Conexión VPN entre 2 servidores

nwadham 12 junio 2008 16:44

⋮

Hola,

Tenemos 2 servidores Windows (uno 2000 y otro 2003) conectados entre sí por un cable cruzado para poder comunicarse entre sí a través de una segunda tarjeta de red que tiene cada uno de ellos. Cada uno es servidor DHCP, DNS y Exchange, y controlador de dominio de sus respectivas redes a través de sus tarjetas de red "principales", las cuales tienen IP fija. La red del 2000 está en el rango 192.168.6.0 y la del 2003 en el 11.0.0.0

En uno de los servidores (2000) la ip de esta segunda tarjeta es 10.0.0.1 255.0.0.0 y en el otro (2003) 10.0.0.2 255.0.0.0, sin puertas de enlace ni DNSs en las configuraciones. El servidor 2000 puede hacer ping a la IP 10.0.0.2 del 2003 y viceversa.

A ambos servidores los queremos utilizar como puertas de enlace de sus respectivos clientes de dominio (todos Windows XP profesional en ambas redes) y, a través de las segundas tarjetas de red y los servicios de acceso remoto (RRAS) de ambos servidores, hacer posible que los clientes de cada una de estas redes pueda acceder a los recursos de la otra.

Una de las primeras cosas que intenté fue, en el RRAS de ambos, crear una ruta estática que diga, por ejemplo: si vas al rango de IP's 11.0.0.0, ve por la segunda tarjeta (10.0.0.1), ésto en el 2000. Si vas al rango 192.168.6.0, ve por la segunda tarjeta 10.0.0.2, ésto en el 2003.

Esta solución no me llevó a ningún sitio, así que, aprovechando que ambos servidores estaban físicamente conectados por las segundas tarjetas, se me ocurrió borrar las rutas estáticas anteriormente citadas y añadir una conexión en demanda (demand dial) en sus RRAS respectivos en caso de que quisiesen acceder a las IP's de la otra red... y funciona!

El 2000 tiene una conexión en demanda configurada para "llamar" a la IP 10.0.0.2 por VPN en caso de necesitar acceder al rango 11.0.0.0

El 2003 tiene una conexión en demanda configurada para "llamar" a la IP 10.0.0.1 por VPN en caso de necesitar acceder al rango 192.168.6.0

Cuandos ambas conexiones en demanda (VPN's) están conectadas, ambos servidores se ven, se hacen ping, pueden abrir carpetas compartidas, etc.

¿Cual es el problema entonces? Los clientes de la red 192.168.6.0!. Os digo como están configurados con ejemplos, dependiendo de la red en la que están:

Ej. de cliente de la red del 2003: IP: 11.0.0.2, máscara de subred: 255.0.0.0, puerta de enlace: 11.0.0.1 (IP de la tarjeta principal del servidor 2003) DNS1: 192.168.6.96 (IP de la tarjeta principal del servidor 2000), DNS2: 11.0.0.1 ---------- Los clientes de esta red pueden acceder a los recursos de la otra red, hacer ping, etc...

Ej. de cliente de la red del 2000: IP: 192.168.6.2, máscara de subred: 255.255.255.0, puerta de enlace: 192.168.6.96 (IP de la tarjeta principal del servidor 2000) DNS1: 11.0.0.1, DNS2: 192.168.6.96 --------- Los clientes de esta red, al intentar hacer ping, por ejemplo, al nombre del servidor 2003, son capaces de resolver la IP, pero el ping a la IP da siempre "tiempo de espera agotado"

¿Alguna idea al respecto de todo esto? (No vale decirme que me compre un router, que la economía anda flojilla :()

JoeDalton 12 junio 2008 21:33

⋮

Madre de dios... vaya tinglado, bueno vamos por pasos:

Recomendación #1: No es conveniente tener DCs con doble tarjeta de red y dos rangos de ips, te puede generar problemas a los clientes.

Recomendación #2: No es conveniente tener Exchange en un DC

Recomendación #3: No es conveniente usar RRAS en un DC

Recomendación #4: No te hace falta VPN para conectarlo.

Recomendación #5: Elegir la red 11.x.x.x es una mala elección ya que es un rango público, usa un direccionamiento privado, como 192.168.7.x por ej.

Ahora para solucionar el problema:

1. El servicio de enrutamiento y acceso remoto ha de estar iniciado.

2. Los clientes de la red 192.168.6.0/24 han de tener como default GW la ip del servidor de su red.

3. Los clientes de la red 11.0.0.0/8 han de tener como default GW la ip del servidor de su red.

4. Agrega la siguiente ruta en el servidor 2000: route add 11.0.0.0 mask 255.0.0.0 10.0.0.2 -p

5. Agrega la siguiente ruta en el servidor 2003: route add 192.168.6.0 mask 255.255.255.0 10.0.0.1 -p

Y si no tienes ningún firewall corriendo o softare que filtre tráfico, deberás de llegar de una red a otra.

Luego ya como sugerencias te diría que agregaras resolución dns de un AD al otro AD, es decir, tu dominio 2000 se llama dominioA.local, te recomiendo que configures el dns del 2000 para que haga consultas al dns del dominio 2003 (por ej. dominioB.local) y viceversa, así cuando resuelvas nombres host.dominioA.local desde el otro dominio te resuelva la IP, al igual que si necesitas acceder a recursos de un servidor de una red a otra, establezcas relaciones de confianza. Pero bueno, esto son cosas adicionales por si te surge la necesidad.

Un saludo.

✖

nwadham 13 junio 2008 10:46

⋮

Madre de dios... vaya tinglado, bueno vamos por pasos:

Correcto, un tinglado del copón! Y ante todo, gracias por responder tan rápidamente.

Recomendación #1: No es conveniente tener DCs con doble tarjeta de red y dos rangos de ips, te puede generar problemas a los clientes.

Por ahora no hemos descubierto ningún problema en los clientes de ambas redes (lo único diferente que hemos descubierto es que ahora aparecen los nombres de ambos dominios en Redes de Microsoft Windows al explorar Mis Sitios de Red.

Recomendación #2: No es conveniente tener Exchange en un DC

Uff, ésto lo hemos tenido así en muchas otras oficinas durante años y sin problemas. Tomo nota de la recomendación de todas formas :)

Recomendación #3: No es conveniente usar RRAS en un DC

Uff idéntico al anterior.

Recomendación #4: No te hace falta VPN para conectarlo.

Te creo.

Recomendación #5: Elegir la red 11.x.x.x es una mala elección ya que es un rango público, usa un direccionamiento privado, como 192.168.7.x por ej.

OK, ésto suena a algo que habrá que hacer... Realmente pensaba que este rango no podía ser público (es obvio que no lo consulté en el IANA)

Ahora para solucionar el problema:

1. El servicio de enrutamiento y acceso remoto ha de estar iniciado.

Sí.

2. Los clientes de la red 192.168.6.0/24 han de tener como default GW la ip del servidor de su red.

3. Los clientes de la red 11.0.0.0/8 han de tener como default GW la ip del servidor de su red.

Así los tengo configurados ambos.

4. Agrega la siguiente ruta en el servidor 2000: route add 11.0.0.0 mask 255.0.0.0 10.0.0.2 -p

5. Agrega la siguiente ruta en el servidor 2003: route add 192.168.6.0 mask 255.255.255.0 10.0.0.1 -p

OK, -p significa permanente, ¿pero habrá que reiniciar el servidor para que el cambio surta efecto? ¿Es este proceso idéntico a añadir una ruta estática en el RRAS de forma manual?

Y si no tienes ningún firewall corriendo o softare que filtre tráfico, deberás de llegar de una red a otra.

Sí, tenemos un firewall, pero en esta configuración (o intento de la misma) ha quedado por ahora fuera de la "fórmula" (vamos, que no lo usamos)

OK, esto sería rizar el rizo pero por ahora voy a ir probando los cambios que me has recomendado...

Un saludo.

¡Otro y gracias de nuevo!

✖

nwadham 13 junio 2008 13:44

⋮

Hola Joe Dalton,

He añadido esas rutas permanentes y los servidores se pueden acceder el uno al otro perfectamente (de 192.168.6.1 a 11.0.0.1 y viceversa) pero no pueden acceder ni hacer ping a ningún otro ordenador de la otra red, es decir, que sólo se ven el uno al otro y a nadie más...

¿Alguna idea?

✖

JoeDalton 14 junio 2008 03:21

⋮

Una traza desde un puesto desde 192.168.6.x hasta 11.0.0.2 donde se queda?

✖

nwadham 14 junio 2008 11:12

⋮

✖

JoeDalton 14 junio 2008 12:03

⋮

✖

nwadham 16 junio 2008 15:05

⋮

✖

JoeDalton 16 junio 2008 15:07

⋮

✖

nwadham 16 junio 2008 15:16

⋮

✖

nwadham 4 julio 2008 14:12

⋮

✖

JoeDalton 4 julio 2008 17:23

⋮

✖

nwadham 4 julio 2008 17:44

⋮