Buscando un programa para hacer VPN

Hola

He tenido la necesidad de conectar dos sitios distantes mediante una VPN. Normalmente siempre nos conectamos con un cliente a un servidor de VPN y la cosa resulta sencilla.

El Problema:

Unir dos «delegaciones» mediante una VPN permanente y , claro, de la forma mas barata posible 馃檪

 

Pruebas o posibles soluciones

He probado con un mont贸n de software unos me han gustado mas que otros, aqu铆 les dejo los links de todos lo que he configurado, por si les sirven de algo

Hamachi (gratis / de pago)
Neorouter 聽– solo versi贸n prueva / pago y ademas hay聽que instalar un servidor.
Lanbridger聽–聽solo de pago y hay que configurar el firewall
tradicional vpn –聽聽tiene聽Cliente de vpn de los principales fabricantes
PTPVPN –聽en la versi贸n gratis,maximo 5 clientes, para Win y Mac
openvpn聽– Ofrece聽2 clientes gratis
Renobo聽– Da un error en 2012
Tuneelbear聽– 聽500Mb gratis al mes
Comodo聽–聽Hace falta una cuenta por cliente
Viscosity聽–聽solo versi贸n de prueba
Thegreenbow聽– es gratis聽solo 30 dias
Wippien聽–聽necesita una cuenta «jabber»

Los que mas me ha gustado han sido Hamachi y Viscosity y entre los dos, paro lo que quer铆a hacer, Hamachi lo resolv铆a mas econ贸micamente.

Pero finalmente ….隆 He descartado todos !

 

La Soluci贸n (para mi)

Lo he realizado con Microsoft 2012: Site to Site

Pros:

  • Es una soluci贸n que teniendo Servidores Windows Server, sale gratis.
  • No hay que pagar cuotas
  • No ampliamos el software del que hay que depender
  • Es una soluci贸n bastante transparente una vez implementada

Contras:

  • Si no tenemos Servidores tenemos que comprar como m铆nimo 2 licencias de Windows server (entre nosotros sale un pico)
  • Hay que plantearse bien las cosas y realizarlo como un peque帽o proyecto.
  • No es sencillo, pero tampoco complicado
  • Hay que modificar/configurar los routers de las delegaciones

 

Ejemplo

En esta antigua entrada del blog explique como llevarlo a cabo:

Unir delegaciones

 

 

 

 

 

Acceso remoto y administraci贸n remota


Hoy una aclaraci贸n:

Acceso remoto Vs Administraci贸n remota

Para todo aquel que esta buscando por internet la diferencia entre estos dos conceptos que habitualmente se confunden.

La administraci贸n remota

La administraci贸n remota es la cualidad de un servidor para ser administrado de forma remota mediante un usuario administrador. Cada servidor viene con dos licencias de este tipo y tiene que habilitarse para que se pueda administrar. De esta forma solo los administradores聽podr谩n聽administrar o trabajar con el servidor como si estuviesen delante de la consola. Un servidor admite tres聽conexiones聽simult谩neas de este tipo sin consumir licencias: Una local, la de la consola y 2 remotas.

Administraci贸n remotaPS

El Acceso Remoto

El acceso remoto es la cualidad de un servidor de poder ser conectado mediante una sesi贸n por un usuario. Es decir que cuando un en servidor esta habilitado el acceso remoto, un usuario que tenga permisos,聽podr谩聽iniciar una sesi贸n «sesi贸n remota» contra el. 聽Para que un usuario o varios (cientos) puedan conectarse mediante sesiones, es necesario tener una licencia (CAL de RDS) para cada uno de ellos o para sus dispositivos (hay dos modos, por usuario y por dispositivo).

Escritorio remotoPS

La conexi贸n

En ambos casos nos conectaremos mediante RDP Remote Desktop y ya hemos aprendido que administrar un servidor no es lo mismo que trabajar con el. Para administrarlo empleamos la administraci贸n remota y para trabajar con RDS o servicios de escritorios remoto (antiguos Terminal Services) hay que tener licenciamiento y una peque帽a聽infraestructura.

RemoteDesktopConnection聽 聽 聽Captura_de_pantalla_2013-04-10_a_la(s)_19.36.54PS

Estos ejemplos son ejemplos de clientes de RDP de windows y Mac, aunque los hay de iPhone, Android, Linux, etc.

 

 

 

Desinstalar acceso remoto

Desinstalar el rol de Acceso remoto

Hola este problema, por suerte, facilmente solucionable pero que al menos a mi me ha ocurrido varias veces. Resulta que al intentar realizar modificaciones sobre la configuraci贸n del acceso remoto no estaban habilitadas y la forma facil pensaba que era quitar el rol y volver a ponerlo… sorpresa cuando me sale el siguiente error que dice que tengo configurado VPN como acceso directo.

  • Direct Access esta configurado, desinstalelo antes de quitar acceso remoto

Captura de pantalla 2013-02-26 a la(s) 19.51.51

Realmente no tengo nada configurado y lo poco que tenia borrado, pero como dec铆a al principio, no me dejaba modificar la configuraci贸n del acceso remoto.

Soluci贸n

Una vez mas hay que recurrir a la linea de comando: desde una ventana de PowerShel ejecutamos el siguiente comando que desinstala el m贸dulo de direct access

  • uninstall-remoteaccess

Captura de pantalla 2013-02-26 a la(s) 19.56.19

Ahora lo intentamos de nuevo y al no tener la configuraci贸n que me bloqueaba, se desinstala correctamente.

馃檪

VPN, Uniendo delegaciones mediante acceso remoto, Site to site

Unir dos delegaciones

Hola hoy voy a explicar como conectar dos redes remotas por VPN, lo que viene a ser la uni贸n de dos delegaciones. Yo siempre hab铆a usado VPN en forma de acceso remoto para conectar equipos a uno central pero no me hab铆a tocado el conectar una red entera. El primer caso es, para mi mas sencillo pues lo he realizado otras veces e incluso en este blog tengo alg煤n ejemplo de como meter en dominio un equipo remotamente.

Captura de pantalla 2013-02-26 a la(s) 13.19.53

Soluci贸n: VPN Site to Site

La soluci贸n de Microsoft es crear una VPN entre dos servidores de acceso remoto. Primero de todo hay que diferenciar 2 tipos de VPN, la de un cliente con un servidor que realizariamos con «direct access» y la de una red conectada con otra red que realizaremos mediante «site to site«.

direct access:

r00220001005jim01_01

 

site to site:r00220001005jim01_02

Enrutamiento y Acceso remoto.

Lo primero de todo, es a帽adir el rol de acceso remoto a los dos servidores y configurar los routers de la delegaciones para que redirijan sus puertos VPN hacia los servidores RRAS que estamos configurando, es decir hacer un nat del puerto聽1723.

Lo siguiente es crear una nueva VPN, es decir un nuevo interface de acceso remoto. En esta demo suponemos que estamos en el servidor 1 de la delegaci贸n 1 y vamos a crear la VPNdelegaci贸n2.

Captura de pantalla 2013-02-25 a la(s) 13.45.55

Elegimos para este caso concreto, configurar solo la VPN y, a si, no liar conceptos.

Captura de pantalla 2013-02-25 a la(s) 13.34.04

Es de uso com煤n el nombrar a esta VPN con el nombre a donde se va a conectar, por ejemplo VPNdelegaci贸n2

Captura de pantalla 2013-02-25 a la(s) 14.03.46

Captura de pantalla 2013-02-25 a la(s) 14.04.15

Aqu铆 pondremos la IP remota, en este caso la IP externa de la delegaci贸n 2.

Captura_de_pantalla_2013-02-26_a_la(s)_15.28.39

Establecimiento de las VPNs

Este punto, vamos a hacer una pausa para entender lo que vamos a hacer:

Primero: conectar Delegaci贸n 1 con delegaci贸n 2 mediante una VPN configurada en el servidor 1. El Servidor 2 se conectar谩 a esta vpn utilizar谩 un usuario A que se crear谩 autom谩ticamente en el asistente de la vpn en Delegaci贸n 1

Segundo: Conectaremos Delegaci贸n 2 con delegaci贸n 1 mediante una VPN configurada en el servidor 2.聽El Servidor 1 se conectar谩 a esta vpn utilizar谩 un usuario B que se crear谩 autom谩ticamente en el asistente de la vpn en Delegaci贸n 2

Funcionamiento: El Servidor 2 de la delegaci贸n 2 tiene que utilizar unas credenciales que coincidan con el usuario A, y a su vez, el servidor 1 utilizara las credenciales del usuario B para acceder a la delegaci贸n 2. Es decir Servidor 1 llama a 2 y servidor 2 llama a 1. Las credenciales se crean en los siguientes pasos.

Captura_de_pantalla_2013-02-25_a_la(s)_14.07.23

Este es el usuario «local», el

Captura de pantalla 2013-02-25 a la(s) 14.10.21

Este es el usuario que se crearemos en la otra delegaci贸n cuando configuremos la otra VPN. Como en principio no hemos hablado de dominios, el dominio es el propio servidor. Los servidores de acceso remoto no necesitan pertenecer a ning煤n dominio, incluso es interesante que no pertenezcan a ninguno o que sean parte de una DMZ.

Captura de pantalla 2013-02-26 a la(s) 15.31.35

Ya tenemos configurada la VPN en la delegaci贸n 1.

Captura_de_pantalla_2013-02-26_a_la(s)_15.24.50

Mirando en las propiedades, podemos configurar un par de cosas mas.

Al contrari贸 de las «direct access», estas conexiones se hacen para que sean permanentes y esta opci贸n hace que en cualquier error, el servidor vuelva a restablecer la llamada.

Captura de pantalla 2013-02-25 a la(s) 14.22.14

Ahora se repetir谩 lo mismo en la otra delegaci贸n teniendo en cuenta lo que hemos hablado de los usuarios.

 

 

Si os ha interesado o quer茅is que ampl铆e la entrada, comentarlo 聽馃槈

 

 

 

 

A帽adir un DC nuevo a un dominio remotamente

A帽adir un DC nuevo

  • Primero vamos a plantear el escenario y luego veremos los «traspies».
Disponemos de un Dominio 2003 muy simple con un solo DC ubicado en la «central». Este servidor hace entre otras de servidor de RRAS. Evidentemente el DNS esta en este mismo equipo y esta integrado en AD.
Por otro lado tenemos un 2008 nuevecito, el cual queremos unir al dominio. La dificultad radica en que el nuevo servidor聽est谩聽en la «delegaci贸n». En la delegaci贸n disponemos de un ADSL 聽de 1Mb/250b de ancho de banda.
  • Preparaci贸n del sistema
Primero necesitaremos unir ambos puntos para tener comunicaci贸n. Lo haremos mediante una VPN, para ello decidiremos que tipo de VPN vamos a realizar. Como es solo para configurar lo haremos los mas sencillo posible. Usaremos PPTP. Para ello tendremos que configurar 3 puntos: El servidor de RRAS, el router de la Central y la conexion de nuestro servidor en la delegaci贸n.
RRAS:
Configuramos
Router:
Redirigiremos los el puerto 1723 TCP聽hacia聽nuestro Servidor RRAS (si lo hariamos con L2TP seria el 1701 UDP)
Cliente:

Bueno, esto es un conjunto de peque帽os problemas que e ido聽resolviendo聽poco a poco.
Todav铆a聽en preparaci贸n…..