Demostración Conectando Clientes A La Red Por VPN - Windows Server 2008-R2 y Windows 7 - Parte 1 Por PPTP - WindowServer

Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7
– Parte 1 por PPTP
En esta demostración veremos de manera sencilla cómo podemos configurar un Windows Server 2008-R para permitir el
acceso remoto a nuestra red usando VPNs (Virtual Private Network).
Veremos la configuración de conexión usando dos de los protocolos clásicos: primero PPTP y luego con L2TP+IPSec en
la siguiente nota.
Para usar una estructura lo más simple posible, en este caso no utilizaré ambiente de Dominio, sino simplemente 3
máquinas en grupo de trabajo.
La segunda parte en Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 –
Parte 2 por L2TP-IPSec, SSTP y IKEv2
SRV1: Windows Server 2008-R2, servidor Interno de nuestra red al que deseamos acceder remotamente.
Interfaz de Red: IP 192.168.1.1/24 Puerta de Enlace: 192.168.1.254
VPN1: Windows Server 2008-R2, servidor VPN con dos interfaces de red una interna y otra externa conectada a la
supuesta “Internet”

Interfaz interna: 192.168.1.254/24

Interfaz externa: 131.107.0.1/16
CL1: Windows 7, cliente que se conectará remotamente

Inerfaz de Red: 131.107.0.2/16
Un diagrama para que sea más claro
Lo primero que haré, será compartir en SRV1 una carpeta que usaré como prueba de conexión del cliente remoto.
Y luego en el Network and Sharing Center, hacemos click en Public Network y seleccionamos que es una Work Network
Para asegurarnos que todo está correcto podemos verificar el compartido desde VPN1 haciendo un simple NET VIEW
\\SRV1
Ahora vamos a configurar el servidor VPN1 como servidor de acceso remoto. Para eso abrimos el Server Manager y
seguimos el procedimiento de acuerdo a las figuras siguientes
Ahora vamos a configurar el servidor VPN y para eso abrimos Administrative Tools / Routing and Remote Access
Con botón derecho sobre el servidor elegimos Configure and Enable Routing and Remote Access
Y seguimos el asistente
Es importante que seleccionemos adecuadamente la interfaz externa, pues el sistem implementará filtrado de paquetes
permitiendo únicamente el ingreso por VPN. No podremos ni siquiera hacer un simple PING desde el exterior.
Elgiré asignar un rango específico de direcciones IP para la VPN

No usaremos Radius
Y finalizamos, aceptando luego el aviso sobre el DGCP Relay Agent
A los efectos de la práctica crearé en VPN1 un usuario normal de prueba al cual le otorgaré el permiso de acceso remoto
Desde Administrative Tools / Computer Management

Y como método adicional de seguridad configuraremos la interfaz externa, dejando conectado sólo TCP/IPv4, y
deshabilitaremos todo lo que corresponda a NetBIOS
Teniendo ya configurado el servidor VPN, ahora vamos al cliente CL1, que recuerdo está conectado a la red externa
emulando Internet.
Vamos al Network and Sharing Center y elegimos Setup a New Connection or Network
Y seguimos el asistente
si queremos optimizar la velocidad de conexión vamos a las propiedades de la interfaz y seleccionamos que
directamente use PPTP sin probar otros métodos
Y nos conectamos
Si queremos podemos ver los detalles de la conexión
Ahora ya podremos conectarnos a los recursos compartidos de la red, aunque hay algo muy importante y no por todos
conocido.
Debemos
recordar que localmente en CL1 hemos iniciado sesión con un usuario, llamémoslo “LocalUser”.
Luego hicimos la conexión a VPN1 usando el usuario “VPNUser”
Cuando tratemos de conectarnos a un recurso de un servidor, en este caso SRV1, el sistema usa para autenticar el
nombre/contraseña de “LocalUser” el cual no es válido en el servidor que tiene el recurso.
Y por lo tanto cuando vamos a hacer la primera conexión a un servidor debemos especificar
un nombre/contraseña
válidos en el mismo.

En el siguiente ejemplo, yo estoy usando la cuenta Administrator con su correspondiente contraseña válidos en SRV1
Con esto hemos demostrado la conexión VPN usando protocolo PPTP.
Si observamos en el Status de la conexión, ficha Details, veremos que nos hemos conectado usando protocolo PPTP, la
autenticación es MS-CHAPv2 y el cifrado es MPPE-128 (MPPE = Microsoft Point to Point Encryption)
Tu voto: 16 Votes
Compártelo
LinkedIn Twitter Correo electrónico Imprimir
Relacionado
Windows Server 2012 Windows Server 2012: Windows Server 2012:

(R2): Configurar Servidor Conectando Sitios por Demostración
VPN VPN (Site to Site VPN) Conectando Clientes a la
27/03/2014 02/02/2013 Red por VPN
En «Conectividad de En «Conectividad de 29/07/2012
Red» Red» En «Conectividad de
Red»
By Guillermo Delprato, on 09/07/2011 at 19:40, under Conectividad de Red, How To - Step-by-step - Paso a paso, Servicios de Red.
Etiquetas: Conectividad de Red, How To - Step-by-step - Paso a paso. 106 comentarios
Publica un comentario o deja una referencia: URL de la referencia.
« Demostración Conexión Remota por SSTP Introducción a IPv6 – 1 ¿Por Qué? »
Comentarios
Alexander Chozo El 12/12/2011 a las 18:18 Permalink | Responder

Como seria en el caso de configurar un server VPN con una sola tarjeta de red. Es posible?
Gracias
Delprato El 13/12/2011 a las 07:07 Permalink | Responder
No se debe ni puede tener un servidor VPN con una única conexión de red.
Un servidor VPN permite conectar una “red insegura” con una “segura”. Si tiene una única placa de red permitiría
conexiones desde “red insegura” en una placa que está en una “red segura”
GLT El 27/12/2011 a las 19:33 Permalink | Responder
Y qué pasa si es un SBS 2011 con una sola tarjeta de red? Por definición no permite más…
Gracias.
Un servidor VPN requiere dos interfaces ya que por seguridad no es recomendable acceso desde una red pública
directamente sobre una red privada interna.
Con SBS realmente no he trabajado nunca. Lo que sí he escuchado varias veces es “hay que usar los asistentes, ni
se te ocurra tratar de administrarlo como a un servidor normal”
Por lo que se ve buscando en la web, se puede pero no es lo mismo dependiendo la versión, por ejemplo un SBS
Essentials no tiene el asistente
Percy Villanueva El 24/01/2012 a las 20:26 Permalink | Responder
Deseo configurar una VPN para poder compartir una Carpeta en mi Sede Principal y que mis clientes accesen a ellas
desde mis sucursales. Dispongo de 02 Servidores (Server 2008 R2). Por lo que veo se adapta al esquema del ejemplo.
Mi idea es Configurar :
Un Servidor de DATOS (1 NIC direccion interna LAN sin internet)
Un Servidor VPN (2 NIC – 1 direccion interna LAN – 1 direccion externa con acceso internet mediante Router ADSL)
Pero tengo ciertas dudas:
1. Veo que los clientes necesitan de una Internet address en este caso seria la direccion IP externa de mi Servidor VPN,
esa direccion debe de ser una IP Pública?
2. Puedo usar la IP Publica de mi Router ADSL y configurar la NAT para mi servidor VPN?
3. Es necesario de un dominio http://www.midominio.com?
4. Es posible mi solución o que me falta y que consideraciones debo de tener en cuenta?
Agradesco tu atencion.
Hola Percy, trato de usar este espacio para comentarios sobre la nota, y no sobre el tema. De otra forma esta nota
se convertiría en un soporte :)
Para consultas puedes dirigirte, por ejemplo, a los foros de Microsoft Technet que en este caso está
en: http://social.technet.microsoft.com/Forums/es-ES/wsnies/threads
De todas formas contesto rápidamente las preguntas, pero por favor luego dirige las preguntas al foro
1.- No, pueden estar en una red privada. Necesitan conectividad a Internet, y que el Router soporte “VPN Pass-
through” (deje pasar VPN)
2.- Si. En el Router debes redirigir el tráfico al VPN interno de TCP-1723 y PROTOCOLO GRE (47)
3.- No. Puedes llegar con la IP pública del sitio central, o cualquier nombre resoluble en Internet
4.- Tienes todo lo necesario por lo que comentas
Percy Villanueva El 25/01/2012 a las 19:19 Permalink
Gracias Guillermo,
disculpa las molestias.
he terminado de configurar el Servidor VPN siguiendo tu procedimiento y veo que se ha quedado sin conexion a
internet, Esto debe ser así?
Delprato El 26/01/2012 a las 06:50 Permalink
En realidad no se ha quedado sin Internet, sino que por omisión la Puerta de Enalace se ha movido a la VPN.
Esto es así, y en general es conveniente porque se asimila a tener un cliente en la red interna, pero con una
conexión a Internet sin ningún tipo de control de seguridad.
Si quieres, en las propiedades avanzadas de TCP/IP de la conexión del cliente puedes desmarcar la opción de
usar la puerta de enlace en la red remota
Pero en ese caso, recuerda lo que nombré al principio, y además dependiendo cómo asignes IPs a la VPN
seguramente deberás crear en el cliente una entrada en la tabla de ruteo indicando que para llegar a la “red de la
central” debe enviar la info por la VPN
ROUTE ADD w.x.y.z MASK m.m.m.m a.b.c.d
(w.x.y.z MASK m.m.m.m) esta es la red de la central
a.b.c.d es la IP del servidor VPN en la VPN
daniel El 09/08/2012 a las 14:48 Permalink | Responder
Gracias por el tutorial, me sirvio de mucho, pero creo q se debe incluir un poco mas de teoría, pero buen el manual,
saludos.
Gracias por el comentario Daniel

El objetivo de estos “paso a paso” es justamente un “hágalo”, pero de todas formas me estás dando la idea, y creo
que haré una nota aparte con la teoría, aunque seguro demoro porque estoy en un momento de mucho trabajo (del
de verdad :))
La dificultad de hacer las notas sobre teoría, es poder interpretar cuáles son los conocimientos previos necesarios
par comprender la nota. Por ejemplo, podemos explicar cómo funciona la VPN, pero antes hay que conocer
direccionamiento IP y enrutamiento, y algunos temas más aún
Calculo que la haré, ya que esta nota es de las más populares, lo que no prometo es cuándo :)
carlos martin El 27/11/2012 a las 10:01 Permalink | Responder
bueno tarde a todo una consulta tengo una vpn con routers cisco rv042 conectado con ip fija se conecta bien, pero no
puedo entrar a la otra pc ( solo quiero entrar a la otra pc con el numero de ip colocandolo la direccion y entrar y hacer
cambio) desde ya gracias
tengo windows server 2008 y windwos xp y windows seven
Hola Carlos, deberías consultar con el soporte de Cisco, tiene inclusive foros donde puedes poner la pregunta
David El 10/12/2012 a las 05:38 Permalink | Responder
Hola. Buen tutorial. Tengo un par de consultas:

1- Cuando configuro la VPN sobre un servidor con 2 interfaces, le indico cual es la externa que tiene el acceso a
internet correctamente, pero una vez configurado todo la VPN funciona correctamente pero el servidor se queda sin
conexión a internet. ¿Como puedo solucionar esto?
2- Cuando conecto a la VPN desde un cliente, éste pierde la conexión con internet, como puedo hacer que siga
teniendo internet mientras permanece conectado a la VPN?
Gracias, un saludo.
Hola David, contesto usando los números de las preguntas

1- Si te fijas la interfaz externa (IPv4 / Netowrk Interfaces) en Enrutamiento y Acceso Remoto (RRAS) verás que, por
omisión, el sistema ha colocado filtros tanto de entrada como de salida que permiten *solamente* los protocolos de
VPN.
Sólo debes incluir las correspondientes reglas para los protocolos que necesites. No es seguro pero un “Any to Any,
All protocols”, es peligroso pero no se restringe nada
2- En realidad no pierde la conexión a Internet, sino que al conectarse le cambia la Puerta de Enlace y se la pone en
la VPN. Esto es así por seguridad, por ejemplo tú haces toda la configuración de seguridad de Internet en tu red
interna, y alguien se conecta y tiene una conexión a Internet y otra en tu red interna, sin ningún tipo de control
También se puede solucionar. En las propiedades avanzadas de TCP/IP de la conexión de discado, verás algo así
como “Usar Puerta de Enlace en la red remota”, simplemente lo desmarcas
Otra opción, es que no hagas esto último, pero si la 1- y que el cliente pueda acceder a Internet a través del servidor
VPN
David El 11/12/2012 a las 13:48 Permalink
Perfecto, pude solucionar lo de que los clientes puedan tener su
conexión normal con internet, aunque es cierto que es interesante que el tráfico pase por la red interna.
En cuanto a incluir las reglas correspondientes para los protocolos que necesito en el servidor donde monto la
VPN, ¿podrías detallarme un poco más cómo hacerlo? No encontré donde se colocan los filtros de entrada y
salida dentro de “Enrutamiento y Acceso remoto”. En la selección de IPv4 me deja ver “General”, “Rutas
estáticas”, “Agente de retransmisión DHCP” y “IGMP”.
Gracias por la ayuda, un saludo.
Revisa la siguiente figura

https://skydrive.live.com/#cid=653485A19795E5EB&id=653485A19795E5EB%213226
Estupendo, ya pude configurarlo de modo que el servidor también tenga acceso a internet y que los clientes VPN
mantengan su propia conexión de internet. Para que puedan usar internet a través de la conexión de la VPN,
¿como hay que configurarlo?
Gracias, un saludo.
Hola David, simplemente volviendo a marcar la opción de usar la Puerta de Enlace en la red remota (en la
conexión de discado)
Volví a marcar la opción pero desde los clientes no conecta con internet, es más, provocan que el propio servidor
se quede sin acceso a internet también durante unos minutos cuando un cliente lanza una petición a internet….
es extraño la verdad
Gracias por la ayuda, un saludo!
Sistemas El 08/01/2013 a las 08:15 Permalink | Responder
David. Muchas gracias por el tutorial. Una pregunta. En vez de tener que crear dos subredes, una entre SRV1 y VPN1,
y la otra entre VPN1 y el ROUTER que nos saca a internet, ¿Podríamos hacer una sola red entre SRV1 y el ROUTER
que te saca a internet, y habilitar DMZ en el router, metiendo a VPN?. Si es así, ¿qué IP´s habría que indicarle al VPN1
que son la interna y la externa?. Te pongo las IP´s que pondría yo.
ROUTER
IP: 192.168.1.254
SRV1
Interfaz de Red: IP 192.168.1.1/24
Puerta de Enlace: 192.168.1.254
VPN1
Interfaz interna: 131.107.0.1/16 (por poner…)
Interfaz externa: 192.168.1.2/24
Hola Sistemas, el tutorial lo he preparado yo no David :-)

La red entre SRV1 y VPN1 es la que simula ser la red interna
Y la red entre VPN1 y CL1 es la que simula ser Internet
En este caso VPN1 sería el reemplazo del Router
Si entre VPN1 e Internet tienes un Router, que es lo normal, la dirección pública debería tenerla el Router
Y si como es normal ese Router está haciendo NAT, entonces tienes que redirigir TCP-1723 y Protocolo GRE a la
interfaz externa de VPN1. No hace falta configurar DMZ en el router porque de esa forma dejaría pasar todo
Inclusive algunos Routers ya tienen una opción para configurar que es para tener un servidor VPN interno, y hacer el
“port forwarding”: Todo lo que llegue a “Interfaz externa Router” puerto TCP1723, enviarlo a “Interfaz externa de
VPN1” puerto TCP1723
Sistemas El 08/01/2013 a las 09:22 Permalink
Hola Guillermo. Perdón por la confusión. Tu respuesta me lo aclara todo. Te lo planteaba porque quería evitarme
el hecho de tener 2 redes, una entre la ip interna del router y la externa del VPN1, y la segunda red entre ip
externa de VPN1 y el resto de mis equipos. Siendo así, se obliga siempre a que VPN sea enrutador de la red
interna, y a todos los equipos de la red interna se les obliga a usar VPN1 como gateway para salir a internet. Es
que yo quería hacer VPN1 sólo servidor de VPN sin obligarle a hacer de enrutador entre mis equipos de la red
interna y el router que sale a internet.
Muchas gracias
El tema es que un servidor VPN *debe* tener dos interfaces de red para funcionar correctamente
La funcionalidad de VPN es permitir las conexiones desde una “red insegura” (una interfaz), a una “red segura”
(otra interfaz)
Y por lo tanto tienen que estar en dos redes diferentes
Otra alternativa a considerar, aunque tiene ventajas e inconvenientes, es que directamente el Router sea servidor
VPN, la mayoría lo permite
Por un lado simplificas, por otro cuidado con la seguridad
Otra alternativa más, sería con ambos, el Router (con NAT) y además el servidor VPN, pero la configuración se
complica bastante pues habría que configurar tablas de Routing en los equipos de la red interna, aunque
depende de cómo asigne IPs el servidor VPN
Maria Teresa Gelvez El 28/05/2013 a las 20:21 Permalink | Responder
yo he seguido paso a paso tu tutorial, pero no se que estoy haciendo mal el asunto es que cuando intento hacer la
conexion por vpn desde mi seven al servidor me saca de internet tanto el servidor como a la maquina, no se que hacer
o no se si el procedimiento que estoy realizando no es el adecuado. Estoy tratando de hacer una central de backup de
toda mi red de equipos en el servidor que esta en windows server 2008, quiero direccionar los backup de cada equipo
que se guarden en el servidor, a mi parecer lo mas logico seria crear una vpn para poder hacerlo, ya que la red de
conexion de area local con ip estaticas me sacan a internet los equipos quisiera saber 1. Crear una vpn es el
procedimiento correcto para llegar a ese objetivo? o debo hacer otra cosa? 2. porque me saca d internet cundo conecto
el equipo por vpn al servidor?
Hola María Teresa

Hacer un backup a través de una VPN no es una buena opción, y menos sobre Internet donde no tienes garantizado
ningún ancho de banda
Como si fuera poco los backups suelen ser “grandes”, y las VPNs muy lentas debido al proceso de cifrado/descifrado
que sobrecarga en general bastante a los procesadores
El que cuando un cliente se conecta por VPN, lo desconecte de Internet, es el comportamiento por omisión, y en
general el deseable; ningún administrador que controle la seguridad de sus máquinas con Internet quiere que
aparezca en su red una máquina que “puentea” el cortafuegos, y que a todos los efectos es como que estuviera en
la red interna. Es un tema importante de seguridad con Internet
Se puede evitar, pero no es fácil, y depende si el direcionamiento de la VPN es el mismo o diferente al de la red
interna
Oscar Rojas El 13/07/2013 a las 01:14 Permalink | Responder
hola tengo una pregunta, tengo 2 server 2008 en diferentes cuidades, necesito conectar los 2 para compartir datos, bien
ahora server1 lo necesito usar como proxy, con el server2 tengo usuarios y maquinas fijas, conecto server2 a server1
por vpn y conecta bien necesito utilizar el gateway del server1, esto conecta bien del server2 al server1, el problema es
que los usuarios o maquinas que estan en el server2 (DC) pierden internet, como hago para conectar el server2 al
server1 x vpn y que todo salga por la vpn -el server1 o sea utilizar la ip publica del server1.
le agradezco mucho su ayuda gracias.
Hola Oscar, esta nota se refiere a conectar clientes a un servidor VPN, y permite que los clientes, usuarios que
trabajan desde la casa o en forma remota, se conecten a la red de la empresa
Si lo que buscas es que dos servidores que están en redes diferentes hagan interconexión entre ambas redes
entonces el procedimiento es otro
Revisa las siguientes notas:
Para W2008/W2008R2: Demostración Conectando Redes por VPN con PPTP – (Site to Site VPN) | WindowServer:
https://windowserver.wordpress.com/2012/03/24/demostracin-conectando-redes-por-vpn-con-pptp-site-to-site-vpn/
Para W2012: Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) | WindowServer:
https://windowserver.wordpress.com/2013/02/02/windows-server-2012-conectando-sitios-por-vpn-site-to-site-vpn/
Muchas gracias por la respuesta excelente la nota, le comento que si puedo conectar los 2 servidores y puedo verlos
pero no puedo ver los clientes que estan en la red del otro servidor, tambien le comento del servidor1 es en USA, y
necesito que los usuarios del servidor2 que esta fuera de USA, necesito que salgan por la IP publica del servidor1 para
que puedan navegar en sitos que solo en USA estan disponibles,muchas gracias por su respuesta son de gran ayuda
Primero que nada ¿qué es “no ver”? :-) porque una cosa es el entorno de red, y otra muy distinta es poder acceder.
Por ejemplo PING con nombre o con dirección IP ¿responde?
Si no responde, lo primero a revisar son los cortafuegos, ya que por omisión, salvo los controladores de dominio, los
otros no responden
Si descartamos lo anterior, entonces lo primero a revisar es por el lado de IP
Como ejemplo tomo Sitio1 y Sitio2. El el servidor VPN1 tiene que tener una entrada en la tabla de “Routing”
indicando cómo llegar a la red del Site2 enviándole a VPN2
E igual a la inversa: El VPN2 debe tener una entrada indicando que para llegar a la red de Site1, debe enviar a
VPN1
Respecto al tema de salida a Internet, es otro tema diferente. En VPN2 habría que configurar que la Puerta de
Enlace (Default Gateway) apunte al primer lugar. Lo que habría que ver es cómo hacen en este sitio para controlar el
acceso a Internet. Y cuidado que de esta forma todo irá al sitio central
necesito ayuda servidor1 cuenta con- usuarios en la misma red que la utilizan como puerta de enlace cuando el
servidor1 se conecta al servidor2 en USA por una VPN todo se conecta bien y puedo navegar con el servidor1, ahora
bien los usuarios del servidor1 no pueden conectar a internet, necesito que los usuarios del servidor1 enruten todo por
la vpn para navegar en sitios en USA.
Guillermo Delprato El 19/08/2013 a las 09:06 Permalink | Responder
Hola Oscar, la situación que planteas no es el tema de la nota ya que en esta me estoy refiriendo a conectar clientes
externos a la red, en cambio tu caso es la conexión entre dos servidores que crean la VPN
Por si te pueden ayudar revisa alguna de estas dos notas:
W2008: Demostración Conectando Redes por VPN con PPTP – (Site to Site VPN) | WindowServer:
W2012: Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) | WindowServer:
Además, trato de que estos comentarios sobre la nota no se usen para soporte, ya que tomarían mucha extensión y
se necesitarían muchos más datos. Para el tipo de problema que planteas te sugiero consultes alguno de los foros
de soporte, por ejemplo los foros de Technet
sebastian El 15/11/2013 a las 16:52 Permalink | Responder
URGENTE AYUDA POR FAVOR!

Les cuento, tengo una VPN y UNO de los equipos q se conecta requiere que tenga una direccion ip fija para hacer
andar una impresora fiscal, la VPN esta configurada para q asigne un rango, pero no se como hacer para que a ese
equipo en particular siempre usa esa IP deteminada! alguna idea?? gracias!!
Hola Sebastián, todo bien pero estos comentarios no son un foro de soporte, deberías recurrir alguno de los que hay
Y si me permites dar un par de consejos, no uses mayúsculas ya que se interpreta como gritar, ni pidas cosas con
urgencia pues seguramente te mandarán a uno de pago
Todo bien por mi parte, pero este no es el lugar :)
sebastian El 15/11/2013 a las 20:42 Permalink
si no es una especie de foro, según todo lo leído en este thread estoy muy confundido (o vos) sobre lo q es un un
foro… y si pongo en mayuscula es por q estoy gritando! por q necesito esa info URGENTE q tal ves algun alma
caritavia me la pueda dar… queres q te pague? si sabes lo q estoy preguntando y solo me lo das si te pago no
hay problema, valdria la pena yo luego lo compartiria con la gente q lo necesite gratuitamente como
corresponde… saludos
Guillermo Delprato El 17/11/2013 a las 20:37 Permalink
¿Ya te has serenado? bien, si es así sigue leyendo

Las diferencias entre un foro y un blog son realmente muchas e importantes, desde la plataforma software que se
usa, hasta la forma de contribuir
Un blog permite que uno o varios autores escriban notas de un tema que les parezca interesante, y que pueden
abrir o no comentarios sobre la nota
Acá tienes un ejemplo, y si quieres una definición un poco más completa revisa http://es.wikipedia.org/wiki/Blog
En cambio en foro, no hay notas, hay gente que pregunta y otra que responde, aunque también puede hacer
preguntas. Los foros de Internet generalmente se especializan por temas. Si quieres un
ejemplo: http://social.technet.microsoft.com/Forums/es-es/home
Y si quieres una mejor definción mirá http://es.wikipedia.org/wiki/Foro_(Internet)
He dedicado en el pasado mucho tiempo a los foros, aunque ya no lo
hago http://social.technet.microsoft.com/profile/guillermo%20delprato%20%5Bms-mvp%5D/?
type=forum&referrer=http://social.technet.microsoft.com/Forums/es-es/home?
forum=wsades&filter=alltypes&sort=lastpostdesc
Respecto a cómo dirigirse a otra persona en Internet, hay algunas reglas de educación que normalmente uno
trata de mantener como una forma básica de respeto. Hay muchas, pero si te interesa un poco el tema puedes
comenzar por acá http://es.wikipedia.org/wiki/Netiqueta
Respecto a si cobro o no, ni siquiera la publicidad que puede aparecer en el sitio, y es porque estoy usando la
plataforma (WordPress) en su forma gratuita. Todos los artículos, en este momento más de 200, son para el que
le interese y nada más. Yo tengo otro ingreso del cual vivo
Respecto al problema que tienes, primero que nada recuerda que es TU problema y la responsabilidad que haz
asumido cuando te haz hecho cargo de la posición que ocupas. Así que debes tener en cuenta que tu urgencia
no necesariamente es la urgencia de los demás
Y como si fuera poco, es fácil encontrar la solución buscando en Internet, pero se necesitan más datos ya que no
das la información suficiente, por ejemplo cómo se asignan las direcciones IP a los clientes
De todas formas, y para que veas que voluntad no falta Assign a Windows VPN Client a Static IP – Windows
Networking & Remote Access:
http://msmvps.com/blogs/robwill/archive/2009/11/15/static-ip-for-windows-vpn-client.aspx
sebastian erzi El 17/11/2013 a las 22:17 Permalink
me estas explicando q es un foro?? q manera de perder tu tiempo viejo… gracias por el ultmo link. saludos
Entre otras cosas :D
Iván El 24/01/2014 a las 12:37 Permalink | Responder
Guillermo, me sirvió de mucha ayuda tu Blog, muy bien explicado…..Felicidades y sigue adelante…
¡Gracias por el comentario Iván! Me alegro te sirva
MIguel Correa El 02/04/2014 a las 23:14 Permalink | Responder
Excelente Blog y excelente tino para responder a los desubicados….10 de 10….

He logrado la conexión entre el servidor y el cliente pero no logro poder ver las carpetas ni archivos compartidos del
Server.
He usado el “Net Use” como indicas pero me sale: “Error de sistema 86”
“La contraseña de red especifica no es valida” y ya he probado con todos los usuarios incluido el de administrador el de
la conexión, etc.
Por donde puede estar mi falla??….
Saludos y Gracias de antemano.
Gracias por el comentario Miguel, me alegro te sirva, y respecto a lo otro, si, es así, cuesta a veces, pero hay que
guardar las formas :-)
– ¿La conectividad está? por ejemplo, si haces PING al servidor ¿responde? (cuidado el cortafuegos)
– ¿Qué sistemas operativos en cliente y servidor?
– ¿Que sucede si haces “net use \\Dir-IP-Servidor” en lugar de usar el nombre?
– En el NET USE ¿incluyes “/user: y /password”? porque por omisión envía usuario/contraseña del usuario que inició
sesión en el equipo?
Comenta, a ver si lo podemos solucionar
MIguel Correa El 08/04/2014 a las 23:04 Permalink
Estimado Guillermo gracias por la pronta respuesta, .

– La conectividad si esta, cuando hago ping al servidor, si responde, sin perdidas.
– Los Sistemas Operativos son: Windows Server 2008 y Windows 7 Pro
– Cuando hago: “net use \\Dir-IP-Servidor” solo me indica: “Se ha completado el comando correctamente”….y
nada mas
– Antes me daba otro error, pero ahora me aparece lo siguiente:
“Error de sistema 1219.
Las conexiones múltiples para un servidor o recurso compartido compatible por el mismo usuario, usando más de
un nombre de usuario, no están permitidas. Desconecte todas las conexiones anteriores al servidor o recursos
compartido e inténtelo de nuevo.”
Saludos y Gracias de antemano.
Ya hay dos puntos para revisar de lo que comentas:-)

– “Net use se ha completado…” Al comando le falta la indicación de la unidad “NET USE x: …” o “NET USE * …”
y por supuesto probar si se accede a la unidad mapeada
– Y de todas formas el error 1219 y el texto que da, es justamente el punto importante
Entre un cliente y un servidor (en el sentido más amplio, entre dos máquinas) no puede haber más de una sesión
con usuarios diferentes, esto fue siempre así. Por lo tanto el problema ya está identificado, hace una conexión
con un usuario, y luego con el NET USE tratas de especificarle otro usuario diferente
¿Estás tratando de conectarte al mismo servidor que tiene la VPN? Porque esa sería la causa más inmediata
Algo para probar: Con “NET USE” puedes ver si ya hay una sesión abierta
Y con NET “USE * /DELETE” eliminar todas las sesiones, porque la conexión puede venir de cualquier
configuración, por ejemplo si ya hay un mapeo, por ejemplo, de Documents
MIguel Correa El 09/04/2014 a las 17:42 Permalink | Responder
Hola Guillermo, ya encontré cual era el problema del acceso. En el explorador de Windows del Win7, coloque el nombre
completo del servidor Win2008, y me reconoció el equipo y sus recursos compartidos. Debe ser porque es un Win
Server que requería el nombre completo…Al menos salió.
Pero tengo otra duda que quería consultarte ya que este tema de acceso se soluciono, en un post mas arriba indicas
que la conexión que se debe de hacer es a través de 2 tarjetas de red o conexiones Lan, esta parte no lo entendí muy
bien (“Un servidor VPN permite conectar una “red insegura” con una “segura”. Si tiene una única placa de red permitiría
conexiones desde “red insegura” en una placa que está en una “red segura””).
Ya que en este momento mi servidor win2008 esta conectado al switch de la empresa para que lo usuarios puedan
acceder y loguearse al dominio, pero a la vez esta tarjeta esta configurada para que tenga salida al internet. Como
debería ser la configuración Física y lógica de las tarjetas y cables, etc.???
Como siempre gracias de antemano por tu gran ayuda.
Me alegro se solucionara el tema Miguel

Respecto a la otra pregunta, no hagas que un DC sea servidor VPN, trae variados problemas, desde que un DC con
más de una dirección IP trae problemas, hasta muy importantes de seguridad. Supongo que no pondrás en la
máquina más expuesta a problemas de seguridad de Internet (VPN) a lo más valioso que tienes (la lista de usuarios
y contraseñas del dominio)
El servidor VPN debería tener una placa conectada a la red interna y otra al Router
Ok de acuerdo, pero disculpa la ignorancia en este campo. Cual debería ser la configuración correcta?. Si mi
servidor Windows2008 es mi servidor de Dominio y a su vez servidor de base de datos (BD pequeña porque es
una PYME, es mas solo una de contabilidad) y no hay otro servidor ni equipo disponible. Y tengo un usuario que
esta fuera del local (distancia bien lejos) y que necesita acceder a la base de datos.
Hasta el momento están trabajando que este único usuario que accede a la BD desde afuera se conecta con
ESCRITORIO REMOTO de Windows y utiliza el software directamente en el servidor, lo cual me parece muy
riesgoso para el tema de seguridad y par el tema propio de acceso sin restricción al servidor. Bueno esta es la
figura que yo he encontrado recién que veo este caso.
Espero no abrumarte con este tema pero a raíz de lo que me comentas ya me descuadraste mi sugerencia de
conectarse por VPN para dar solución a este requerimiento.
Muchas gracias
Revisa la documentación del Router a ver si permite actuar como servidor VPN (muchos lo permiten). O hacer
una VPN Router-Router entre el remoto y el local (la mayoría lo permite)
Para no comprometer la seguridad, la otra que queda es poner otra máquina como servidor VPN
Muchas gracias por la ayuda, voy a revisar y proponer el VPN Router-Router. Se que no es el tema del blog, pero
tu voluntad de ayuda y de compartir conocimiento es grande y muy profesional.
Muchas gracias Guillermo nuevamente…Saludos.
Un gusto Miguel
Kingkaizerr El 18/07/2014 a las 17:58 Permalink | Responder
ya alli con esa configuracion puedo acceder el sevidor de maenra de escritorio remoto a?
Una vez que el cliente está conectado por VPN a la red interna, es tal cual como si estuviera localmente
Si recibe la configuración correcta no debería tener problemas con nada
Nestor El 31/12/2014 a las 05:47 Permalink | Responder
Hola Guillermo ,
Gracias por el tutorial.
Quiero implementar una VPN de diversas sucursales a una central.
Te quiero comentar para ver si me quedo claro.
Para que puedan acceder a recursos compartidos de un servidor de la central.
Corrigeme si me equivoco:
SRV1: seria mi servidor local el cual contiene los recursos compartidos.
Aqui deberia configurar:
Ejemplo: 192.168.1.1 ip SRV1 192.168.1.254 puerta de enlace del cortafuegos.
(Esto ya lo tengo ya que tiene conexion a internet)
Y ya esta.
Entonces en mi caso tengo un router y cortafuegos:
Ahora mismo tengo configurado el router para que le derive todos los paquetes al cortafuegos. Debo tener ip publica.
Entonces entiendo que debo abrir algun puerto en el cortafuegos como el 1723? y luego esto debo redireccionarlo a mi
mi SRV1 internamente?
Luego una pregunta des la red donde se conecta el cliente externo windows 7
Debe haver alguna configuracion especial en ese cliente o esa red?
Cuando haga nueva conexion
Debo poner la ip publica para conectarme?
Gracias de antemano
Hola Néstor, voy respondiendo cada una de las preguntas

– La conexión VPN siempre se hace a una IP pública, la que da conectividad a Ineternet
– Algunos Routers ya tienen la redirección de PPTP, pero atención que lo que hay redirigir son un PUERTO (TCP-
1723), y un PROTOCOLO (GRE – Protocol ID47)
– No comprendo bien cómo está hecha la conexión. Si el Router es el “más externo”, entonces la conexión se hace a
la IP pública del Router que debería redirigir a SRV1, permitiendo el paso por el cortafuegos intermedio ¿es así la
conexión?
– Y quizás lo más importante, si la idea es interconectar sucursales, entonces el procedimiento es otro, ya que en
esta nota es para que un cliente se conecte a la red, por ejemplo alguien que trabaja desde su casa, o desde un sitio
remoto. Para interconectar sucursales lo que conviene es directamente interconectar directamente las redes, y no
cada cliente individualmente. Se dice una conexión “Sitio a Sitio”, o “Site to Site” VPN
Tienes dos notas referentes a cómo se hace, dependiendo de la versión del sistema operativo
Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) | WindowServer:
Demostración Conectando Redes por VPN con PPTP – (Site to Site VPN) | WindowServer:
Nestor El 05/01/2015 a las 04:41 Permalink
Hola Guillermo
Gracias por contestar tan rapido y feliz año.
Efectivamente el router es el mas externo y es el que tiene la IP publica. Y este router esta configurado para
derivar todos los paquetes al cortafuegos que es donde tengo definidas todas las reglas.
Entonces entiendo que debo hacerlo en el router.
La idea global es que tengo una sucursal central. Y el resto de sedes deben conectarse a la central. No deben
conectarse entre ellas.
Entonces debo hacer un Site to Site de cada una de las sedes a la central?
Un saludo y gracias de nuevo
Hola Nestor, gracias igualmente, mis mejores deseos para ti

Correcto, en ese caso hay que hacerlo en el Router. El Router debe estar haciendo “Routing”, no “NATing”.
Cuidado con esto
Si estuviera haciendo NAT, entonces las VPN conviene configurarlas en los Routers
Exactamente, debes usar “VPN Site-to-Site”, esto transparentará toda la red. Si no deseas que las sedes se
puedan comunicar entre ellas, puedes hacerlo a nive del cortafuegos, o con filtrado de paquetes en el servidor
VPN
Luis Muro El 01/02/2015 a las 05:12 Permalink | Responder
hola amigo guillermo.

muy bueno tu aporte a todos nosotros que estamos en esta area tecnologica tan cambiante dia a dia…una consulta
amigo, estoy implementando una vpn para conectar un usuario que esta en una planta para que se conecte a una
aplicacion de nomina que esta en el servidor q esta en la sede nueva como a 5 kmts, tengo server 2008 con una sola
tarjeta de red en la sede nueva y en planta los clientes tienen windows 7, en ambos sitios hay internet, ya configure el
servicio de enrutamiento en el servidor y probe localmente y me funciona la vpn, pero cuando realice la prueba desde
planta empleando la ip externa del router me da error 800 y no me conecto al servidor..mi pregunta es que puedo estar
haciendo mal o que me falta,,,porque localmente me funciona la vpn pero externamente no me funciona. Muchas
gracias por tus aportes.
Hola Luis, es muy raro que hayas podido configurar un servidor con una única placa de red como servidor VPN,
porque normalmente no lo permite, ya que la función de VPN es conectar una red “insegura” como por ejemplo
Internet, con una red “segura” como es la interna
El asistente de configuración VPN permite seleccionar cuál será la interfaz externa y coloca filtros IP justamente para
que se pueda conectar únicamente los protocolos de VPN (PPTP, L2TP+IPSec, SSTP y IKEv2)
Ese error (800) es que no llega al servidor, y normalmente se soluciona permitiendo en el Router el protocolo PPTP.
El protocolo PPTP usa PUERTO TCP-1723 y PROTOCOLO 47 (GRE)
Un servidor VPN configurado correctamente no permite conexiones VPN desde el lado interno :)
Buen dia amigo guillermo, gracias por tu respuesta,,,efectivamente el equipo servidor tiene una sola tarjeta de red y
haciendo pruebas puedo conectarme desde la red local, lo cierto tambien es que no he tocado los puertos en el router
porque pensaba q tenia que habrirlos en el firewall de windows solo en el equipo que va ser cliente ……de hecho
configure un usuario local en el servidor con los permisos de conectarse remotamente y es el que estoy usando,,,esta
en lo correcto?
Luis, lo normal es que no funcione VPN con una única placa de red
En el Router, no es sólo abrir, sino que hay que redirigir lo que te comenté antes al servidor interno
Guillermo otra inquietud..le puedo colocar otra tarjta de red al mismo servidor para hacer vpn remoto,, o sea una
externa y otra interna en el mismo equipo donde quiero hacer vpn…este equipo antes tendria un router …¿o se lo
coloco despues el router?? gracias amigo
No tiene sentido Luis una VPN interna, si necesitas cifrado de datos en la red interna es mejor y seguro implementar
IPSec
Para configurarlo “bien” la estructura debería ser:
Internet — Router — PlacaPública-Servidor-PlacaPrivada — Switch Interno
Observando la figura de la nota: el Router debe quedar entre “Internet” y “VPN1”
Luis Muro El 06/03/2015 a las 12:06 Permalink
Hola amigo Guillermo…..

sabes que ya instale el servidor VPN como me indicaste con las dos tarjetas de red y todo ok,,, tengo una Nic
llamada LAN que es la interna y otra Nic llamada WAN que es la externa,,,el cable de red del modem entra a la
tarjeta WAN del servidor y este es el encargado de realizar el DHCP para la red interna 192.168.x.x.,,,ok todo
bien pero los clientes internos no pueden salir a internet y solo el servidor tiene salida,,,Amigo por favor como
hago para que mis equipos internos tengan salida a internet a través del servidor vpn???en los clientes internos
coloco como puerta de enlace la ip del servidor vpn y nada, coloco la ip externa y nada….
Hola Luis Muro, vamos por partes porque hay varios lugares a revisar
Primero que nada aclarar la infraestructura que tengas, porque para no entrar en las múltiples variantes que se
pueden crear, en la esta nota, el servidor tiene la dirección IP pública; esto no siempre es así, todo depende del
tipo de conexión que tengas
Me hablas de un “modem” por lo que supongo que estás usando ADSL ¿es así? Siendo así hay dos posibilidades
de acuerdo a quién haga el discado (llamada) porque ése será el que reciba la IP pública, y puede ser el modem,
o el servidor
Lo más común, por lo menos en “mi ambiente” es que lo haga el Modem (Router)
Si todo es como puse antes, que es la configuración más común, continúo pero recuerda que depende de lo que
puse más arriba
Red Interna: Cualquier direccionamiento IP privado. Para todos los clientes la puerta de enlace debe ser la
dirección IP de la placa INTERNA del servidor VPN
Red Intermedia: como el que recibe la dirección IP pública es el módem/router, no el servidor VPN, ahí hay que
crear otra red, diferente de la anterior. Importante: en la placa EXTERNA del servidor VPN, la puerta de enlace
debe ser la dirección interna del modem/router
Un ejemplo
RedInterna(192.168.1.0/24)PlacaPrivada-SERVIDOR-PlacaPública(192.168.2.0/24)
Ahora hay que permitir el tráfico, tanto de entrada como de salida
En el modem/router, leer la documentación del mismo, pero debería poder configurar que todo lo que llegue a la
IP externa de éste, la envíe a la dirección IP Pública del servidor VPN (Port Forwarding TCP1723 + Protocol 47
GRE)
En el servidor VPN, por omisión, en RRAS en las propiedades de las interfaces de red, quedan filtros IP que
permiten SOLAMENTE los protocolos de VPN, y por lo tanto no pueden navegar los clientes. Hay que modificar
estos filtros para permitir el tráfico a Internet que necesites. Si tienes dudas revisa la
nota https://windowserver.wordpress.com/2011/10/02/demostracin-conectando-clientes-a-la-red-por-vpn-windows-
server-2008-r2-y-windows-7-parte-2-por-l2tp-ipsec-sstp-y-ikev2/ que muestro como modificarlos, con un
SALVEDAD importante, como la demostración era para otros protocolos y para no complicar la demo permití todo
el tráfico entre red interna e Internet. Esto NO hay que hacerlo, sería como exponer toda tu red interna en Internet
Y MUY IMPORTANTE, cuidado con el tema seguridad, ¿quién hace de cortafuegos? ¿el modem/router? ¿el
servidor VPN? cuidado…
Y un detalle más, el modem/router no puede hacer de DHCP para red interna, simplemente porque no está
conectado a esta :)
Me vas a hacer escribir un libro acá :)
hola amigo Guillermo…jajajaj esta bueno lo del libro…amigo mi esquema es que mi proveedor me suministra el servicio
de internet por un router mikrotic, el cual me hacia el servicio dhcp 192.168.x.x a los equipos internos,y le dije que como
estaba configurando un vpn con dos tarjetas de red, quería que el servidor que uso de vpn en una de sus tarjetas
recibiera la ip externa y administrara el dhcp a la red interna, por lo tanto configure el servicio servidor dhcp y
enrutamiento, o sea que llega directo la ip externa en una de las tarjetas de red de mi server vpn y la otra tarjeta a la red
interna la cual configure con el mismo rango de direcciones 192.168.100.x,,solo habilite el protocolo pptp pero cuando
cuando quise conectarme desde casa a la oficina me daba error 800, la pregunta que surge es que si ahora debo abrir
los puertos en el server vpn,,,y también mis equipos internos no tienen acceso a internet,,solo el server vpn,,,como hago
que los equipso internos tengan internet ahora por el server vpn???Mil gracias amigo…
Hola Luis, teniéndolo como dices es más fácil de configurar

Error 800, es que no llega, no responde el servidor. Para este caso hay que revisar en el Router que no esté filtrando
paquetes, que deje pasar PPTP, quizás deberías consultarlo con el proveedor, o a lo mejor hasta puedes pedirle
ayuda para el caso :)
El tema que los clientes salgan a Internet, pasa por dos lugares: que puedan resolver nombres, y los protocolos que
usen (HTTP, HTTPS, o los que uses). Para el primero que pueda pasar DNS (UDP53 y TCP53), y HTTP y HTTPS
para navegar
Esto lo debes permitir en las propiedades de las conexiones, en RRAS, debes permitir el tráfico en “Inbound filters” y
“Outbound filters” (revisa el enlace que puse en la nota anterior si no lo encuentras). Este tráfico lo debes permitir
desde la red interna, hacia Internet (Todas)
hola Guillermo, de verdad que esto me esta sacando canas,,,no se porque con 2008 se me complica tanto,, lo he
realizado con 2003 y todo bien,,,bueno…resulta que por fin termine de configurar el servidor de enrutamiento y
acceso remoto,,,lo instale vpn con nat…ya que necesito que los equipos internos tengan acceso a internet,,ya
que es importante…pero hay un detalle,,resulta que los clientes internos de mi lan no salen a internet,,, luego
coloque la dirección ip externa como Gateway en la tarjeta lan interna y pudieron salir a internet pero después
que reinicie el equipo servidor no salieron mas….mi configuración es como sigue:::INTERNET+ NIC.WAN-
SERVIDOR+ NIC.LAN-SERVIDOR+ SWITCH RED INTERNA…tengo configurado en el servidor los servidores::
DNS + DHCP + RRAS…TODO ESTO LO CONFIGURE AYER, los equipos internos se conectan a la red
perfectamente y acceden a los recursos,,,pero no tienen acceso a internet,,,fue por un ratico y nada
mas,,,realmente no entiendo que paso o que hice mal…por favor alguna sugerencia mi amigo…muchas gracias
como siempre…
Hola Luis, veo tus dos comentarios, éste y el que sigue

El Default Gateway de todas las máquinas de la red interna debe ser la interfaz interna del servidor. Esto es
básico, el DefGat es la puerta de salida. Imagina si la puerta de salida de tu habitación estuviera en otra :D Por lo
tanto la dirección del Default Gateway obligatoriamente tiene que estar en la misma red, y por lo tanto es la
interfaz interna del servidor VPN/NAT
Si le pones como puerta de enlace para llegar a sitios remotos, una puerta que ya es remota, no hay forma de
llegar a ningún lado externo ¿se comprende?
Sigo en tu otro mensaje

el direccionamiento de mi red es como sigue::tenemos un enlace que estaba conectado al router que hacia los servicios
de DNS. DHCP Y GATEWAY,,,PERO COMO EL SERVIDOR TIENE DOS TARJETAS LA IDEA ES QUE ESTOS
SERVICOS LOS ADMINISTRE EL SERVIDOR, POR ESO CONFIGURE DHCP-DNS Y AHORA RRAS EN EL
SERVIDOR…POR EJEMPLO.
ip EN LA TARJETA WAN: 190.142.200.215
MASK EN LA TARJETA WAN: 255.255.252.0
GATEWAY EN LA TARJETA WAN: 190.142.216.15
CON SUS RESPECTIVOS DNS..
ip EN LA TARJETA LAN: 192.168.100.14
MASK EN LA TARJETA LAN: 255.255.255.0
GATEWAY EN LA TARJETA LAN:192.168.100.14
CON SUS RESPECTIVOS DNS..192.168.100.14 Y 8.8.8.8
como te comente que tengo instalado el RRAS como VPN y NAT, y los equipos internos no salen a internet ,,entonces
coloque la ip wan externa en el Gateway de la ip lan 190.142.200.215, salieron por un momento pero no tuvieron
conexión de nuevo….por favor si sabes que esta mal o tienes algún tutorial de RRAS con VPN y NAT que me lleve paso
en la configuración corecta te lo agradecería amigo por favor…muchas gracias de nuevo…
Sigo acá Luis

El servidor VPN/NAT debe tener Defautl Gateway únicamente en la interfaz externa, y este dato se lo debes
preguntar al proveedor de Internet, salvo que la dirección que te asigne sea en forma dinámica en cuyo caso te la
configura automáticamente el proveedor de Internet
Para que los clientes puedan salir a Internet, tienen que cumplirse dos condiciones:
1.- Que puedan resolver nombres a direcciones IP. Esto lo hace el servicio DNS. Y lo puedes probar con
NSLOOKUP
2.- Que tengan conectividad IP. Esto lo puedes probar con PING, pero asegurándote que sea a una dirección o
nombre que responda a ICMP, pues en la mayoría de los casos está filtrado. Por ejemplo un
PING http://WWW.GOOGLE.COM funciona
Si tú configuras un servidor DNS, lo normal es que le configures Reenviadores (Forwarders) a los DNSs del
proveedor de Internet, o si quieres a los de Google (8.8.8.8 y 8.8.4.4). Esto mejora el rendimiento
En los datos que pones hay errores ¿son los reales? Comento sólo algunos
——-
ip EN LA TARJETA WAN: 190.142.200.215
MASK EN LA TARJETA WAN: 255.255.252.0
GATEWAY EN LA TARJETA WAN: 190.142.216.15
CON SUS RESPECTIVOS DNS..
——
O está mal la máscara, o está mal el gateway, son remotos
——
ip EN LA TARJETA LAN: 192.168.100.14
MASK EN LA TARJETA LAN: 255.255.255.0
GATEWAY EN LA TARJETA LAN:192.168.100.14
CON SUS RESPECTIVOS DNS..192.168.100.14 Y 8.8.8.8
——-
Si el servidor es DNS, entonces como DNS tiene que apuntarse a sí mismo. Y no tiene que tener DefGat
configurado, debe estar en blanco
Recién ahora me dices que tienes NAT, hemos perdido tiempo en los comentarios anteriores hablando de los
filtros… :(
Por favor revisa bien el artículo, que está claramente explicado en cada uno qué tiene configurado como Gateway
Hola amigo Guillermo,,,realmente la instalación del servicio NAT fue reciente, ya que necesitaba que los internos
salieran a internet…gracias por tu paciencia y me has enseñado como todo un profesional que eres por eso
pienso que lo que no hemos perdido tiempo, porque he aprendido mucho,,,claro lo del nat a ultima hora se me
chispoteo, te pido disculpas…los datos de la lan son los corrrectos y los de la wan son LOS Q ME DA EL ISP
SON FIJOS:
IP WAN:xxx.xxx.168.250
mask:255.255.255.252
GATEWAY: xxx.xxx.168.249
DNS:xxx.xxx.168.249 Y 8.8.8.8
sEGUI TU CONSEJO Y COLOQUE LOS REENVIADORES LAS IP DE GOOGLE Y LA RECURSIVIDAD TENIA
FALLAS Y AHORA ESTA ESPECTACULAR…VOY A CONFIGURAR EL VPN Y NAT A VER SI RESUELVO
ESTO HOY…CUALQUIER COSA TE AVISO AMIGO…GRACIAS.
Hola Luis, me alegro pudieras solucionar

¡Ahora a lo que falta!
PD) Borré en tu comentario parte de las direcciones públicas, por un tema seguridad, nunca publiques tu direción
real en forma pública
Hola amigo,,,he observado que en la configuración inicial del servidor VPN, colocaste un rango de direcciones
para asignar a los clientes vpn…,,pero este rango no esta dentro de ninguno de los rangos configurados en el
servidor VPN en la tarjeta lan interna 192.168.1.254…mi pregunta es…no importa el rango que coloques aqui
para repartir?? esto solo se le asigna a los clientes vpn y no afecta a los clientes internos?? Gracias amigo por tu
respuesta…..
Hola Luis, ese rango de IPs es sólo para los extremos de la VPN, en este caso una dirección IP adicional que
recibirá tanto el cliente como el servidor VPN
Se puede hacer de dos formas diferentes, y en ambos casos funciona
1.- Si utilizas un rango de IPs de la red interna, debes asegurarte que no se dupliquen IPs, y el servidor funciona
como una especie de “proxy de ARP”
2.- Como hice en la nota con un rango totalmente diferente, entonces el servidor funciona como enrutador, y tiene
la ventaja que eventualmente puedes aplicar filtros de IP para limitar la conectividad
omar martinez El 23/04/2015 a las 15:49 Permalink | Responder
Hola Guillermo quisiera saber si me puedes ayudar mira yo tengo un servidor con el cual doy servicio de enrutamiento y
acceso remoto por telefono ahora quisiera saber como puedo ver a que sitios entran mis clientes o las paginas q visitan
Hola Omar, por temas de extensión y cantidad de datos necesarios no puedo hacer soporte en estos comentarios
que son específicamente sobre la nota. Ayudo cuando puedo orientar y nada más
Por lo que comentas, no comprendo si los clientes “entran” a tu red (hablas de acceso remoto), o si por el contrario
la idea es controlar a tus clientes internos dónde salen
Para el primer caso hay que implementar auditoría de seguridad en tus servidores
Para el segundo, se puede lograr con un cortafuegos que loguee la info, no con el sistema operativo solamente
omar martinez El 23/04/2015 a las 16:44 Permalink
no yo les doy servicios a mis clientes a treves de mi servidor pero lo que quiero es ver a que lugares se conectan
sin nesesidad de tener que poner un proxy o cortafuegos es saver si mediante un comando o otra herramienta
puedo saber las paginas que vicitan
Omar, para lo que quieres necesitas justamente un proxy o cortafuegos con posibilidad de “logging”
Oswaldo Mayaute El 04/08/2015 a las 14:17 Permalink | Responder
felicitaciones, muy bueno el tutorial es de gran ayuda pero lo único es que cuando hago el ultimo paso con la cuenta de
administrador con net use no puedo conectarme a pesar de que hace ping a srv1 y a vpn1 sin problemas, por ende no
puedo ver la carpeta compartida en srv1
Oswaldo, sin saber cuál es el error sólo puedo adivinar

Para ver los compartidos el comando es “NET /VIEW \\NombreServidor”
“NET USE” es para mapear unidades: NET USE x:\ \\srv\compartido
Oswaldo Mayaute El 04/08/2015 a las 16:24 Permalink

Gracias por tu respuesta inmediata, me estaba refieriendo a la ulktima imagen la cual pones “net use j:
\\192.168.1.1(este es el srv1)\shared (recurso compartido)/user:administrator(este es el usuario srv1)
Pa$$w0rd(esta es su contraseña)
cuando ejecuto esta linea me sale error de sistema 67 no se encuentra el nombre de red especificado, en l tutorial
que por cierto es muy bueno, especificas que tiene que haber un usuario y contraseña validos en srv1 en este
caso con la cuenta de administrador. Hice los pasos pero aun no puedo ver las carpetas compartidas ni con el net
view.
saludos.
¿La conexión a la VPN la hace bien? confirma con IPCONFIG cuando esté conectado que reciba dirección para
el tunel
Mueve el cliente a la red interna, y trata nuevamente con el NET VIEW \\Srv1
De esa forma acotamos el problema, si es de SRV1 o de VPN1
Oswaldo Mayaute El 04/08/2015 a las 17:26 Permalink | Responder
El ip config me da ip del tunel configurado en vpn1, si hago ping a los dos sevidores corren normalmente esto es con el
cliente conectado por vpn, movì el cliente a la red interna: con el net view no accede pero si voy a ejecutar y le pongo
las ips de los sevirdores puedo entrar a los recursos compartidos, al parecer todo esta ok pero no entiendo que ocurre
con el comando net, anteriormente para ver net view \\srv1 tuve que encender varios servicios y tambien el servicio
examinador de equipos y pude ver el vpn1 hacia el srv1
gracias
Oswaldo, si en la red interna no accede el problema está en SRV1

Por ejemplo revisa https://support.microsoft.com/en-us/kb/843156
Y por supuesto que en la red interna tiene que tener dirección IP válida para la red interna donde está SRV1
¿Y qué eso de encender servicios? ¿te refieres sólo a Examinador o hay alguno más que hayas detenido? porque
examinador no tiene ninguna relación con poder acceder o no, es sólo para ver el entorno de red, pero no implica
poder conectarse o no
Estos comentarios no son para soporte, son sobre la nota y ayudo cuando puedo, mejor dirígete por favor a un foro
de soporte, por ejemplo https://support.microsoft.com/en-us/kb/843156
Oswaldo Mayaute El 04/08/2015 a las 23:47 Permalink
Ok muchas gracias
Angelfb El 18/08/2015 a las 03:32 Permalink | Responder
Buenos días Guillermo,

A ver si me puedes ayudar, te explico.
Tengo usuarios que están trabajando en casa del cliente, pero por motivos de coordinación con el equipo que esta en la
oficina de nuestra empresa necesitan trabajar con las dos redes al mismo tiempo, pero si conectan con la VPN de la
empresa pierden la conexión de la red del cliente y lo que necesitan es trabaja con las dos redes al mismo tiempo,
utilizamos una VPN de windows estándar y ya he probado marcando el check de “Usar la puerta de enlace
predeterminada en la red remota” sin éxito, también he probado de meterle un add route, pero creo que lo he hecho
mal, ya no se que mas puedo hacer, pero seguro que se puede.
Por favor si me puedes ayudar.
Muchas gracias.
Hola Angelfb, para llegar a la solución hay que conocer muchos más datos, no es sólo sacar que use la puerta de
enlace remota
Antes que nada debes hacer un ROUTE PRINT -4 y prestarle mucha atención a cada entrada
Si no ves las redes que necesita conectarse hay que hacer entradas en la tabla con ROUTE ADD
En general lo más fácil es tener una puerta de enlace ylas demás a mano
Un detalle a tener en cuenta muy importante es las IPs de la VPN son de un rango de la red a la que se conecta o
no, ya que puede hacerse de cualquiera de las dos formas
JPierre PTang El 02/12/2015 a las 02:06 Permalink | Responder
Una consulta, un mismo servidor fisico puede ser Servidor de AD, DNS, DHCP y VPN a la vez?
Se podría, pero desde ningún pusto de vista es una buena opción

Un servidor VPN necesita dos interfaces de red, esto trae problemas en la configuración de Active Directory, y
además es muy malo desde el punto de vista seguridad ya que sería exponer “lo más valioso” como son usuarios y
contraseñas
Además en todos los servicios habría que hacer configuraciones adicionales a las normales
Buch El 14/03/2016 a las 01:46 Permalink | Responder
Excelente nota Gullermo, lo implemente pero tengo problemas cuando el equipo remoto se conecta no alcanza la LAN,
que estoy haciendo mal?
Hola Buch, imposible que yo lo sepa :)

Hay muchas posibilidades, no queda otra que revises cada uno de los pasos. Inclusive si tienes un Router entre el
VPN e Internet, configura para que redirija al VPN, TCP-1723 y Protocolo 47
normandos El 02/08/2016 a las 15:22 Permalink | Responder
Hola, he hecho todos los pasos y me ha ido bastante bien, hasta ejecutar el net use en el cliente, me dice “no se ha
encontrado la ruta de acceso a la red”. En tu ejemplo, estimo que “j:” corresponde a cualquier letra que le quieras
asignar al disco compartido y no refleja necesariamente la letra dle disco donde esta literalmente la carpeta compartida
(en mi caso en C:).
Entonces pongo net use J: \\192.168.1.2(ip de la tarjeta de red del servidor que va hacia afuera)\Shared /user etc etc
Me dice que la ruta está mal. Mi carpeta se llama Shared, está compartida y está en el C de mi server con ip
192.168.1.2
Que podría estar mal?
Muchas gracias.
Carlos.
La máquina esa que tiene la carpeta compartida ¿tiene como puerta de enlace a la dirección IP interna del servidor
VPN?
Si puedes baja unos instantes el cortafuegos de donde está la carpeta compartida y prueba un PING. Si no
respondiera decime exactamente cuál es el mensaje de error que da
normandos El 02/08/2016 a las 17:03 Permalink
Guillermo, he podido “ver” la carpeta yendo por el cliente a “Conectar unidad de red” dentro de “Equipo” en W7.
La puerta de enlace del servidor VPN es la dirección interna del router, o sea por donde sale a Internet. La tarjeta
de red que conecta con el router tiene la 192.168.1.2 en el servidor, el router tiene la 192.168.1.1 de allí que la
puerta de enlace del servidor es la 192.168.1.1, no se si estamos hablando de lo mismo y si eso contesta tu
pregunta.
Hola normandos, relee por favor mi respuesta anterior, y trata de ser posible más datos, yo no conozco tu
infraestructura :)
Vuelvo con la pregunta: La máquina que tiene la carpeta compartida ¿tiene como puerta de enlace a la IP interna
del servidor VPN?
¿El orden de conexión es PCconCarpetaCompartida — VPN — Router — Internet — ClienteVPN? ¿o el servidor
VPN está conectado directamente a Internet, y el Router es otra conexión?
El servidor VPN con dos interfaces de red, no puede tener la misma red IP en ambas conexiones, no pasará
tráfico si es así
normandos El 03/08/2016 a las 20:04 Permalink
La maquina que tiene la carpeta compartida ES el Servidor VPN, este sale a traves de un router a Internet, por
ello te decia que tiene como puerta de enlace la ip del router.
Hola normandos, ahora sí comprendo :)

Prueba usando \\IP-InternaDelVPN porque me da la impresión que al poner nombre y la máquina tiene dos
interfaces esté tratando de conectarse por la interfaz externa, o inclusive la de la VPN
Revisa que tanto la interna como la de la VPN las esté tomando como Privada o Dominio si fuera el caso
Jorge El 17/09/2016 a las 16:31 Permalink | Responder
Excelente post!!!
¡Gracias Jorge!
Rene Fernandez El 20/09/2016 a las 17:49 Permalink | Responder
hola tengo una vpn y al conectarme me sale error 800 ya hable con mi proveedor de internet y me habilitaron los
puertos desde el 1701 a 1743 pero aun me sigue saliendo erro 800
Estos son comentarios sobre la nota, y oriento cuando puedo, pero no es para soporte. Te aconsejo pongas la
pregunta en un foro de soporte, como por ejemplo los de Technet en español
(https://social.technet.microsoft.com/Forums/es-ES/home) y trates de dar datos más claros para que alguien pueda
responderte
Alvaro castillo El 17/11/2016 a las 13:21 Permalink | Responder
Hola, antes que nada muchas gracias por el aporte, una pequeña duda es el de la mascara de subred , ¿ Por que el
servidor vpn asigna una mascara 255.255.255.255 ?.
Un saludo.
Hola Alvaro, con una máscara 255.255.255.255 cualquier dirección IP la ve como si fuera remota, y por lo tanto
envía todo por la VPN
Es similar a ponerle una Puerta de Enlace sobre la VPN. Y es uno de los motivos por los cuales algunos dicen
“cuando me conecto a la VPN me desconecta de Internet”, lo cual no es así, sino que envía todo por la VPN
No sé el tipo de conexión a Internet que tienes, pero en general los que se conectan con ADSL directo tienen
también esa máscara de subred
Alvaro castillo Veĺez El 17/11/2016 a las 17:20 Permalink
Gracias Guillermo por tu pronta respuesta , es que me hago un lio con esta mascara , por que por ejemplo en un
firewall que tengo en la ayuda dice, para permitir el acceso al firewall solamente a un host en el apartado
respectivo para configurar esta opción escribe la ip de ese host y ponl como mascara la 255.255.255.255 .
Ademas en teoría ,un equipo al tener una mascara 255.255.255.255 no pertenece a ninguna red , pero un equipo
cliente conectado por vpn le puedes hacer ping y acceder al mismo.
Un saludo y nuevamente agradecerte por tu blog que me ha salvado la vida algunas veces.
Hola Alvaro, no es el lugar, ni lo extenso permite hacer una explicación de direccionamiento IP, pero una ayuda
para que sigas viendo el tema
La máscara de subred indica cuántos bit pertenecen al identificador de red
Una dirección IP w.x.y.z máscara 255.255.255.255 indica que esa es la red, y por lo tanto contiene sólo una
dirección ip
Pero para otra máquina con dirección IP w.x.a.b máscara 255.255.0.0 se puede comunicar con la anterior porque
está en la misma red
Una máscara 255.255.255.255 verá cualquier otra dirección IP como remota, y por lo tanto todo lo enviará a la
Puerta de Enlace, y que éste equipo haga la entrega final
¿No lo estarás probando desde adentro? ¿porque es válido solamente desde afuera?
Trackbacks
Por Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 2 por L2TP-IPSec, SSTP
y IKEv2 « WindowServer el 02/10/2011 a las 16:55
[…] Esta nota supone que está disponible y funcionando correctamente lo ya descripto en la primera parte
Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte … […]

Demostración Conectando Clientes A La Red Por VPN - Windows Server 2008-R2 y Windows 7 - Parte 1 Por PPTP - WindowServer

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Demostración Conectando Clientes A La Red Por VPN - Windows Server 2008-R2 y Windows 7 - Parte 1 Por PPTP - WindowServer

Cargado por

Copyright:

Formatos disponibles

Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7

Interfaz interna: 192.168.1.254/24

CL1: Windows 7, cliente que se conectará remotamente

Un diagrama para que sea más claro

Elgiré asignar un rango específico de direcciones IP para la VPN

Desde Administrative Tools / Computer Management

LinkedIn Twitter Correo electrónico Imprimir

Windows Server 2012 Windows Server 2012: Windows Server 2012:

« Demostración Conexión Remota por SSTP Introducción a IPv6 – 1 ¿Por Qué? »

Alexander Chozo El 12/12/2011 a las 18:18 Permalink | Responder

Delprato El 13/12/2011 a las 07:07 Permalink | Responder

GLT El 27/12/2011 a las 19:33 Permalink | Responder

Delprato El 28/12/2011 a las 20:07 Permalink | Responder

Percy Villanueva El 24/01/2012 a las 20:26 Permalink | Responder

Delprato El 25/01/2012 a las 07:24 Permalink | Responder

Percy Villanueva El 25/01/2012 a las 19:19 Permalink

Delprato El 26/01/2012 a las 06:50 Permalink

daniel El 09/08/2012 a las 14:48 Permalink | Responder

Delprato El 09/08/2012 a las 15:19 Permalink | Responder

Gracias por el comentario Daniel

carlos martin El 27/11/2012 a las 10:01 Permalink | Responder

Delprato El 27/11/2012 a las 15:11 Permalink | Responder

David El 10/12/2012 a las 05:38 Permalink | Responder

Hola. Buen tutorial. Tengo un par de consultas:

Delprato El 10/12/2012 a las 15:22 Permalink | Responder

Hola David, contesto usando los números de las preguntas

Delprato El 11/12/2012 a las 16:18 Permalink

Revisa la siguiente figura

David El 12/12/2012 a las 07:21 Permalink

Delprato El 12/12/2012 a las 14:32 Permalink

David El 13/12/2012 a las 12:02 Permalink

Sistemas El 08/01/2013 a las 08:15 Permalink | Responder

Delprato El 08/01/2013 a las 08:47 Permalink | Responder

Hola Sistemas, el tutorial lo he preparado yo no David :-)

Delprato El 08/01/2013 a las 09:36 Permalink

Maria Teresa Gelvez El 28/05/2013 a las 20:21 Permalink | Responder

Delprato El 28/05/2013 a las 20:30 Permalink | Responder

Hola María Teresa

Oscar Rojas El 13/07/2013 a las 01:14 Permalink | Responder

Delprato El 13/07/2013 a las 08:37 Permalink | Responder

Oscar Rojas El 17/07/2013 a las 19:06 Permalink | Responder

Delprato El 18/07/2013 a las 09:09 Permalink | Responder

Oscar Rojas El 19/08/2013 a las 02:09 Permalink | Responder

Guillermo Delprato El 19/08/2013 a las 09:06 Permalink | Responder

sebastian El 15/11/2013 a las 16:52 Permalink | Responder

URGENTE AYUDA POR FAVOR!

Guillermo Delprato El 15/11/2013 a las 18:20 Permalink | Responder

Guillermo Delprato El 17/11/2013 a las 20:37 Permalink

¿Ya te has serenado? bien, si es así sigue leyendo

sebastian erzi El 17/11/2013 a las 22:17 Permalink

Guillermo Delprato El 18/11/2013 a las 08:04 Permalink

Entre otras cosas :D

Iván El 24/01/2014 a las 12:37 Permalink | Responder

Guillermo Delprato El 24/01/2014 a las 14:01 Permalink | Responder

¡Gracias por el comentario Iván! Me alegro te sirva

MIguel Correa El 02/04/2014 a las 23:14 Permalink | Responder

Excelente Blog y excelente tino para responder a los desubicados….10 de 10….

Guillermo Delprato El 03/04/2014 a las 08:16 Permalink | Responder

MIguel Correa El 08/04/2014 a las 23:04 Permalink

Estimado Guillermo gracias por la pronta respuesta, .

Guillermo Delprato El 09/04/2014 a las 08:58 Permalink

Ya hay dos puntos para revisar de lo que comentas:-)

MIguel Correa El 09/04/2014 a las 17:42 Permalink | Responder