Direct Access vs VPN

Hola.

Para empezar tendremos que definir que es cada cosa ya que Direct Access y VPN no son la misma cosa. Comencemos por VPN, Virtual Private Network, son muy conocidas y altamente empleadas por todos los fabricantes de electronica de comunicaciones. Microsoft por su parte también la implementa mediante RRAS, Route and Remote Access Server, que es el RAS de toda la vida paro los que llevamos algún tiempo en esto.

 

El problema: No se ve clara la diferencia.

Direct Access - VPN

 

VPN: Es un Túnel que se crea a través de internet para que las comunicaciones entre los dos puntos sean como si estuviésemos en la misma red. Es un sistema abierto y compartido por todos los fabricantes.

Direct Access: Es un Super-tunel que ha creado Microsoft para mejorar las VPN tradicionales. Lo implementan solo las ultimas versiones de Windows Server y Windows 7, 8 en adelante.

 

Las Ventajas de Direct Access son su talón de Aquiles.

 

DirectAccess

VPN

Los equipos se conectan automáticamente sin intervención.

           X

Funciona a través de todos los firewalls

           X

Se puede seleccionar el servidor de acceso y el tipo de autenticación durante la conexión.

           X

Soporta autenticación y encriptación de punto a punto

           X

Soporta administración de los equipos remotos

           X

Compatible todas las versiones de clientes Windows

           X

Compatible con equipos de otros Sistemas Operativos

           X

Compatible con equipos fuera de dominio

           X

No necesita Windows Server 2008 R2 en el punto remoto

           X

Visto así, todo son ventajas, pero para implementar Direct Access no es tan sencillo como lo pintan. si lo viesemos de esta otra forma…

Se necesita:

  • Servidores con Direct Access, mínimo Windows Server 2008 R2
  • Dos adaptadores de red: Uno a la Lan y otro a internet con 2 IPs consecutivas Públicas.
  • Los clientes de DirectAccess con Windows 7 o superior.
  • Un controlador de dominio y DNS con Server 2008 R2 o superior.
  • Una infraestructura PKI, Public Key Infrastructure para generar certificados.
  • IPsec para la protección del tráfico.
  • IPv6 en el servidor DirectAccess: ISATAP, Teredo o 6to4.
  • Ademas para dar acceso a clientes con IPv4 necesitaremos la ayuda de terceros.

 

La implementación

La implementación tanto de direct access como de VPN se puede realizar mediante el asistente que ofrece el servidor tras instalar el rol de Acceso remoto.

Direct Access

 

Problemas en la implementación

La implementación parece sencilla hasta que nos ponemos a hacerla ya que en uno de los pasos mas importantes, nos encontramos con el principal problema: ¿Como poner el servidor? en la red perimetral, en la interna, con uno o con dos adaptadores de red… y lo mas importante ¿como le ponemos 2 IPs públicas a la nic del Servidor?

Era típico el error: «no se encuentra un adaptador interno con una dirección IP válida»

image0001

 

Soluciones en la implementación

Vemos que desde Server 2008 ha sido siempre una implementación rígida y difícil de realizar. Hemos tenido que esperar a 2012 R2 para simplificar las cosas .

Captura de pantalla 2015-04-06 a las 23.48.04

Desde que instalamos el Rol, ya nos aparecen mas opciones, El proxy para aplicaciones Web. Y a la hora de implementar también nos dejara poner los adaptadores dentro de la red interna y hacer NAT hacia ellos, incluso con un solo adaptador.

image0002

 

Para la gran mayoria

Hoy por hoy las VPN aunque menos seguras son las mas flexible y fáciles de configurar. En Windows server prácticamente no han cambiado a excepciona de que ahora están en el mismo rol que el que dota al servidor de la capacidad de enrrutar y unir delegaciones entre si; RRAS.

conf_

Buscando un programa para hacer VPN

Hola

He tenido la necesidad de conectar dos sitios distantes mediante una VPN. Normalmente siempre nos conectamos con un cliente a un servidor de VPN y la cosa resulta sencilla.

El Problema:

Unir dos «delegaciones» mediante una VPN permanente y , claro, de la forma mas barata posible 🙂

 

Pruebas o posibles soluciones

He probado con un montón de software unos me han gustado mas que otros, aquí les dejo los links de todos lo que he configurado, por si les sirven de algo

 

Hamachi (gratis / de pago)
Neorouter  – solo versión prueva / pago y ademas hay que instalar un servidor.
Lanbridger – solo de pago y hay que configurar el firewall
tradicional vpn –  tiene Cliente de vpn de los principales fabricantes
 PTPVPN – en la versión gratis,maximo 5 clientes, para Win y Mac
openvpn – Ofrece 2 clientes gratis
Renobo – Da un error en 2012
Tuneelbear –  500Mb gratis al mes
Comodo – Hace falta una cuenta por cliente
Viscosity – solo versión de prueba
Thegreenbow – es gratis solo 30 dias
Wippien – necesita una cuenta «jabber»

Los que mas me ha gustado han sido Hamachi y Viscosity y entre los dos, paro lo que quería hacer, Hamachi lo resolvía mas económicamente.

Pero finalmente ….¡ He descartado todos !

 

La Solución (para mi)

Lo he realizado con Microsoft 2012: Site to Site

Pros:

  • Es una solución que teniendo Servidores Windows Server, sale gratis.
  • No hay que pagar cuotas
  • No ampliamos el software del que hay que depender
  • Es una solución bastante transparente una vez implementada

Contras:

  • Si no tenemos Servidores tenemos que comprar como mínimo 2 licencias de Windows server (entre nosotros sale un pico)
  • Hay que plantearse bien las cosas y realizarlo como un pequeño proyecto.
  • No es sencillo, pero tampoco complicado
  • Hay que modificar/configurar los routers de las delegaciones

 

Ejemplo

En esta antigua entrada del blog explique como llevarlo a cabo:

Unir delegaciones

 

 

 

 

 

VPN, Uniendo delegaciones mediante acceso remoto, Site to site

Unir dos delegaciones

Hola hoy voy a explicar como conectar dos redes remotas por VPN, lo que viene a ser la unión de dos delegaciones. Yo siempre había usado VPN en forma de acceso remoto para conectar equipos a uno central pero no me había tocado el conectar una red entera. El primer caso es, para mi mas sencillo pues lo he realizado otras veces e incluso en este blog tengo algún ejemplo de como meter en dominio un equipo remotamente.

Captura de pantalla 2013-02-26 a la(s) 13.19.53

Solución: VPN Site to Site

La solución de Microsoft es crear una VPN entre dos servidores de acceso remoto. Primero de todo hay que diferenciar 2 tipos de VPN, la de un cliente con un servidor que realizariamos con «direct access» y la de una red conectada con otra red que realizaremos mediante «site to site«.

direct access:

r00220001005jim01_01

 

site to site:r00220001005jim01_02

Enrutamiento y Acceso remoto.

Lo primero de todo, es añadir el rol de acceso remoto a los dos servidores y configurar los routers de la delegaciones para que redirijan sus puertos VPN hacia los servidores RRAS que estamos configurando, es decir hacer un nat del puerto 1723.

Lo siguiente es crear una nueva VPN, es decir un nuevo interface de acceso remoto. En esta demo suponemos que estamos en el servidor 1 de la delegación 1 y vamos a crear la VPNdelegación2.

Captura de pantalla 2013-02-25 a la(s) 13.45.55

Elegimos para este caso concreto, configurar solo la VPN y, a si, no liar conceptos.

Captura de pantalla 2013-02-25 a la(s) 13.34.04

Es de uso común el nombrar a esta VPN con el nombre a donde se va a conectar, por ejemplo VPNdelegación2

Captura de pantalla 2013-02-25 a la(s) 14.03.46

Captura de pantalla 2013-02-25 a la(s) 14.04.15

Aquí pondremos la IP remota, en este caso la IP externa de la delegación 2.

Captura_de_pantalla_2013-02-26_a_la(s)_15.28.39

Establecimiento de las VPNs

Este punto, vamos a hacer una pausa para entender lo que vamos a hacer:

Primero: conectar Delegación 1 con delegación 2 mediante una VPN configurada en el servidor 1. El Servidor 2 se conectará a esta vpn utilizará un usuario A que se creará automáticamente en el asistente de la vpn en Delegación 1

Segundo: Conectaremos Delegación 2 con delegación 1 mediante una VPN configurada en el servidor 2. El Servidor 1 se conectará a esta vpn utilizará un usuario B que se creará automáticamente en el asistente de la vpn en Delegación 2

Funcionamiento: El Servidor 2 de la delegación 2 tiene que utilizar unas credenciales que coincidan con el usuario A, y a su vez, el servidor 1 utilizara las credenciales del usuario B para acceder a la delegación 2. Es decir Servidor 1 llama a 2 y servidor 2 llama a 1. Las credenciales se crean en los siguientes pasos.

Captura_de_pantalla_2013-02-25_a_la(s)_14.07.23

Este es el usuario «local», el

Captura de pantalla 2013-02-25 a la(s) 14.10.21

Este es el usuario que se crearemos en la otra delegación cuando configuremos la otra VPN. Como en principio no hemos hablado de dominios, el dominio es el propio servidor. Los servidores de acceso remoto no necesitan pertenecer a ningún dominio, incluso es interesante que no pertenezcan a ninguno o que sean parte de una DMZ.

Captura de pantalla 2013-02-26 a la(s) 15.31.35

Ya tenemos configurada la VPN en la delegación 1.

Captura_de_pantalla_2013-02-26_a_la(s)_15.24.50

Mirando en las propiedades, podemos configurar un par de cosas mas.

Al contrarió de las «direct access», estas conexiones se hacen para que sean permanentes y esta opción hace que en cualquier error, el servidor vuelva a restablecer la llamada.

Captura de pantalla 2013-02-25 a la(s) 14.22.14

Ahora se repetirá lo mismo en la otra delegación teniendo en cuenta lo que hemos hablado de los usuarios.

 

 

Si os ha interesado o queréis que amplíe la entrada, comentarlo  😉

 

 

 

 

Error con el switch virtual, no se puede administrar.

Hola

El de hoy no me habia pasando nunca. Si, cierto, que he estado enredando mucho con las redes virtuales, creando y borrando muchas veces, pero esto es lo normal ¿no? 🙂

Problema

El problema es este al intentar administrar los switches virtuales desde la administración de Hyper-v y en Virtual switches manager:

Captura de pantalla 2013-02-20 a la(s) 01.15.21

«an error occurred while trying to retrieve a list of virtual switches. The operation on computer ´localhost´failed»

Y no se arregla reiniciando.

Posible solución:

Microsoft nos cuenta que es un error conocido que se soluciona con un escript nvspscrub.js en

msdn.microsoft.com, que lo descargas y ejecutas…

  Captura de pantalla 2013-02-20 a la(s) 01.22.33 Captura de pantalla 2013-02-20 a la(s) 01.24.31

…pero a mi no me ha funcionado.

 Mi solución

 …aunque drastica, efectiva: Des instalar el roll de Hyper-V y volver a crearlo. En la creación vuelve a generar los switches virtuales, de hecho hay un paso donde te pregunta si quieres crear alguno. Captura de pantalla 2013-02-20 a la(s) 01.53.04

Captura de pantalla 2013-02-20 a la(s) 02.08.20

… y las maquinas virtuales?

No os preocupeis las VM siguen estando tras la instalación, lo único que hay que hacer, es crear las redes y conectarlas a la red a la que estaban conectadas anteriormente. (menos mal)

 

Conexion Puente entre red virtual y red local, Bridge Networks

Como configurar un puente entre 2 redes, una local y otra virtual

En este caso no he tenido exactamente un problema, pero hasta que me he aclarado he tenido que conectar y desconectar, crear y re-crear varias veces las redes.

El Caso es el siguiente y es el mismo caso que para unir dos redes diferentes con cualquier windows. Tengo una red local, en mi caso wifi, y quiera unirla con otra red diferente y para hacerlo mas interesante, esta red es virtual.

bridged-network

Creación del bridge

Desde «conexiones de red» selecciono las dos redes que quiero unir y creo un puente (seleccionar loas dos redes, botón derecho, crear puente). La conexión «internet» es la que esta conectada a la red local y la conexión «Virtual» es la que me ha creado el administrador de redes virtualees de Hyper-v.

conexiones de Red

Como vemos se ha creado un nuevo elemento de red denominado Bridge, es un puente entre las dos redes. A continuación un par de pantallazos de la red virtual y del adaptador virtual de la VM.

     Propiedades red VM  Propiedades red hyper-v

Y en las Propiedades del Puente vemos como estan seleccionadas las 2 redes que se han unido.

Propiedades Puentejpg

Hay que tener en cuenta que las redes «originales» es decir de las que hemos partido, pierden sus propiedades. En la figura de arriba, conexiones de red, vemos que windows añade una deescripción «Habilitado, con puente«. y si le damos a ver las propiedades, veremos lo siguiente:

Propiedades adaptador Hyper-v

 

¡¡Ha!!  muy importante, en las pruebas que he realizado he tenido que habilitar-deshabilitar los adaptadores de red para que cogiesen bien la conexión, también se puede reiniciar el equipo para conseguirlo.

De esta forma ya tenemos acceso desde la máquina virtual a la red local (wifi) y viceversa. Evidentemente, esto es un lab y se puede conseguir lo mismo pasando el otro adaptador al switch virtual de hyper-v, pero esto es otro caso.

 

 

Error al acceder a un recurso compartido, 0x80070035,

Acceso a una carpeta de un Equipo a través de la red.

Es lo mas común acceder a un equipo a través de un recurso de sistema como c$ para alcanzar los ficheros sin tener que ir al equipo y compartir, a veces esto no funciona. Son muchos los diferentes errores que pueden provocar que no tengamos acceso a un recurso compartido en la red.

  • Permisos del recurso compartido
  • Seguridad de la carpeta
  • Firewall
  • Propiedades de red
  • Políticas

Estas suelen ser las mas comunes y aun sabiéndolas no acertaba a acceder a una carpeta de otro equipo en la red. Vamos ha repasarlas y ver el error que me salia.

  • ejemplo con nombre de equipo y recurso: \\nombrePC\carpeta\
  • ejemplo con dirección IP y recurso de sistema:  \\10.10.10.10\C$\

Sin título 1

  • Codigo de error: 0x80070035
  • Codigo de error: 0x80004005

 

 Veamos la configuración

Permisos: Primero repasamos los permisos. La carpeta o disco tiene que estar compartido como mínimo con derechos de lectura para poder verla:

Sin título 1

 

Seguridad: El elemento compartido tiene que tener  el usuario con el cual queremos acceder, es decir, por mucho administrador que seamos no podremos acceder si el usuario «administrador» no esta en la lista con los permisos suficientes.

Sin título 1

Firewal: El firewal de windos se puede configurar de muchas formas, pero para asegurarnos de que no es el problema lo dejamos quitado hasta comprobar el troubleshooting.

Sin título 1

RED: Las propiedades de red puede ser lo último en que pensar, pero realmente si la red no esta preparada, no podremos acceder:

Sin título 1

Políticas: Puede ser raro, pero si alguien ha jugado con las políticas puede ser dificil encontrar la que se ha tocado. Por ello he dejado esta opción al final por si todo lo demas es correcto, tocar las políticas en último recurso.

Si no sabemos cual puede estar interfiriendo  y nos da igual deshacer las que se hallan podido establecer, podemos intentar ponerlas como vienen por defecto, este comando es útil:

  • En Windows XP, escriba el comando siguiente:
  • secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
  • En Windows 7, escriba el comando siguiente:
  • secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Solución

Primero asegurarnos que ponemos el nombre del equipo o IP correctamente, luego asegurarnos igualmente del nombre del recurso compartido y por último, si tenemos problemas, comprobaremos todo esto y lo dejamos correctamente configurado seguramente dejaremos de tener problemas.

Así mismo podemos emplear este conocimiento para denegar a alguien el acceso a ciertas carpetas modificando cualquiera de las configuraciones anteriores. 😉

Redes virtuales, redes de maquinas virtuales y redes de Host

Redes virtuales, redes de maquinas virtuales y redes de Host

Con este titulo intentaré aclarar el tema de las redes en Hyper-V, ya que al principio, son un poco liosas y dan algún otro quebradero de cabeza, como a mo que se me desconfiguraron todas las maquinas virtuales por andar toquiteando las redes.

 

Empecemos, tipos de redes:

Teoria, hay 3 tipos de redes

Privada, es una red completamente virtual y no afecta en nada a la red del host.

Interna, ademas de poder comunicarse los servidores que la tienen, estos, se pueden comunicar con el Host, pero aun asi, los datos no pasan por el adaptador fisico del host.

Externa, (que en entornos de producción es la que mas se usa y mas nos interesa saber como funciona) esta se comparte con la red que le llega al host, la información pasa a través del adaptador de red hasta las máquinas virtuales, mas que una red virtual es una red real, cuidado que lo que hagamos aqui afecta a todo lo que hay fuera del servidor de hyper-v.

A tener en cuenta

  • Los Nic de las máquinas virtuales son totalmente independientes del nic del host.
  • Una maquina virtual no tendrá red hasta que le añadamos una red creada virtualmente.
  • Un Host puede tener varios adaptadores de red. Solo podremos crear una red externa por cada adaptador virtual que este posea.

 

Los Problemas:

Como problemas hay muchos en este aspecto voy a intentar poner los principales:

  • No me arrancan las máquinas virtuales.
  • Se desconfiguran las redes de windows
  • No se puede cambiar la configuración de la red virtual

Error al intentar iniciar las máquinas virtuales

Identificador de instancia no se pudo restaurar. El sistema no puede encontrar la ruta especificada.

No se pudo modificar el dispositivo «Microsoft Synthetic Ethernet Port«

Las causas

  • hemos borrado accidentalmente el adaptador virtual de red.
  • Hemos modificado borrado o recreado el adaptador de red del host (en entornos blade, puede ser muy facil)
  • Hemos borrado una de las redes virtuales

 

Las Explicaciones

Hyper V tiene la curiosidad de que cuando creamos una nueva red externa, también crea un nuevo adaptador de red:

En este dibujo aparecen los adaptadores originales y debajo los nuevos añadidos por Hyper-V. La configuración de los adaptadores originales cambia al marcar la casilla de «permitir que el sistema operativo de administración comparta este adaptador de red» opción que se recomienda.

La nueva configuración de los adaptadores aparecerá con un solo protocolo denominado Protocolo de conmutador de red virtual de Microsoft.

Realmente cuando haces este proceso dejas de tener colectividad durante un breve momento. Automáticamente aparece el nuevo adaptador denominado Virtual que no siempre conserva la configuración original, por ello contiene repasarlo o configurarlo de nuevo. Este es una de las formas de reparar los errores producidos por las redes.

Si borramos por descuido este adaptador tendremos problemas y tendremos que recrear todos los adaptadores y redes virtuales.

 

Las Soluciones

No jugar con las redes virtuales ni con los adaptadores del Host, aunque parecca obio, pasa. 😀

Si a pesar de conocer todo lo anteriór, metemos la pata, no se puede echar para atras, hay que rehacer todas las redes y recrearlas:

  • Borramos las redes externas desde el administrador de Hyper V
  • Borramos los adaptadores de red del Host y reiniciamos, con lo que al reiniciar habrá creado de nuevo los adaptadores y tendremos que configurarlos, es decir si administramos  el host por este adaptador, no lo podremos hacer
  • Creamos la red virtual en Hyper v
  • arreglamos el error de configuración «El adaptador de red está configurado en un puerto de conmutador que ya no existe» que aparece en todas las maquinas virtuales que teníamos conectadas a esta red asignándoles la nueva red.

 

*Nota: cada vez que borramos/rehacemos los adaptadores de red del host (o de las maquinas virtuales) el nombre de estos, en la nomenclatura que tienen interna, van cambiando de nombre incrementado un valor numérico, que no afecta al funcionamiento, pero que hay que tener en cuenta cuando tenemos muchos adaptadores de nombre parecido y la única diferencia es este número.

 

Espero les aclare algo los conceptos.

Añadir un DC nuevo a un dominio remotamente

Añadir un DC nuevo

  • Primero vamos a plantear el escenario y luego veremos los «traspies».
Disponemos de un Dominio 2003 muy simple con un solo DC ubicado en la «central». Este servidor hace entre otras de servidor de RRAS. Evidentemente el DNS esta en este mismo equipo y esta integrado en AD.
Por otro lado tenemos un 2008 nuevecito, el cual queremos unir al dominio. La dificultad radica en que el nuevo servidor está en la «delegación». En la delegación disponemos de un ADSL  de 1Mb/250b de ancho de banda.
  • Preparación del sistema
Primero necesitaremos unir ambos puntos para tener comunicación. Lo haremos mediante una VPN, para ello decidiremos que tipo de VPN vamos a realizar. Como es solo para configurar lo haremos los mas sencillo posible. Usaremos PPTP. Para ello tendremos que configurar 3 puntos: El servidor de RRAS, el router de la Central y la conexion de nuestro servidor en la delegación.
RRAS:
Configuramos
Router:
Redirigiremos los el puerto 1723 TCP hacia nuestro Servidor RRAS (si lo hariamos con L2TP seria el 1701 UDP)
Cliente:

Bueno, esto es un conjunto de pequeños problemas que e ido resolviendo poco a poco.
Todavía en preparación…..