VPN, Uniendo delegaciones mediante acceso remoto, Site to site

Unir dos delegaciones

Hola hoy voy a explicar como conectar dos redes remotas por VPN, lo que viene a ser la unión de dos delegaciones. Yo siempre había usado VPN en forma de acceso remoto para conectar equipos a uno central pero no me había tocado el conectar una red entera. El primer caso es, para mi mas sencillo pues lo he realizado otras veces e incluso en este blog tengo algún ejemplo de como meter en dominio un equipo remotamente.

Captura de pantalla 2013-02-26 a la(s) 13.19.53

Solución: VPN Site to Site

La solución de Microsoft es crear una VPN entre dos servidores de acceso remoto. Primero de todo hay que diferenciar 2 tipos de VPN, la de un cliente con un servidor que realizariamos con “direct access” y la de una red conectada con otra red que realizaremos mediante “site to site“.

direct access:

r00220001005jim01_01

 

site to site:r00220001005jim01_02

Enrutamiento y Acceso remoto.

Lo primero de todo, es añadir el rol de acceso remoto a los dos servidores y configurar los routers de la delegaciones para que redirijan sus puertos VPN hacia los servidores RRAS que estamos configurando, es decir hacer un nat del puerto 1723.

Lo siguiente es crear una nueva VPN, es decir un nuevo interface de acceso remoto. En esta demo suponemos que estamos en el servidor 1 de la delegación 1 y vamos a crear la VPNdelegación2.

Captura de pantalla 2013-02-25 a la(s) 13.45.55

Elegimos para este caso concreto, configurar solo la VPN y, a si, no liar conceptos.

Captura de pantalla 2013-02-25 a la(s) 13.34.04

Es de uso común el nombrar a esta VPN con el nombre a donde se va a conectar, por ejemplo VPNdelegación2

Captura de pantalla 2013-02-25 a la(s) 14.03.46

Captura de pantalla 2013-02-25 a la(s) 14.04.15

Aquí pondremos la IP remota, en este caso la IP externa de la delegación 2.

Captura_de_pantalla_2013-02-26_a_la(s)_15.28.39

Establecimiento de las VPNs

Este punto, vamos a hacer una pausa para entender lo que vamos a hacer:

Primero: conectar Delegación 1 con delegación 2 mediante una VPN configurada en el servidor 1. El Servidor 2 se conectará a esta vpn utilizará un usuario A que se creará automáticamente en el asistente de la vpn en Delegación 1

Segundo: Conectaremos Delegación 2 con delegación 1 mediante una VPN configurada en el servidor 2. El Servidor 1 se conectará a esta vpn utilizará un usuario B que se creará automáticamente en el asistente de la vpn en Delegación 2

Funcionamiento: El Servidor 2 de la delegación 2 tiene que utilizar unas credenciales que coincidan con el usuario A, y a su vez, el servidor 1 utilizara las credenciales del usuario B para acceder a la delegación 2. Es decir Servidor 1 llama a 2 y servidor 2 llama a 1. Las credenciales se crean en los siguientes pasos.

Captura_de_pantalla_2013-02-25_a_la(s)_14.07.23

Este es el usuario “local”, el

Captura de pantalla 2013-02-25 a la(s) 14.10.21

Este es el usuario que se crearemos en la otra delegación cuando configuremos la otra VPN. Como en principio no hemos hablado de dominios, el dominio es el propio servidor. Los servidores de acceso remoto no necesitan pertenecer a ningún dominio, incluso es interesante que no pertenezcan a ninguno o que sean parte de una DMZ.

Captura de pantalla 2013-02-26 a la(s) 15.31.35

Ya tenemos configurada la VPN en la delegación 1.

Captura_de_pantalla_2013-02-26_a_la(s)_15.24.50

Mirando en las propiedades, podemos configurar un par de cosas mas.

Al contrarió de las “direct access”, estas conexiones se hacen para que sean permanentes y esta opción hace que en cualquier error, el servidor vuelva a restablecer la llamada.

Captura de pantalla 2013-02-25 a la(s) 14.22.14

Ahora se repetirá lo mismo en la otra delegación teniendo en cuenta lo que hemos hablado de los usuarios.

 

 

Si os ha interesado o queréis que amplíe la entrada, comentarlo  😉

 

 

 

 

Error con el switch virtual, no se puede administrar.

Hola

El de hoy no me habia pasando nunca. Si, cierto, que he estado enredando mucho con las redes virtuales, creando y borrando muchas veces, pero esto es lo normal ¿no? 🙂

Problema

El problema es este al intentar administrar los switches virtuales desde la administración de Hyper-v y en Virtual switches manager:

Captura de pantalla 2013-02-20 a la(s) 01.15.21

“an error occurred while trying to retrieve a list of virtual switches. The operation on computer ´localhost´failed”

Y no se arregla reiniciando.

Posible solución:

Microsoft nos cuenta que es un error conocido que se soluciona con un escript nvspscrub.js en

msdn.microsoft.com, que lo descargas y ejecutas…

  Captura de pantalla 2013-02-20 a la(s) 01.22.33 Captura de pantalla 2013-02-20 a la(s) 01.24.31

…pero a mi no me ha funcionado.

 Mi solución

 …aunque drastica, efectiva: Des instalar el roll de Hyper-V y volver a crearlo. En la creación vuelve a generar los switches virtuales, de hecho hay un paso donde te pregunta si quieres crear alguno. Captura de pantalla 2013-02-20 a la(s) 01.53.04

Captura de pantalla 2013-02-20 a la(s) 02.08.20

… y las maquinas virtuales?

No os preocupeis las VM siguen estando tras la instalación, lo único que hay que hacer, es crear las redes y conectarlas a la red a la que estaban conectadas anteriormente. (menos mal)

 

Conexion Puente entre red virtual y red local, Bridge Networks

Como configurar un puente entre 2 redes, una local y otra virtual

En este caso no he tenido exactamente un problema, pero hasta que me he aclarado he tenido que conectar y desconectar, crear y re-crear varias veces las redes.

El Caso es el siguiente y es el mismo caso que para unir dos redes diferentes con cualquier windows. Tengo una red local, en mi caso wifi, y quiera unirla con otra red diferente y para hacerlo mas interesante, esta red es virtual.

bridged-network

Creación del bridge

Desde “conexiones de red” selecciono las dos redes que quiero unir y creo un puente (seleccionar loas dos redes, botón derecho, crear puente). La conexión “internet” es la que esta conectada a la red local y la conexión “Virtual” es la que me ha creado el administrador de redes virtualees de Hyper-v.

conexiones de Red

Como vemos se ha creado un nuevo elemento de red denominado Bridge, es un puente entre las dos redes. A continuación un par de pantallazos de la red virtual y del adaptador virtual de la VM.

     Propiedades red VM  Propiedades red hyper-v

Y en las Propiedades del Puente vemos como estan seleccionadas las 2 redes que se han unido.

Propiedades Puentejpg

Hay que tener en cuenta que las redes “originales” es decir de las que hemos partido, pierden sus propiedades. En la figura de arriba, conexiones de red, vemos que windows añade una deescripción “Habilitado, con puente“. y si le damos a ver las propiedades, veremos lo siguiente:

Propiedades adaptador Hyper-v

 

¡¡Ha!!  muy importante, en las pruebas que he realizado he tenido que habilitar-deshabilitar los adaptadores de red para que cogiesen bien la conexión, también se puede reiniciar el equipo para conseguirlo.

De esta forma ya tenemos acceso desde la máquina virtual a la red local (wifi) y viceversa. Evidentemente, esto es un lab y se puede conseguir lo mismo pasando el otro adaptador al switch virtual de hyper-v, pero esto es otro caso.

 

 

Error al acceder a un recurso compartido, 0x80070035,

Acceso a una carpeta de un Equipo a través de la red.

Es lo mas común acceder a un equipo a través de un recurso de sistema como c$ para alcanzar los ficheros sin tener que ir al equipo y compartir, a veces esto no funciona. Son muchos los diferentes errores que pueden provocar que no tengamos acceso a un recurso compartido en la red.

  • Permisos del recurso compartido
  • Seguridad de la carpeta
  • Firewall
  • Propiedades de red
  • Políticas

Estas suelen ser las mas comunes y aun sabiéndolas no acertaba a acceder a una carpeta de otro equipo en la red. Vamos ha repasarlas y ver el error que me salia.

  • ejemplo con nombre de equipo y recurso: \\nombrePC\carpeta\
  • ejemplo con dirección IP y recurso de sistema:  \\10.10.10.10\C$\

Sin título 1

  • Codigo de error: 0x80070035
  • Codigo de error: 0x80004005

 

 Veamos la configuración

Permisos: Primero repasamos los permisos. La carpeta o disco tiene que estar compartido como mínimo con derechos de lectura para poder verla:

Sin título 1

 

Seguridad: El elemento compartido tiene que tener  el usuario con el cual queremos acceder, es decir, por mucho administrador que seamos no podremos acceder si el usuario “administrador” no esta en la lista con los permisos suficientes.

Sin título 1

Firewal: El firewal de windos se puede configurar de muchas formas, pero para asegurarnos de que no es el problema lo dejamos quitado hasta comprobar el troubleshooting.

Sin título 1

RED: Las propiedades de red puede ser lo último en que pensar, pero realmente si la red no esta preparada, no podremos acceder:

Sin título 1

Políticas: Puede ser raro, pero si alguien ha jugado con las políticas puede ser dificil encontrar la que se ha tocado. Por ello he dejado esta opción al final por si todo lo demas es correcto, tocar las políticas en último recurso.

Si no sabemos cual puede estar interfiriendo  y nos da igual deshacer las que se hallan podido establecer, podemos intentar ponerlas como vienen por defecto, este comando es útil:

  • En Windows XP, escriba el comando siguiente:
  • secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
  • En Windows 7, escriba el comando siguiente:
  • secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Solución

Primero asegurarnos que ponemos el nombre del equipo o IP correctamente, luego asegurarnos igualmente del nombre del recurso compartido y por último, si tenemos problemas, comprobaremos todo esto y lo dejamos correctamente configurado seguramente dejaremos de tener problemas.

Así mismo podemos emplear este conocimiento para denegar a alguien el acceso a ciertas carpetas modificando cualquiera de las configuraciones anteriores. 😉

Añadiendo wifi a un servidor

¿Como he añadido wifi a mi servidor?:

Tengo la necesidad de añadir wifi a un servidor, mejor dicho: tengo la necesidad de no tirar un cable ethernet por medio de toda la casa hasta mi servidor.

Para ello voy a aprovechar una tarjeta wifi que tenia de un portátil que se me rompió  Esta tarjeta al igual que otras GPS o GSM están preparadas para un puerto mini-PCI expres (o PCI-E) que suelen tenercasi todos los portatiles, normalmente ocupado por una Wifi como la que muestro:

WIFIPS

Hay varios tipos de PCI, para distinguirlos, nada mejor que una foto.

PCIwtmk

Esta claro que es difícil de conectar esta tarjetita al servidor, proveerla de antenas y que quede perfectamente integrado. A todo esto añadir la dificultad de tener solo un puerto PCI express.

IMG_20121205_113209PS

Buscando por internet se encuentra un adaptador para la tarjeta wifi a Mini-PCI Express con las antenitas y todo, fantastico!, pero….. ¿Como conecto la Mini a la PCI Express normal?

IMG_20121205_113240PS

Pues resulta que son compatibles y no pasa nada porque sobre conector, la pequeña encaja perfectamente dentro de su hermana mayor, observar el resultado:

IMG_20121205_113511PS

 

Solo falta añadir la característica de Windows Server “wireless LAN Service” para que podamos conectarnos a las redes. Si no lo hacemos, aparecerá un adaptador de red pero sin posibilidad de conexión, esto es porque en principio los servidores no suelen estar conectados por wifi.

wireless LAN Service

 

Asi me he evitado tirar un cable y ademas he comprobado que con estas 2 antenas se alcanza muchísima mas señal que con una solo.

Otro problemilla solucionado. (Espero no crear muchos agujeros de seguridad para que no se me cuelen por la wifi)