2.- Si. En el Router debes redirigir el tráfico al VPN interno de TCP-1723 y PROTOCOLO GRE (47)
3.- No. Puedes llegar con la IP pública del sitio central, o cualquier nombre resoluble en Internet
4.- Tienes todo lo necesario por lo que comentas
Gracias Guillermo,
disculpa las molestias.
he terminado de configurar el Servidor VPN siguiendo tu procedimiento y veo que se ha quedado sin conexion a
internet, Esto debe ser así?
En realidad no se ha quedado sin Internet, sino que por omisión la Puerta de Enalace se ha movido a la VPN.
Esto es así, y en general es conveniente porque se asimila a tener un cliente en la red interna, pero con una
conexión a Internet sin ningún tipo de control de seguridad.
Si quieres, en las propiedades avanzadas de TCP/IP de la conexión del cliente puedes desmarcar la opción de
usar la puerta de enlace en la red remota
Pero en ese caso, recuerda lo que nombré al principio, y además dependiendo cómo asignes IPs a la VPN
seguramente deberás crear en el cliente una entrada en la tabla de ruteo indicando que para llegar a la “red de la
central” debe enviar la info por la VPN
ROUTE ADD w.x.y.z MASK m.m.m.m a.b.c.d
(w.x.y.z MASK m.m.m.m) esta es la red de la central
a.b.c.d es la IP del servidor VPN en la VPN
Gracias por el tutorial, me sirvio de mucho, pero creo q se debe incluir un poco mas de teoría, pero buen el manual,
saludos.
bueno tarde a todo una consulta tengo una vpn con routers cisco rv042 conectado con ip fija se conecta bien, pero no
puedo entrar a la otra pc ( solo quiero entrar a la otra pc con el numero de ip colocandolo la direccion y entrar y hacer
cambio) desde ya gracias
tengo windows server 2008 y windwos xp y windows seven
Hola Carlos, deberías consultar con el soporte de Cisco, tiene inclusive foros donde puedes poner la pregunta
Estupendo, ya pude configurarlo de modo que el servidor también tenga acceso a internet y que los clientes VPN
mantengan su propia conexión de internet. Para que puedan usar internet a través de la conexión de la VPN,
¿como hay que configurarlo?
Gracias, un saludo.
Hola David, simplemente volviendo a marcar la opción de usar la Puerta de Enlace en la red remota (en la
conexión de discado)
Volví a marcar la opción pero desde los clientes no conecta con internet, es más, provocan que el propio servidor
se quede sin acceso a internet también durante unos minutos cuando un cliente lanza una petición a internet….
es extraño la verdad
Gracias por la ayuda, un saludo!
David. Muchas gracias por el tutorial. Una pregunta. En vez de tener que crear dos subredes, una entre SRV1 y VPN1,
y la otra entre VPN1 y el ROUTER que nos saca a internet, ¿Podríamos hacer una sola red entre SRV1 y el ROUTER
que te saca a internet, y habilitar DMZ en el router, metiendo a VPN?. Si es así, ¿qué IP´s habría que indicarle al VPN1
que son la interna y la externa?. Te pongo las IP´s que pondría yo.
ROUTER
IP: 192.168.1.254
SRV1
Interfaz de Red: IP 192.168.1.1/24
Puerta de Enlace: 192.168.1.254
VPN1
Interfaz interna: 131.107.0.1/16 (por poner…)
Interfaz externa: 192.168.1.2/24
Hola Guillermo. Perdón por la confusión. Tu respuesta me lo aclara todo. Te lo planteaba porque quería evitarme
el hecho de tener 2 redes, una entre la ip interna del router y la externa del VPN1, y la segunda red entre ip
externa de VPN1 y el resto de mis equipos. Siendo así, se obliga siempre a que VPN sea enrutador de la red
interna, y a todos los equipos de la red interna se les obliga a usar VPN1 como gateway para salir a internet. Es
que yo quería hacer VPN1 sólo servidor de VPN sin obligarle a hacer de enrutador entre mis equipos de la red
interna y el router que sale a internet.
Muchas gracias
El tema es que un servidor VPN *debe* tener dos interfaces de red para funcionar correctamente
La funcionalidad de VPN es permitir las conexiones desde una “red insegura” (una interfaz), a una “red segura”
(otra interfaz)
Y por lo tanto tienen que estar en dos redes diferentes
Otra alternativa a considerar, aunque tiene ventajas e inconvenientes, es que directamente el Router sea servidor
VPN, la mayoría lo permite
Por un lado simplificas, por otro cuidado con la seguridad
Otra alternativa más, sería con ambos, el Router (con NAT) y además el servidor VPN, pero la configuración se
complica bastante pues habría que configurar tablas de Routing en los equipos de la red interna, aunque
depende de cómo asigne IPs el servidor VPN
yo he seguido paso a paso tu tutorial, pero no se que estoy haciendo mal el asunto es que cuando intento hacer la
conexion por vpn desde mi seven al servidor me saca de internet tanto el servidor como a la maquina, no se que hacer
o no se si el procedimiento que estoy realizando no es el adecuado. Estoy tratando de hacer una central de backup de
toda mi red de equipos en el servidor que esta en windows server 2008, quiero direccionar los backup de cada equipo
que se guarden en el servidor, a mi parecer lo mas logico seria crear una vpn para poder hacerlo, ya que la red de
conexion de area local con ip estaticas me sacan a internet los equipos quisiera saber 1. Crear una vpn es el
procedimiento correcto para llegar a ese objetivo? o debo hacer otra cosa? 2. porque me saca d internet cundo conecto
el equipo por vpn al servidor?
hola tengo una pregunta, tengo 2 server 2008 en diferentes cuidades, necesito conectar los 2 para compartir datos, bien
ahora server1 lo necesito usar como proxy, con el server2 tengo usuarios y maquinas fijas, conecto server2 a server1
por vpn y conecta bien necesito utilizar el gateway del server1, esto conecta bien del server2 al server1, el problema es
que los usuarios o maquinas que estan en el server2 (DC) pierden internet, como hago para conectar el server2 al
server1 x vpn y que todo salga por la vpn -el server1 o sea utilizar la ip publica del server1.
le agradezco mucho su ayuda gracias.
Hola Oscar, esta nota se refiere a conectar clientes a un servidor VPN, y permite que los clientes, usuarios que
trabajan desde la casa o en forma remota, se conecten a la red de la empresa
Si lo que buscas es que dos servidores que están en redes diferentes hagan interconexión entre ambas redes
entonces el procedimiento es otro
Revisa las siguientes notas:
Para W2008/W2008R2: Demostración Conectando Redes por VPN con PPTP – (Site to Site VPN) | WindowServer:
https://windowserver.wordpress.com/2012/03/24/demostracin-conectando-redes-por-vpn-con-pptp-site-to-site-vpn/
Para W2012: Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) | WindowServer:
https://windowserver.wordpress.com/2013/02/02/windows-server-2012-conectando-sitios-por-vpn-site-to-site-vpn/
Muchas gracias por la respuesta excelente la nota, le comento que si puedo conectar los 2 servidores y puedo verlos
pero no puedo ver los clientes que estan en la red del otro servidor, tambien le comento del servidor1 es en USA, y
necesito que los usuarios del servidor2 que esta fuera de USA, necesito que salgan por la IP publica del servidor1 para
que puedan navegar en sitos que solo en USA estan disponibles,muchas gracias por su respuesta son de gran ayuda
Primero que nada ¿qué es “no ver”? :-) porque una cosa es el entorno de red, y otra muy distinta es poder acceder.
Por ejemplo PING con nombre o con dirección IP ¿responde?
Si no responde, lo primero a revisar son los cortafuegos, ya que por omisión, salvo los controladores de dominio, los
otros no responden
Si descartamos lo anterior, entonces lo primero a revisar es por el lado de IP
Como ejemplo tomo Sitio1 y Sitio2. El el servidor VPN1 tiene que tener una entrada en la tabla de “Routing”
indicando cómo llegar a la red del Site2 enviándole a VPN2
E igual a la inversa: El VPN2 debe tener una entrada indicando que para llegar a la red de Site1, debe enviar a
VPN1
Respecto al tema de salida a Internet, es otro tema diferente. En VPN2 habría que configurar que la Puerta de
Enlace (Default Gateway) apunte al primer lugar. Lo que habría que ver es cómo hacen en este sitio para controlar el
acceso a Internet. Y cuidado que de esta forma todo irá al sitio central
necesito ayuda servidor1 cuenta con- usuarios en la misma red que la utilizan como puerta de enlace cuando el
servidor1 se conecta al servidor2 en USA por una VPN todo se conecta bien y puedo navegar con el servidor1, ahora
bien los usuarios del servidor1 no pueden conectar a internet, necesito que los usuarios del servidor1 enruten todo por
la vpn para navegar en sitios en USA.
Hola Oscar, la situación que planteas no es el tema de la nota ya que en esta me estoy refiriendo a conectar clientes
externos a la red, en cambio tu caso es la conexión entre dos servidores que crean la VPN
Por si te pueden ayudar revisa alguna de estas dos notas:
W2008: Demostración Conectando Redes por VPN con PPTP – (Site to Site VPN) | WindowServer:
https://windowserver.wordpress.com/2012/03/24/demostracin-conectando-redes-por-vpn-con-pptp-site-to-site-vpn/
W2012: Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) | WindowServer:
https://windowserver.wordpress.com/2013/02/02/windows-server-2012-conectando-sitios-por-vpn-site-to-site-vpn/
Además, trato de que estos comentarios sobre la nota no se usen para soporte, ya que tomarían mucha extensión y
se necesitarían muchos más datos. Para el tipo de problema que planteas te sugiero consultes alguno de los foros
de soporte, por ejemplo los foros de Technet
Hola Sebastián, todo bien pero estos comentarios no son un foro de soporte, deberías recurrir alguno de los que hay
Y si me permites dar un par de consejos, no uses mayúsculas ya que se interpreta como gritar, ni pidas cosas con
urgencia pues seguramente te mandarán a uno de pago
Todo bien por mi parte, pero este no es el lugar :)
sebastian El 15/11/2013 a las 20:42 Permalink
si no es una especie de foro, según todo lo leído en este thread estoy muy confundido (o vos) sobre lo q es un un
foro… y si pongo en mayuscula es por q estoy gritando! por q necesito esa info URGENTE q tal ves algun alma
caritavia me la pueda dar… queres q te pague? si sabes lo q estoy preguntando y solo me lo das si te pago no
hay problema, valdria la pena yo luego lo compartiria con la gente q lo necesite gratuitamente como
corresponde… saludos
me estas explicando q es un foro?? q manera de perder tu tiempo viejo… gracias por el ultmo link. saludos
Guillermo, me sirvió de mucha ayuda tu Blog, muy bien explicado…..Felicidades y sigue adelante…
Gracias por el comentario Miguel, me alegro te sirva, y respecto a lo otro, si, es así, cuesta a veces, pero hay que
guardar las formas :-)
– ¿La conectividad está? por ejemplo, si haces PING al servidor ¿responde? (cuidado el cortafuegos)
– ¿Qué sistemas operativos en cliente y servidor?
– ¿Que sucede si haces “net use \\Dir-IP-Servidor” en lugar de usar el nombre?
– En el NET USE ¿incluyes “/user: y /password”? porque por omisión envía usuario/contraseña del usuario que inició
sesión en el equipo?
Comenta, a ver si lo podemos solucionar
Hola Guillermo, ya encontré cual era el problema del acceso. En el explorador de Windows del Win7, coloque el nombre
completo del servidor Win2008, y me reconoció el equipo y sus recursos compartidos. Debe ser porque es un Win
Server que requería el nombre completo…Al menos salió.
Pero tengo otra duda que quería consultarte ya que este tema de acceso se soluciono, en un post mas arriba indicas
que la conexión que se debe de hacer es a través de 2 tarjetas de red o conexiones Lan, esta parte no lo entendí muy
bien (“Un servidor VPN permite conectar una “red insegura” con una “segura”. Si tiene una única placa de red permitiría
conexiones desde “red insegura” en una placa que está en una “red segura””).
Ya que en este momento mi servidor win2008 esta conectado al switch de la empresa para que lo usuarios puedan
acceder y loguearse al dominio, pero a la vez esta tarjeta esta configurada para que tenga salida al internet. Como
debería ser la configuración Física y lógica de las tarjetas y cables, etc.???
Como siempre gracias de antemano por tu gran ayuda.
Ok de acuerdo, pero disculpa la ignorancia en este campo. Cual debería ser la configuración correcta?. Si mi
servidor Windows2008 es mi servidor de Dominio y a su vez servidor de base de datos (BD pequeña porque es
una PYME, es mas solo una de contabilidad) y no hay otro servidor ni equipo disponible. Y tengo un usuario que
esta fuera del local (distancia bien lejos) y que necesita acceder a la base de datos.
Hasta el momento están trabajando que este único usuario que accede a la BD desde afuera se conecta con
ESCRITORIO REMOTO de Windows y utiliza el software directamente en el servidor, lo cual me parece muy
riesgoso para el tema de seguridad y par el tema propio de acceso sin restricción al servidor. Bueno esta es la
figura que yo he encontrado recién que veo este caso.
Espero no abrumarte con este tema pero a raíz de lo que me comentas ya me descuadraste mi sugerencia de
conectarse por VPN para dar solución a este requerimiento.
Muchas gracias
Revisa la documentación del Router a ver si permite actuar como servidor VPN (muchos lo permiten). O hacer
una VPN Router-Router entre el remoto y el local (la mayoría lo permite)
Para no comprometer la seguridad, la otra que queda es poner otra máquina como servidor VPN
Muchas gracias por la ayuda, voy a revisar y proponer el VPN Router-Router. Se que no es el tema del blog, pero
tu voluntad de ayuda y de compartir conocimiento es grande y muy profesional.
Muchas gracias Guillermo nuevamente…Saludos.
Un gusto Miguel
ya alli con esa configuracion puedo acceder el sevidor de maenra de escritorio remoto a?
Una vez que el cliente está conectado por VPN a la red interna, es tal cual como si estuviera localmente
Si recibe la configuración correcta no debería tener problemas con nada
Hola Guillermo ,
Gracias por el tutorial.
Quiero implementar una VPN de diversas sucursales a una central.
Te quiero comentar para ver si me quedo claro.
Para que puedan acceder a recursos compartidos de un servidor de la central.
Corrigeme si me equivoco:
SRV1: seria mi servidor local el cual contiene los recursos compartidos.
Aqui deberia configurar:
Ejemplo: 192.168.1.1 ip SRV1 192.168.1.254 puerta de enlace del cortafuegos.
(Esto ya lo tengo ya que tiene conexion a internet)
Y ya esta.
Entonces en mi caso tengo un router y cortafuegos:
Ahora mismo tengo configurado el router para que le derive todos los paquetes al cortafuegos. Debo tener ip publica.
Entonces entiendo que debo abrir algun puerto en el cortafuegos como el 1723? y luego esto debo redireccionarlo a mi
mi SRV1 internamente?
Luego una pregunta des la red donde se conecta el cliente externo windows 7
Debe haver alguna configuracion especial en ese cliente o esa red?
Cuando haga nueva conexion
Debo poner la ip publica para conectarme?
Gracias de antemano
Hola Guillermo
Gracias por contestar tan rapido y feliz año.
Efectivamente el router es el mas externo y es el que tiene la IP publica. Y este router esta configurado para
derivar todos los paquetes al cortafuegos que es donde tengo definidas todas las reglas.
Entonces entiendo que debo hacerlo en el router.
La idea global es que tengo una sucursal central. Y el resto de sedes deben conectarse a la central. No deben
conectarse entre ellas.
Entonces debo hacer un Site to Site de cada una de las sedes a la central?
Un saludo y gracias de nuevo
Hola Luis, es muy raro que hayas podido configurar un servidor con una única placa de red como servidor VPN,
porque normalmente no lo permite, ya que la función de VPN es conectar una red “insegura” como por ejemplo
Internet, con una red “segura” como es la interna
El asistente de configuración VPN permite seleccionar cuál será la interfaz externa y coloca filtros IP justamente para
que se pueda conectar únicamente los protocolos de VPN (PPTP, L2TP+IPSec, SSTP y IKEv2)
Ese error (800) es que no llega al servidor, y normalmente se soluciona permitiendo en el Router el protocolo PPTP.
El protocolo PPTP usa PUERTO TCP-1723 y PROTOCOLO 47 (GRE)
Un servidor VPN configurado correctamente no permite conexiones VPN desde el lado interno :)
Buen dia amigo guillermo, gracias por tu respuesta,,,efectivamente el equipo servidor tiene una sola tarjeta de red y
haciendo pruebas puedo conectarme desde la red local, lo cierto tambien es que no he tocado los puertos en el router
porque pensaba q tenia que habrirlos en el firewall de windows solo en el equipo que va ser cliente ……de hecho
configure un usuario local en el servidor con los permisos de conectarse remotamente y es el que estoy usando,,,esta
en lo correcto?
Luis, lo normal es que no funcione VPN con una única placa de red
En el Router, no es sólo abrir, sino que hay que redirigir lo que te comenté antes al servidor interno
Guillermo otra inquietud..le puedo colocar otra tarjta de red al mismo servidor para hacer vpn remoto,, o sea una
externa y otra interna en el mismo equipo donde quiero hacer vpn…este equipo antes tendria un router …¿o se lo
coloco despues el router?? gracias amigo
No tiene sentido Luis una VPN interna, si necesitas cifrado de datos en la red interna es mejor y seguro implementar
IPSec
Para configurarlo “bien” la estructura debería ser:
Internet — Router — PlacaPública-Servidor-PlacaPrivada — Switch Interno
Observando la figura de la nota: el Router debe quedar entre “Internet” y “VPN1”
Hola Luis Muro, vamos por partes porque hay varios lugares a revisar
Primero que nada aclarar la infraestructura que tengas, porque para no entrar en las múltiples variantes que se
pueden crear, en la esta nota, el servidor tiene la dirección IP pública; esto no siempre es así, todo depende del
tipo de conexión que tengas
Me hablas de un “modem” por lo que supongo que estás usando ADSL ¿es así? Siendo así hay dos posibilidades
de acuerdo a quién haga el discado (llamada) porque ése será el que reciba la IP pública, y puede ser el modem,
o el servidor
Lo más común, por lo menos en “mi ambiente” es que lo haga el Modem (Router)
Si todo es como puse antes, que es la configuración más común, continúo pero recuerda que depende de lo que
puse más arriba
Red Interna: Cualquier direccionamiento IP privado. Para todos los clientes la puerta de enlace debe ser la
dirección IP de la placa INTERNA del servidor VPN
Red Intermedia: como el que recibe la dirección IP pública es el módem/router, no el servidor VPN, ahí hay que
crear otra red, diferente de la anterior. Importante: en la placa EXTERNA del servidor VPN, la puerta de enlace
debe ser la dirección interna del modem/router
Un ejemplo
RedInterna(192.168.1.0/24)PlacaPrivada-SERVIDOR-PlacaPública(192.168.2.0/24)
Ahora hay que permitir el tráfico, tanto de entrada como de salida
En el modem/router, leer la documentación del mismo, pero debería poder configurar que todo lo que llegue a la
IP externa de éste, la envíe a la dirección IP Pública del servidor VPN (Port Forwarding TCP1723 + Protocol 47
GRE)
En el servidor VPN, por omisión, en RRAS en las propiedades de las interfaces de red, quedan filtros IP que
permiten SOLAMENTE los protocolos de VPN, y por lo tanto no pueden navegar los clientes. Hay que modificar
estos filtros para permitir el tráfico a Internet que necesites. Si tienes dudas revisa la
nota https://windowserver.wordpress.com/2011/10/02/demostracin-conectando-clientes-a-la-red-por-vpn-windows-
server-2008-r2-y-windows-7-parte-2-por-l2tp-ipsec-sstp-y-ikev2/ que muestro como modificarlos, con un
SALVEDAD importante, como la demostración era para otros protocolos y para no complicar la demo permití todo
el tráfico entre red interna e Internet. Esto NO hay que hacerlo, sería como exponer toda tu red interna en Internet
Y MUY IMPORTANTE, cuidado con el tema seguridad, ¿quién hace de cortafuegos? ¿el modem/router? ¿el
servidor VPN? cuidado…
Y un detalle más, el modem/router no puede hacer de DHCP para red interna, simplemente porque no está
conectado a esta :)
Me vas a hacer escribir un libro acá :)
hola amigo Guillermo…jajajaj esta bueno lo del libro…amigo mi esquema es que mi proveedor me suministra el servicio
de internet por un router mikrotic, el cual me hacia el servicio dhcp 192.168.x.x a los equipos internos,y le dije que como
estaba configurando un vpn con dos tarjetas de red, quería que el servidor que uso de vpn en una de sus tarjetas
recibiera la ip externa y administrara el dhcp a la red interna, por lo tanto configure el servicio servidor dhcp y
enrutamiento, o sea que llega directo la ip externa en una de las tarjetas de red de mi server vpn y la otra tarjeta a la red
interna la cual configure con el mismo rango de direcciones 192.168.100.x,,solo habilite el protocolo pptp pero cuando
cuando quise conectarme desde casa a la oficina me daba error 800, la pregunta que surge es que si ahora debo abrir
los puertos en el server vpn,,,y también mis equipos internos no tienen acceso a internet,,solo el server vpn,,,como hago
que los equipso internos tengan internet ahora por el server vpn???Mil gracias amigo…
hola Guillermo, de verdad que esto me esta sacando canas,,,no se porque con 2008 se me complica tanto,, lo he
realizado con 2003 y todo bien,,,bueno…resulta que por fin termine de configurar el servidor de enrutamiento y
acceso remoto,,,lo instale vpn con nat…ya que necesito que los equipos internos tengan acceso a internet,,ya
que es importante…pero hay un detalle,,resulta que los clientes internos de mi lan no salen a internet,,, luego
coloque la dirección ip externa como Gateway en la tarjeta lan interna y pudieron salir a internet pero después
que reinicie el equipo servidor no salieron mas….mi configuración es como sigue:::INTERNET+ NIC.WAN-
SERVIDOR+ NIC.LAN-SERVIDOR+ SWITCH RED INTERNA…tengo configurado en el servidor los servidores::
DNS + DHCP + RRAS…TODO ESTO LO CONFIGURE AYER, los equipos internos se conectan a la red
perfectamente y acceden a los recursos,,,pero no tienen acceso a internet,,,fue por un ratico y nada
mas,,,realmente no entiendo que paso o que hice mal…por favor alguna sugerencia mi amigo…muchas gracias
como siempre…
Hola amigo Guillermo,,,realmente la instalación del servicio NAT fue reciente, ya que necesitaba que los internos
salieran a internet…gracias por tu paciencia y me has enseñado como todo un profesional que eres por eso
pienso que lo que no hemos perdido tiempo, porque he aprendido mucho,,,claro lo del nat a ultima hora se me
chispoteo, te pido disculpas…los datos de la lan son los corrrectos y los de la wan son LOS Q ME DA EL ISP
SON FIJOS:
IP WAN:xxx.xxx.168.250
mask:255.255.255.252
GATEWAY: xxx.xxx.168.249
DNS:xxx.xxx.168.249 Y 8.8.8.8
sEGUI TU CONSEJO Y COLOQUE LOS REENVIADORES LAS IP DE GOOGLE Y LA RECURSIVIDAD TENIA
FALLAS Y AHORA ESTA ESPECTACULAR…VOY A CONFIGURAR EL VPN Y NAT A VER SI RESUELVO
ESTO HOY…CUALQUIER COSA TE AVISO AMIGO…GRACIAS.
Guillermo Delprato El 14/03/2015 a las 17:03 Permalink
Hola amigo,,,he observado que en la configuración inicial del servidor VPN, colocaste un rango de direcciones
para asignar a los clientes vpn…,,pero este rango no esta dentro de ninguno de los rangos configurados en el
servidor VPN en la tarjeta lan interna 192.168.1.254…mi pregunta es…no importa el rango que coloques aqui
para repartir?? esto solo se le asigna a los clientes vpn y no afecta a los clientes internos?? Gracias amigo por tu
respuesta…..
Hola Luis, ese rango de IPs es sólo para los extremos de la VPN, en este caso una dirección IP adicional que
recibirá tanto el cliente como el servidor VPN
Se puede hacer de dos formas diferentes, y en ambos casos funciona
1.- Si utilizas un rango de IPs de la red interna, debes asegurarte que no se dupliquen IPs, y el servidor funciona
como una especie de “proxy de ARP”
2.- Como hice en la nota con un rango totalmente diferente, entonces el servidor funciona como enrutador, y tiene
la ventaja que eventualmente puedes aplicar filtros de IP para limitar la conectividad
Hola Guillermo quisiera saber si me puedes ayudar mira yo tengo un servidor con el cual doy servicio de enrutamiento y
acceso remoto por telefono ahora quisiera saber como puedo ver a que sitios entran mis clientes o las paginas q visitan
Hola Omar, por temas de extensión y cantidad de datos necesarios no puedo hacer soporte en estos comentarios
que son específicamente sobre la nota. Ayudo cuando puedo orientar y nada más
Por lo que comentas, no comprendo si los clientes “entran” a tu red (hablas de acceso remoto), o si por el contrario
la idea es controlar a tus clientes internos dónde salen
Para el primer caso hay que implementar auditoría de seguridad en tus servidores
Para el segundo, se puede lograr con un cortafuegos que loguee la info, no con el sistema operativo solamente
no yo les doy servicios a mis clientes a treves de mi servidor pero lo que quiero es ver a que lugares se conectan
sin nesesidad de tener que poner un proxy o cortafuegos es saver si mediante un comando o otra herramienta
puedo saber las paginas que vicitan
Omar, para lo que quieres necesitas justamente un proxy o cortafuegos con posibilidad de “logging”
felicitaciones, muy bueno el tutorial es de gran ayuda pero lo único es que cuando hago el ultimo paso con la cuenta de
administrador con net use no puedo conectarme a pesar de que hace ping a srv1 y a vpn1 sin problemas, por ende no
puedo ver la carpeta compartida en srv1
¿La conexión a la VPN la hace bien? confirma con IPCONFIG cuando esté conectado que reciba dirección para
el tunel
Mueve el cliente a la red interna, y trata nuevamente con el NET VIEW \\Srv1
De esa forma acotamos el problema, si es de SRV1 o de VPN1
El ip config me da ip del tunel configurado en vpn1, si hago ping a los dos sevidores corren normalmente esto es con el
cliente conectado por vpn, movì el cliente a la red interna: con el net view no accede pero si voy a ejecutar y le pongo
las ips de los sevirdores puedo entrar a los recursos compartidos, al parecer todo esta ok pero no entiendo que ocurre
con el comando net, anteriormente para ver net view \\srv1 tuve que encender varios servicios y tambien el servicio
examinador de equipos y pude ver el vpn1 hacia el srv1
gracias
Ok muchas gracias
Hola Angelfb, para llegar a la solución hay que conocer muchos más datos, no es sólo sacar que use la puerta de
enlace remota
Antes que nada debes hacer un ROUTE PRINT -4 y prestarle mucha atención a cada entrada
Si no ves las redes que necesita conectarse hay que hacer entradas en la tabla con ROUTE ADD
En general lo más fácil es tener una puerta de enlace ylas demás a mano
Un detalle a tener en cuenta muy importante es las IPs de la VPN son de un rango de la red a la que se conecta o
no, ya que puede hacerse de cualquiera de las dos formas
Una consulta, un mismo servidor fisico puede ser Servidor de AD, DNS, DHCP y VPN a la vez?
Excelente nota Gullermo, lo implemente pero tengo problemas cuando el equipo remoto se conecta no alcanza la LAN,
que estoy haciendo mal?
Hola, he hecho todos los pasos y me ha ido bastante bien, hasta ejecutar el net use en el cliente, me dice “no se ha
encontrado la ruta de acceso a la red”. En tu ejemplo, estimo que “j:” corresponde a cualquier letra que le quieras
asignar al disco compartido y no refleja necesariamente la letra dle disco donde esta literalmente la carpeta compartida
(en mi caso en C:).
Entonces pongo net use J: \\192.168.1.2(ip de la tarjeta de red del servidor que va hacia afuera)\Shared /user etc etc
Me dice que la ruta está mal. Mi carpeta se llama Shared, está compartida y está en el C de mi server con ip
192.168.1.2
Que podría estar mal?
Muchas gracias.
Carlos.
La máquina esa que tiene la carpeta compartida ¿tiene como puerta de enlace a la dirección IP interna del servidor
VPN?
Si puedes baja unos instantes el cortafuegos de donde está la carpeta compartida y prueba un PING. Si no
respondiera decime exactamente cuál es el mensaje de error que da
Guillermo, he podido “ver” la carpeta yendo por el cliente a “Conectar unidad de red” dentro de “Equipo” en W7.
La puerta de enlace del servidor VPN es la dirección interna del router, o sea por donde sale a Internet. La tarjeta
de red que conecta con el router tiene la 192.168.1.2 en el servidor, el router tiene la 192.168.1.1 de allí que la
puerta de enlace del servidor es la 192.168.1.1, no se si estamos hablando de lo mismo y si eso contesta tu
pregunta.
Hola normandos, relee por favor mi respuesta anterior, y trata de ser posible más datos, yo no conozco tu
infraestructura :)
Vuelvo con la pregunta: La máquina que tiene la carpeta compartida ¿tiene como puerta de enlace a la IP interna
del servidor VPN?
¿El orden de conexión es PCconCarpetaCompartida — VPN — Router — Internet — ClienteVPN? ¿o el servidor
VPN está conectado directamente a Internet, y el Router es otra conexión?
El servidor VPN con dos interfaces de red, no puede tener la misma red IP en ambas conexiones, no pasará
tráfico si es así
normandos El 03/08/2016 a las 20:04 Permalink
La maquina que tiene la carpeta compartida ES el Servidor VPN, este sale a traves de un router a Internet, por
ello te decia que tiene como puerta de enlace la ip del router.
Excelente post!!!
¡Gracias Jorge!
hola tengo una vpn y al conectarme me sale error 800 ya hable con mi proveedor de internet y me habilitaron los
puertos desde el 1701 a 1743 pero aun me sigue saliendo erro 800
Estos son comentarios sobre la nota, y oriento cuando puedo, pero no es para soporte. Te aconsejo pongas la
pregunta en un foro de soporte, como por ejemplo los de Technet en español
(https://social.technet.microsoft.com/Forums/es-ES/home) y trates de dar datos más claros para que alguien pueda
responderte
Hola, antes que nada muchas gracias por el aporte, una pequeña duda es el de la mascara de subred , ¿ Por que el
servidor vpn asigna una mascara 255.255.255.255 ?.
Un saludo.
Hola Alvaro, con una máscara 255.255.255.255 cualquier dirección IP la ve como si fuera remota, y por lo tanto
envía todo por la VPN
Es similar a ponerle una Puerta de Enlace sobre la VPN. Y es uno de los motivos por los cuales algunos dicen
“cuando me conecto a la VPN me desconecta de Internet”, lo cual no es así, sino que envía todo por la VPN
No sé el tipo de conexión a Internet que tienes, pero en general los que se conectan con ADSL directo tienen
también esa máscara de subred
Gracias Guillermo por tu pronta respuesta , es que me hago un lio con esta mascara , por que por ejemplo en un
firewall que tengo en la ayuda dice, para permitir el acceso al firewall solamente a un host en el apartado
respectivo para configurar esta opción escribe la ip de ese host y ponl como mascara la 255.255.255.255 .
Ademas en teoría ,un equipo al tener una mascara 255.255.255.255 no pertenece a ninguna red , pero un equipo
cliente conectado por vpn le puedes hacer ping y acceder al mismo.
Un saludo y nuevamente agradecerte por tu blog que me ha salvado la vida algunas veces.
Hola Alvaro, no es el lugar, ni lo extenso permite hacer una explicación de direccionamiento IP, pero una ayuda
para que sigas viendo el tema
La máscara de subred indica cuántos bit pertenecen al identificador de red
Una dirección IP w.x.y.z máscara 255.255.255.255 indica que esa es la red, y por lo tanto contiene sólo una
dirección ip
Pero para otra máquina con dirección IP w.x.a.b máscara 255.255.0.0 se puede comunicar con la anterior porque
está en la misma red
Una máscara 255.255.255.255 verá cualquier otra dirección IP como remota, y por lo tanto todo lo enviará a la
Puerta de Enlace, y que éste equipo haga la entrega final
¿No lo estarás probando desde adentro? ¿porque es válido solamente desde afuera?
Trackbacks
Por Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 2 por L2TP-IPSec, SSTP
y IKEv2 « WindowServer el 02/10/2011 a las 16:55
[…] Esta nota supone que está disponible y funcionando correctamente lo ya descripto en la primera parte
Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte … […]