Windows Server 2012 - Conectando Sitios Por VPN (Site To Site VPN) - WindowServer

9/4/2019 Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) | WindowServer
WindowServer
El blog de los paso a paso
Inicio Windows Server 2012: Conectando Sitios por VPN (Site to

Site VPN)
Buscar en el Blog con
Una de las más usadas configuraciones en la pequeña y mediana empresa es
Google conectar los diferentes sitios geográficos que poseen a través de Internet usando
VPNs. No es en general la mejor de todas las opciones pero es la que está al
Buscar alcance en forma económica para todos los presupuestos
Hace ya un tiempo hice una nota similar pero con Windows Server 2008-R2, y me
Buscar en el blog con he decidido a hacer esta con Windows Server 2012 porque hay varias diferencias
Wordpress y por supuesto mejoras
Buscar Aprovecharé también, y ya que es lo más común en la pequeña empresa que al
tener poca disponibilidad de servidores, utilicen el mismo equipo para hacer la
VPN y proveer conectividad a Internet a los clientes
Categorías
Elegir categoría Es un opcional si quieren hacerlo esto último, sólo lo mostraré porque está
prácticamente incluido en la configuración objeto, esto es conectar dos sitios
geográficos diferentes a través de VPN, y por su uso generalizado
Archivos por mes
Lo que sí es importante, es que estos servidores que crearán la conexión no sean
Elegir mes Controladores de Dominio ya que es un riesgo muy grande de seguridad
Inclusive, y por seguridad, en la configuración que mostraré, los dos servidores

Seguir el blog VPN no pertenecerán a ningún Dominio, simplemente estarán en grupo de trabajo
(Workgroup), ya que durante la autenticación se usarán cuentas locales, y en caso
Ingrese su correo para ser de compromiso de las mismas, no es lo mismo una cuenta local de un servidor
avisado de nuevas notas que una del Dominio
Introduce tu email
Veamos el diagrama con las máquinas que utilizaremos. La máquina ISP es
totalmente opcional y se utilizará sólo si quieren asegurarse que la conexión
compartida a Internet funciona bien
Avisarme
Entradas y Páginas
Populares
Fecha y Hora en Dominios Active
Directory
Solución: Las Máquinas que se
Salen del Dominio
Windows Server 2012 (R2): Crear
un Dominio - Instalación del Primer
Controlador de Dominio
Windows Server 2012 R2:
Activación Automática de Máquinas
Privacidad
Virtuales (AVMA -&Automatic
Cookies: Virtual
este sitio usa cookies. Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más,
incluyendo
Machine como controlar las cookies, mira aquí: Política de Cookies.
Activation)
Windows Server 2012: Instalando y El hecho de estar usando un Controlador de Dominio, es sólo porque luego usaré
Configurando DHCP la misma infraestructura para una nota que incluya la configuración
Cerrarde Sitios de
y aceptar
Active Directory. Lo mismo vale para DC2 que en realidad es, por ahora sólo un
servidor miembro del Dominio, pero no es Controlador de Dominio
https://windowserver.wordpress.com/2013/02/02/windows-server-2012-conectando-sitios-por-vpn-site-to-site-vpn/ 1/47
Active Directory: Verificar la De todas formas repasemos la configuración de las máquina utilizadas
Replicación de Controladores de
Dominio (Repost)
DC1 – Windows Server 2012
Nombre: dc1.root.guillermod.com.ar
Directivas de Grupo (GPO) -
Dirección IP 192.168.1.201/24 (/24 = 255.255.255.0)
Herencia, Forzado y Resolución de
Default Gateway 192.168.1.254
Conflictos Controlador de Dominio (no necesario para esta demostración)
Windows Server 2012: Remote
Desktop - Quick Start (Parte 1) VPN1 – Windows Server 2012
Asignar a Usuarios Fondo de Nombre: VPN1
Pantalla Interfaz Interna:
Configurar Imagen de Fondo de
Dirección IP 192.168.1.254/24
Interfaz Externa:
Escritorio y Pantalla de Bloqueo
Dirección IP 131.107.0.1/16
Deshabilitados todos los protocolos, salvo TCP/IPv4
Más recientes Deshabilitado NetBIOS sobre TCP/IP
No tiene ningún Default Gateway (Puerta de Enlace)
Uso de Máquinas Virtuales en
el Hogar ISP – Windows Server 2012 (Opcional)
Windows Server 2016 – Agregar o
Nombre: ISP
Dirección IP 131.107.0.100/16
Cambiar Idioma
Instalado Web Server, sin ninguna configuración extra
DNS – Dominios y la Zona “_msdcs”
Hyper-V Server 2016 Gratis – VPN2 – Windows Server 2012
Administración Gráfica Remota del Nombre: VPN2
Servidor en Grupo de Trabajo Interfaz Interna:
Hyper-V Server 2016 Gratis – Dirección IP 192.168.2.254/24
Administración Gráfica Remota de Interfaz Externa:
Hyper-V en Grupo de Trabajo
Dirección IP 131.107.0.2/16
Deshabilitados todos los protocolos, salvo TCP/IPv4
Deshabilitado NetBIOS sobre TCP/IP
MCSA No tiene ningún Default Gateway (Puerta de Enlace)
DC2 – Windows Server 2012

Nombre: dc2.root.guillermod.com.ar
MCITP Dirección IP 192.168.2.202/24
Default Gateway 192.168.2.254
Servidor miembro del Dominio (no necesario para esta demostración)
Desde
IMPORTANTE: estos pasos los debemos ejecutar tanto en VPN1 como en VPN2
Participación en Foros
Microsoft Technet Comenzaremos agregando los roles necesarios de la forma habitual
Blogs y sitios
recomendados
El Deza – Infraestructura de Redes
Proteger Mi PC
Tectimes – Un blog de tecnología
Universidad Net
Iniciar sesión
Privacidad & Cookies: este sitio usa cookies. Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más,
Registrarse
incluyendo como controlar las cookies, mira aquí: Política de Cookies.
Acceder
RSS de las entradas
Cerrar y aceptar
RSS de los comentarios
WordPress.com
Blog Stats
5.335.067 hits
Cerrar y aceptar
Acá vemos una de las diferencias con Windows 2008-R2 ahora está dentro de un
rol nuevo “Remote Access”
Cerrar y aceptar
Por supuesto que agregamos la funcionalidad adicional requerida

Para el que le interese el tema, a mi sí, vean los comentaros que ya hice en la
nota Compartir Conexión a Internet sobre la instalación forzada del IIS :-(
Cerrar y aceptar
Cerrar y aceptar
Si quieren configurar también el acceso compartido a Internet, deben marcar

además la opción “Routing”
Cerrar y aceptar
Cerrar y aceptar
Cuando finaliza la instalación nos ofrece, y aceptaremos, la configuración

mediante asistente
Privacidad & Cookies: este sitio usaDemorará

cookies. Al continuar usando este
unos momentos ensitio, estás deelacuerdo
aparecer con cuadro,
siguiente su uso. Para saber más,
y revisen porque a
veces
incluyendo como controlar las cookies, miraqueda tapado
aquí: Política de por otra ventana. Como no implementaremos en esta ocasión
Cookies.
Direct Access, marcamos la tercera opción
Cerrar y aceptar
Nos abrirá la consola de “Routing and Remote Access” donde procederemos a la

configuración, usando el asistente que accedemos con botón derecho
Cerrar y aceptar
Si conjuntamente con VPN quieren configurar el uso compartido de Internet sigan

el asistente. Si no les interesara el compartir Internet, marque la primera opción
“Remote access (Dial-up or VPN)”
Muy
incluyendo como controlar las cookies, importante,
mira marquen
aquí: Política cuál es la interfaz externa (la que conecta a Internet)
de Cookies.
Cerrar y aceptar
Debemos asignar el rango de direcciones IP que se asignarán a la VPN, como

siempre yo prefiero un rango separado de la red
Privacidad & Cookies: este sitio usaSe

cookies.
van aAlnecesitar
continuar usando este sitio,
dos redes VPN, estás
unadepara
acuerdo con su uso.
la conexión Para saber
desde más,
BAires (Buenos
Aires)
incluyendo como controlar las cookies, mirahacia Mendoza,
aquí: Política y otra para Mendoza hacia BAires
de Cookies.
Por lo tanto: Cerrar y aceptar

En VPN1 elegí 172.16.0.1 a 172.16.0.2
En VPN2 elegí 172.17.0.1 a 172.17.0.2
Una dirección del rango la necesita el servidor que recibe la VPN, y otra para
asignarsela al servidor que se conecta.
Por lo tanto tomando sólo 2 IPs me aseguro que no se pueda conectar otro. Si
tuvieran más de un sitio, o esperaran que se conecten usuarios deberían asignar
más direcciones al rango: una para el servidor y una más por cada conexión
esperada
Cerrar y aceptar
Como lo usaré en un ambiente de Dominio Active Directory me tengo que
asegurar que no interfiera en la resolución de nombres, ni en la asignación de IPs,
por lo tanto elijo la segunda opción
Por supeusto que en este caso no usaremos RADIUS
Y finalizamos
Cerrar y aceptar
Por supuesto, aunque no lo usemos siempre aparece el mensaje de DHCP Relay

Agent
Privacidad & Cookies: este sitio usaPodemos

cookies. Al observar
continuar usando
que haeste sitio, estás
quedado de acuerdo con
configurada su uso. de
la opción Para saber más,Internet
compartir
Cerrar y aceptar
Ya podrían probar el acceso desde DC1 al servidor web ISP, yo lo mostraré al

final, cuando probamos todo
Atención que ahora viene la parte más delicada, y donde se suelen cometer los
errores. Por ahora lo único que hemos hecho es la instalación y configuración de
los servidores VPN, ahora necesitamos configurar las conexiones entre los dos
sitios
Vamos a aclara algunas cosas para que luego resulte sencillo seguir los
procedimientos
Yo estoy usando para la demostración dos sitios: BAires y Mendoza.

Y necesitaremos dos redes VPN: una desde BAires hacia Mendoza, y otra desde
Mendoza hacia BAires ¿estamos de acuerdo? ;-)
Por lo tanto tengo que establecer credenciales para cada una de las conexiones
Cuando BAires llame a Mendoza (VPN1 llame a VPN2) utilizará un nombre de

usuario local que debe ser autenticado y autorizado por VPN2.
El nombre de la conexión será el nombre de la cuenta usada para validar
O sea, cuando BAires llame, usará el usuario BAires (con contraseña) que debe
ser una cuenta válida y autorizada para acceso remoto en VPN2
En VPN1 debo crear una conexión llamada BAires, y en VPN2 debe haber una
cuenta local llamada BAires autorizada para VPN
Privacidad & Cookies: este sitio usaAsí mismo,

cookies. cuandousando
Al continuar Mendoza llame
este sitio, a BAires,
estás usará
de acuerdo con una conexión
su uso. llamada
Para saber más,
Mendoza,
incluyendo como controlar las cookies, mira aquí:cuenta
Políticaque debe estar creada y autorizada en Baires
de Cookies.
Como lo anterior no fácil de comprender hasta que uno lo hace, a partir de este
Cerrar y aceptar
momento configuraremos en forma separada cada servidor
Lo siguiente solamente en VPN1
Debemos crear la conexión, comencemos en VPN1 creando la conexión hacia

Mendoza
Cerrar y aceptar
Colocamos el nombre del sitio al que deseamos conectarnos
Usaremos VPN
Ya que no tenemos certificados de máquina utilizaremos como protocolo PPTP

Cerrar y aceptar
Indicamos la dirección IP externa del servidor de Mendoza
Y si deseamos que Mendoza también pueda inciar conexión marcamos “Add a

Privacidad & Cookies: este sitio usauser
cookies. Al continuar
account usando este
so a remote sitio,can
router estás de in”
dial acuerdo con su uso. Para saber más,
Cerrar y aceptar
El próximo paso nos preguntará por la red de destino, para agregar la

correspondiente entrada en la tabla de ruteo. Agregamos la red que estamos
usando en Mendoza
Cerrar y aceptar
Ahora nos solicita las credenciales que utilizará Mendoza cuando llame a BAires.
Con esto creará en VPN1 una cuenta local autorizada para acceder por VPN
Debemos asignarle la contraseña correspondiente
Ahora
incluyendo como controlar las cookies, miranos
aquí:está solicitando
Política las credenciales que usará BAires para conectarse
de Cookies.
hacia Mendoza. Esta cuenta se deberá crear en VPN2 de Mendoza (lo hace el
propio asistente de configuración) Cerrar y aceptar
Y “por fin, fin” :-)
Podemos observar que se ha creado una conexión llamada Mendoza. Entremos a

Privacidad & Cookies: este sitio usasus
cookies. Al continuarpara
propiedades usando
vereste
quésitio, estás de acuerdo con su uso. Para saber más,
ha configurado
Cerrar y aceptar
Algo que seguramente necesitemos cambiar: que la tome como conexión

permanente, esto es que no la desconecte por falta de actividad, lo que en
muchos casos acarrearía que cambiara la dirección IP y tengamos que hacer el
cambio en la interfaz.
Es altamente conveniente que veamos con el ISP de tener conexiones con IP fija
Cerrar y aceptar
Otra a cambiar: podemos tranquilamente deshabilitar la autenticación CHAP, por
insegura, y porque no se utilizará
Dejamos VPN1, y vamos a VPN2
Lo siguiente solamente en VPN2
El proceso de configuración es totalmente análogo, salvo algunas pantallas donde

indicaré los cambios respecto a lo hecho en VPN1
Cerrar y aceptar
Ahora la conexión es desde Mendoza a BAires
Cerrar y aceptar
Ahora es la dirección IP externa de VPN1
Cerrar y aceptar
Ahora incluiremos la red que tenemos en BAires
Cerrar y aceptar
En este caso es BAires (VPN1) la cuenta que llamará a Mendoza (VPN2)
Y Mendoza (VPN2) la cuenta que llamará a BAires (VPN1)

Cerrar y aceptar
Estuvimos nombrando que hay que crear cuentas locales tanto en VPN1 como en
VPN2 (Mendoza y BAires respectivamente). En versiones anteriores del sistema
operativo esto debíamos hacerlo en este momento, pero con Windows Server
2012 esto ya lo ha hecho el asistente anterior
Si entramos en Computer Management de cada servidor veremos que se han
creado las cuentas, y se les han marcado las opciones que noCerrar
caduque la
y aceptar
contraseña y que puedan ingresar por VPN
Muestro la cuenta creada en VPN1 (BAires), pero es análogo en VPN2 (Mendoza)
Ahora
incluyendo como controlar las cookies, mirallegó el “momento
aquí: Política de la verdad” ¿probamos si funciona?
de Cookies.
Cerrar y aceptar
Unos instantes de suspenso :-)
¿O tenías dudas? :-)

Cerrar y aceptar
Debemos proceder análogamente en VPN2 y verificar que conecte
¿Y mira
incluyendo como controlar las cookies, todoaquí:
estoPolítica
que hicimos funcionará realmente?
de Cookies.
Comencemos probando desde DC1 si podemos acceder a Internet.

Cerrar Debemos
y aceptar usar
dirección IP porque no hemos hecho la infraestructura de DNS necesaria
¡Exito!
¿Y podrá conectarse DC2 con DC1? ¡por supuesto!
Bueno, esto llegó hasta acá, ya tenemos dos sitios conectados por VPN
Cerrar y
y aceptar
verificada tanto la conectividad entre los sitios como el acceso a Internet
Esta estructura la usaré en la siguiente nota, donde procederemos a promocionar

a DC2 como Controlador de Dominio del Dominio existente, y lo más importante
crearemos la estructura de Sites, Subnets y Links necesaria para el correcto
funcionaiento de nuestro Dominio
Anuncios
Tu voto:
Compártelo
 LinkedIn  Twitter  Correo electrónico  Imprimir
Me gusta
A 2 blogueros les gusta esto.
Relacionado
Windows
incluyendo como controlar las cookies, Server
mira aquí: 2012:
Política Windows Server 2012
de Cookies. Windows Server 2012:
DirectAccess Paso a (R2): Configurar Servidor Failover Cluster para
Paso, Sencillo y Fácil VPN Hyper-VCerrar y aceptar
(Parte 1-
En "Conectividad de En "Conectividad de Creando la

Red" Red" Infraestructura)
En "Clustering"
By Guillermo Delprato, on 02/02/2013 at 13:01, under Conectividad de Red, How To - Step-by-

step - Paso a paso, Servicios de Red, Windows Server 2012. Etiquetas: Conectividad de Red,
conexión compartida a internet, How To - Step-by-step - Paso a paso, Servicios de Red, windows
server, Windows Server 2012. 48 comentarios
Publica un comentario o deja una referencia: URL de la referencia.
« Windows Server 2012: Compartir Conexión a Internet

Active Directory [Actualizado] »
Comentarios
jecavallin El 03/02/2013 a las 22:21 Permalink | Responder
Excelente . Saludos
Delprato El 04/02/2013 a las 07:21 Permalink | Responder
¡Gracias Jorge!
VicoRM El 26/04/2016 a las 23:35 Permalink | Responder
Hola buenas noches una consulta como puedo priorizar los paquetes dentro
de la vpn en esta estructura de windows server?
Guillermo Delprato El 27/04/2016 a las 06:50 Permalink
Hola VicoRM, que yo sepa, con el sistema operativo no se puede hacer
Jorge Cavallin El 04/02/2013 a las 16:37 Permalink | Responder
Hola. Disculpa el atrevimiento – Ya que se esta en una nueva version de SO ,

estaría bueno una refrescada que pasa en AD , cual es su base de datos , que
datos se guarda en la misma , catalogo global , donde se guarda y que motor lo
hace replicar , lo mismo , como funsiona el sysvo y quien lo replica . saludos
Hola Jorge, ningún atrevimiento, al contrario te agradezco las ideas para

nuevas notas
En general estoy dedicándole más tiempo a los HowTo/Demos porque veo
que tienen mucha más actividad que las notas explicativas/teóricas
Mi ocupación formal es capacitación, y cada vez veo más que
lamentablemente a la mayoría le interesa resolver un tema aunque no
comprenda
Privacidad & Cookies: este sitio usa cookies. cómo
Al continuar funciona
usando :-( estás de acuerdo con su uso. Para saber más,
este sitio,
Aunque también creo que
incluyendo como controlar las cookies, mira aquí: Política de Cookies. es algo incentivado por Microsoft. Casi siempre hay
un asistente que con darle siempre “next, next, …” todo queda funcionando.
Después, vienen los problemas cuando no es la configuración necesaria el
caso Cerrar y aceptar
Pero igual gracias, tengo por ahora dos notas casi listas que están
relacionadas con esto sobre configuración de Sites de AD, y el uso de los
RODC (Read Only Domain Controllers)
Respecto a la actualización a W2012, el tema es que desde el punto de vista
Active Directory, los cambios más grandes están expuestos en las notas, por
ejemplo todo el apoyo a virtualización, el resto digamos que no tiene grandes
cambios. Igual como comentaba antes, voy a ver de preparar algunas notas
sobre funcionamiento
Jorge Cavallin El 06/02/2013 a las 23:14 Permalink
Hola , muchas gracias por tu respuesta . Ya que estas en el tema favor de

mencionar esto : http://support.microsoft.com/kb/944043/es , puesto que en
entornos de dominios con XP y 2003 es fundamenta la aplicación del
paquete de compatibilidad de Windows Server 2008 dominio de sólo
lectura (RODC) . Saludos y muy bueno lo que hacen
Delprato El 07/02/2013 a las 07:54 Permalink
Lo tendré en cuenta gracias

Parece que haz tenido problemas justamente con eso :-)
Hola si con el tema de los RODC , estoy con un temita desde hace varios
meses por no haber leído lo suficiente . ;))
No sé si llego hoy, pero seguro durante el fin de semana sale el de Sites,

que es lo que da el motivo para los RODCs
Preguntá por acá si querés, y puedo ayudar… , en lugar de aprobar el post
te respondo al correo
Ok , muchas gracias . La parte fuerte la esta haciendo un colega de MS

contratado al respecto (ADRAP + TAM + Premier)
Bien!
CARLOS VIDAL El 05/02/2013 a las 18:26 Permalink | Responder
Muy bueno, yo necesito hacer algo similar y a penas empiezo asimilar algunos
conceptos VPN, Servidor etc.; mi necesidad es tener acceso a la información
generada y guardada en los servidores, ubicados en ciudades diferentes.. la
Privacidad & Cookies: este sitio usa pregunta
cookies. Al seria
continuar
estausando este sitio,
conexión queestás de acuerdo
explicas, con
aplica y su
meuso. Para
sirve saber
para más,
satisfacer mi
necesidad??..
Delprato El 05/02/2013 a las 19:42 Cerrar| Responder

Permalink y aceptar
Hola Carlos, la conexión entre sitios es el principio, es lo que da conectividad

de red, o para decirlo más fácilmente es lo que permite que máquinas que
están en diferentes sitios se puedan conectar
Luego lo de poder guardar y acceder va a depender de otras cosas como si
es ambiente de grupo de trabajo o dominio
Influyen mucho el ancho de banda de la conexión a Internet, la capacidad
hardware de los servidores, etc. etc.
Roberto El 25/02/2013 a las 16:05 Permalink | Responder
Hola. Me ha gustado mucho, y acostumbrado al next, next… no he llegado a

entender ciertos conceptos.
No entendido porque las redes VPN tienen que estar en un rango diferente de las
redes de las delegaciones. ¿solo se necesitan para los servidores de acceso?
He intentado reproducir esta VPN, solo he realizado la mitad, ya se me conectan
las redes, pero solo se ven las IPs de los servidores de VPN, el resto de IPs no
se alcanzan. Me esta fallando el ruteo y no se donde.
Si tienes tiempo…. gracias.
Hola Roberto, por las dudas aclaro :-)

Cada sitio debe tener una red diferente para que se produzca el “ruteo” entre
la central y las delegaciones
Respecto a la direcciones de red de la VPN propiamente dicha es otro tema
Cuando se instala un servidor VPN se puede configurar para que dé a los
clientes de la VPN direcciones en el mismo rango interno, o en otro
cualquiera.
De las dos formas funciona, en el primer caso funciona como “ARP Proxy”, y
en el segundo como Router
En general prefiero el segundo, porque al estar en una red diferente se puede
controlar el tráfico por filtrado de paquetes en base a dirección IP y protocolo
En el esquema que hice yo tanto VPN1 como VPN2, no forman parte del
Dominio, luego no interactúan para nada con éste
Si fueran parte del Dominio, y funcionaran como “ARP Proxy” entonces sí
habría que tener cuidado porque VPN2 tendría además de su IP de la
delegación, una dirección del sitio central, con lo cual pueden producirse
inconvenientes cuando busque a los Controladores de Dominio
Agrego que me faltó respecto a la conexión y “ver”. Revisa que por omisión,
en la interfaz externa crea filtrado estático de paquetes permitiendo sólo los
protocolos de VPN
Pero entre la VPN y la red interna no hay ningún filtrado, salvo el propio
cortafuegos
Roberto El 25/02/2013 a las 18:07 Permalink
Gracias por la contestación y no te hago mas preguntas porque es tarea

mia el “estudiar” :) mi reto con esto y por lo que di con tu blog es unir dos
delegaciones (mi casa y la de mi madre) en un mismo dominio y poder
formar un cluster, Por eso necesito un dominio y luego otro tema sera las
IPs del cluster.
Privacidad & Cookies: este sitio usa cookies.SL2
Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más,
Delprato El 25/02/2013 a las 19:47

Cerrar yPermalink
aceptar
Unir las dos “delegaciones” en un Dominio, no deberías tener ningún

problema
Pobre tu madre :-)
Ahora eso de cluster… ¿Failover Cluster? ¿ambos nodos en el mismo
sitio?
Porque se pueden armar Failover Cluster Multi Site, pero se necesita
hardware específico
Acá tienes como para comenzar el cluster
Windows Server 2012: Failover Cluster para Hyper-V (Parte 1 – Creando la
Infraestructura) | WindowServer:
https://windowserver.wordpress.com/2012/11/22/windows-server-2012-
failover-cluster-para-hyper-v-parte-1-creando-la-infraestructura-2/
Tiene ya escritas cinco notas, desde la 1 a la 6
v0o0gu3 El 07/04/2013 a las 14:45 Permalink
Hola Guillermo, buenas tardes y gracias por tus grandes notas sobre
Windows Server.
Estoy intentando hacer esta pregunta en:
http://social.technet.microsoft.com/Forums/es-ES/wsnies/thread/ee55b254-
566d-4de0-a2d1-a9edefe52c56/
Pero por errores en la página no puedo citar o responder a una de tus
entradas, por eso lo escribo aquí y de antemano te doy mil gracias.
Estoy siguiendo esta guía paso a paso para intentar hacer un laboratorio
de pruebas pero no consigo tener visibilidad entre los dos sites.
La diferencia adicional que tengo respecto a tu configuración DC1-VPN1-
Internet-VPN2-DC2 es que tengo los router del proveedor ISP entre
medias: DC1-VPN1-Router Adsl 1-Internet-Router Adsl 2-VPN2-DC2.
Como configuración IP tengo la siguiente:
DC1
IP_LAN: 10.10.100.1 PE: 10.10.100.2
VPN1
IP_WAN: 192.168.0.2 PE: 192.168.0.1 DNS: 8.8.8.8
IP_LAN: 10.10.100.2
Router Adsl 1
IP_WAN: (la ip pública del ISP)
IP_LAN: 192.168.0.1
DC2
IP_LAN: 10.10.101.1 PE: 10.10.101.2
VPN1
IP_WAN: 192.168.1.2 PE: 192.168.1.1 DNS: 8.8.8.8
IP_LAN: 10.10.101.2
Router Adsl 1
IP_WAN: (la ip pública del ISP)
IP_LAN: 192.168.1.1
A la hora de crear las interfaces demand dial en VPN1 y VPN2 apunto a
las direcciones públicas de los router Adls 1 y 2.
La conexión aparece como conectado en ambos sites.
He redirigido el puerto 1723 en ambos routers a la IP_LAN de VPN1 y
VPN2 192.168.X.X
He comprobado que los router que tengo soportan vpn_passtrough y
Privacidad & Cookies: este sitio usa cookies.soportan
Al continuar
el usando esteGRE
protocolo sitio, estás
47. de acuerdo con su uso. Para saber más,
Pero cuando quiero hacer ping desde DC1 a DC2, por ejemplo:
DC1: ping 10.10.101.1 no responde.
DC1: ping 10.10.100.1 no responde. Cerrar y aceptar
Lo que si funciona en los dos sites es el NAT hecho por VPN1 y VPN2 para
compartir el acceso a internet de la interfaz conectada a internet a la
interfaz de la LAN.
Como IPs que asignan VPN1 y VPN2 cuando establecen la conexión he
puesto IPs del rango de la LAN.
Los firewall de todos los servidores están apagados.
Tengo que crear alguna entrada adicional de rutas estáticas para que
tengan visibilidad ambos sites?
Estoy un poco perdido.
Espero vuestra ayuda.
Gracias y un saludo.
La redirección en los Router ADSL hay que hacerla hacia la dirección

externa de los VPN, que por lo que interpreto me parece que ahí está el
problema
Es decir, todo lo que llegue a la IP externa del Router, sea redirigido a la
interfaz *externa del servidor VPN*
Respecto a las IPs para las VPNs, creo que el artículo lo dice, a mí me
gustan más rangos independientes, es más fácil si quieres filtrar y además
es más claro si hay que resolver problemas, pero usando IPs locales de
cada sitio debería funcionar igual
El tema es que si usas IPs diferentes, el VPN funciona como Router, y si
son IPs locales es como si fuera un “Proxy ARP” que a veces da algún
problema
v0o0gu3 El 08/04/2013 a las 11:34 Permalink | Responder
Hola Guillermo, buenas tardes.

Gracias por la respuesta.
Tengo dudas de cómo hacerlo realmente. No sé si tengo que crear una ruta
estatica dentro de las reglas del router ADSL o dentro del rol de RRAS hacer esa
misma ruta estática.
Si es dentro del router. Entiendo que por defecto estará redirigido todo a la
IP_LAN del router, en este caso 192.168.0.1. Tendría que crear una ruta que
redirija a la IP_LAN del servidor VPN 192.168.0.2??
Si es en el rol. Cómo debería crear esta ruta estática o respecto a qué interfaz?
Espero puedas explicarme un poco porque creo que no tengo nada claro los
conceptos básico de rutas.
En cada Router hay que hacer que todo lo que llegue a “Dirección IP Pública
– Protocolo TCP-1723” se envíe a “Dirección IP Externa TCP-1723” del
servidor VPN
Los que manejan la conectividad entre los sitios son los servidores VPN, y el
Privacidad & Cookies: este sitio usa cookies.
propioAl continuar
asistenteusando este sitio, estáspregunta
de configuración de acuerdo con es
cuál su uso. Para
“la red saber
del otromás,
sitio”, así
queaquí:
incluyendo como controlar las cookies, mira ya quedan definidas
Política de Cookies. las rutas necesarias. No hay que hacer nada en el
Router
Fíjate que en la figura que está luego del párrafo que pegoCerrar y aceptar
a continuación
está la indicación de la red del otro sitio
“El próximo paso nos preguntará por la red de destino, para agregar la
correspondiente entrada en la tabla de ruteo. Agregamos la red que estamos
usando en Mendoza”
Hola Guillermo, muchisimas gracias por la respuesta.

Pues viendo la indicación que me haces. La configuración que tengo es la
correcta y tal cual como tienes en esta nota.
Tengo creado una regla de redirección de puertos en cada ruter a la IP de
la de interfaz conectada al router de los servidores vpn del puerto 1723.
Si no fuera así no se conecectaría con la conexión demand dial. y si lo
hace.
También me aparece la regla de ruta de las ips del rango LAN remoto.
Pero cada vez que quiero hacer ping desde un cliente a la ip del rango
LAN remoto, me da tiempo de espera agotado para la solicitud y eso que la
regla de ruteo que se crea por defecto es sobre la interfaz de marcada.
Ejemplo de la regla: 10.10.101.0 255.255.255.0 interfaz=demand dial
Hago tracert desde un cliente a una IP LAN remoto, y la traza va a hasta la
puerta de enlace, que es el servidor VPN, pero a partir de ahí ya da TIME
OUT.
El ping no responde ni siquiera haciendo ping desde los servidores VPNs a
la IP de otro servidor vpn, ni las IPs del pool establecido en la
configuración 172.x.x.x ni con las IP de la LAN 10.10.x.x
Me encuentro en un punto en el que no veo en que punto de la
configuración está fallando.
Para comprobar si el tunel está establecido, basta con ver que la interfaces
demand dial están conectadas no es así?
Espero tu ayuda. Gracias y un saludo.
PD: he creado una entrada en en technet para no llenar está nota de
preguntas técnica.
http://social.technet.microsoft.com/Forums/en-
US/windowsserver2008r2branchoffice/thread/1bb0be27-3b66-4c04-b869-
0d3d8f1ce2c8
Respondo por acá porque veo que lo haz puesto en los foros Technet en
inglés, y no en los de español :-)
Para saber si la VPN está realmente conectada, lo puedes ver en la
consola RRAS, las interfases deben estar como “Connected” ¿es así?
Segundo punto a revisar ¿cuál es la puerta de enlace de los clientes en
cada site? recuerda que debe ser la interfaz interna del servidor VPN?
Porque el cliente tiene que saber que debe dirigir la respuesta al servidor
VPN local
Y tercer que es típico del error que comentas ¿está permitido el PING en el
Privacidad & Cookies: este sitio usa cookies.cortafuegos de loseste
Al continuar usando clientes? porque
sitio, estás a mí me
de acuerdo con ha pasado
su uso. Para :-)
saber más,
Prueba deshabilitando,
incluyendo como controlar las cookies, mira aquí: Política de Cookies. aunque sea momentáneamente el firewall de cada
cliente
Cerrar y aceptar
v0o0gu3 El 10/04/2013 a las 09:03 Permalink | Responder
Hola Guillermo, buenas tardes.

En la consola de RRAS de ambos servidores VPN (VPN1 y VPN2) la interfaz
demand dial aparece como conectada. He revisado los puertos en la misma
consola. Y aparece como activo un puerto PPTP en cada servidor. Obtienen IPs
remotas del pool creado en la configuración VPN. que de hecho al final cambie
los rangos y los puse como indicabas en la nota y los puese de rangos 172.X.X.X
diferences a los de WAN Interface(192.x.x.x) y LAN. (10.X.X.X)
Los firewall, están desactivados en todas las máquinas para ahorrarme
problemas. Tanto en los servidores como en los clientes. Una vez que funcione
los habilitaré y crearé las reglas pertinentes.
Una prueba que he realizado ha sido hacer un tracert desde cualquiera de los
servidores VPN a una IP de la LAN remota, por ejemplo: tracert 10.X.X.X, pero
no timepo agotado para la solicitud.
He comprobado que se crease la ruta estatica 10.X.X.X en la interfaz de la
conexión de marcado y es correcta en ambos servidores.
Una observación que tengo que hacer, es que cuando hago la conexión sólo
desde un punto, sin demand dial, es decir, creado una conexión vpn remota
desde un cliente y de esta manera si soy capaz de hacer ping a todas las
máquinas remotas y desde las remotas al cliente que se conecta. Por lo que
deduzco que la conexión funciona correctamente y los routers ADSL, permiten el
trafico GRE.
No sé en que punto de la configuración estoy fallando. Porque parace que las
máquinas no entiendes que el trafico debe ir por la interfaz demand dial.
De hecho cuando me preguntas respecto a la puerta de enlace de las maquinas
de la LAN y la puerta de enlace es la IP_LAN del servidor VPN, ya que está
haciendo correctamente el NAT y comparte bien internet en las máquinas de la
LAN, pero el tema del túnel VPN no está funcionando.
Tendré que habilitar algo como NPS o alguna politica de red?? En principio no
debería de ser así no?
Espero tu respuesta. Gracias y un saludo.
Reviso, pienso, pienso, pienso, … porque por todo lo que comentas está todo
correcto
Sigo pensando, ahhhhhhhhhhhhhhhh!!! a ver si es esto
Creo recordar que un post anterior nombraste que los VPNs eran W2008-r2
¿es asi?
Si es eso ya lo encontramos :-)
En W2008-R2 o anteriores, cuando configuras VPN y durante el asistente le
indicas cuál es la interfaz externa, por omisión hay un “checkbox” que dice
algo así como habilitar la seguridad. La consecuencia de eso, es que sobre
ambas interfases pone filtrado de paquetes permitiendo *solamente* los
protocolos de VPN
En RRAS, en las propiedades de cada interfaz, tienes dos botones “Inbound
Filters” y “Outbound Filters” (creo que se llaman así). Ingresa en cada uno de
ellos y elimina los filtros
Dime si era ese el problema
Buenas tardes Guillermo, gracias de ante mano por estar tan disponible e
intentar solucionar mis “problemas” Cerrar y aceptar
Bueno, te comento:
Tengo un error muy grande desde el principio, que ha sido sólo probar a
hacer ping a la dirección IP de la LAN remota, cosa que nunca funciona, da
Time out.
La segunda prueba que he hecho siempre ha sido hacer una traza hasta la
IP de la LAN remota, cosa que tampoco funciona y da time out.
Pero ahora se me ha ocurrido crear un recurso compartido en un servidor
del SITE 1 y resulta que desde una máquina del SITE 2 puedo acceder a
ese recurso compartido de manera \\IP_LAN_REMOTA.
He probado a hacer escritorio remoto a la IP_LAN_REMOTA y también
funciona.
Entonces por lo que deduzco todo funciona correctamente y lo que me ha
vuelto loco ha sido el tema de ping y tracert.
Ahora me hago una pregunta. Por qué el ping y el tracert no funcionan?
porque estos dos comandos no se dirigen por la interfaz demand dial y
protocolos como RDP(3389) sí se dirigen?
Se me escapa conceptualmente esta teoría.
Respecto a los Filtros de entrada y salida, he revisado en todas las
interfaces de RRAS y no hay ningún filtro creado.
Podría empezar a implentar el Active Directory con esta configuración? o
tendría problemas a la hora de querer replicar Active Directory y DNS de
un Site a otro?
Puede que se haya creado alguna regla (invisible para mí) al crear el
recurso compartido y haya empezado todo a funcionar?
Gracias por tu ayuda y espero que puedas contestarme a estas dudas que
me surgen de nuevo.
Un saludo.
:D :D :D
Si todo funciona menos PING y TRACERT es casi seguro que lo que se
está bloqueando en algún lado es el protocolo ICMP, pero eso te toca a tí ir
máquina por máquina y ver dónde :)
Para poder tener ambiente de dominio a través de la VPN hay varias
consideraciones
– ICMP de los clientes a los DCs es requerido. Los clientes (salvo W8) lo
necesitan durante el inicio de sesión porque lo usan para detectar si están
en una “red lenta” y de acuerdo a eso es cómo aplican las GPOs
– Una VPN siempre es lenta por el consumo de recursos que implica cifrar
/ descifrar la información. Consume mucho procesador y aumenta el tráfico
– Cuidado con las conexiones asimétricas (tipo ADSL) porque “el que
manda” es el menor que suele ser el de “subida”
– Se debe armar en AD la correspondiente infraestructura de Sites, Links y
Subnets. Para explicarle al sistema la infraestructura física
– Depende también del tamaño del AD
Pero como poder, se puede perfectamente

v0o0gu3AlElcontinuar
10/04/2013usando este
a las sitio, estás de acuerdo con su uso. Para saber más,
13:22 Permalink | Responder
Buenas tardes, Guillermo.
Cerrar
Muchas gracias por toda tu ayuda y sobre todo por la cantidad y aceptar
de notas que
tienes sobre Windows Server.
Son mi Biblia!! :-)

No sé porque motivo ahora desde los cliente hace trazas y responde al ping, por
lo que el protocolo ICMP está funcionando correctamente y no hay nada que lo
bloquee.
Es posible que al haber creado un recurso compartido en una máquina remota e
intentar acceder a ese recurso haya empezado a funcionar todo o son paranoias
mías?
Respecto a la configuración que quiero hacer de Active Directory, es sencilla, ya
que contará con dos Sites Geográficos y contará con un controlador de dominio
principal en el Site1 y quiero hacer la promoción a un segundo controlador de
dominio en el Site2.
Ambos tendrás DNS, que entiendo que tengo que poner IP DNS a los
controladores en los clientes de ambos sites no? También debo de poner la DNS
en la interfaz LAN de los servidores VPN o no es necesario?
Ahora me voy a por tu siguiente nota: Configurando Sites en AD. y empezaré a
crear los sitios, subnets, etc.
Una pregunta: Tengo un dominio Pepito.es que la gestión de DNS la hace una
empresa. Si yo quiero crear un dominio que sea casa.pepito.es, tendré pobremas
a la hora de que yo no estoy en el bosque pepito.es y no tengo permisos a ese
dominio al gestionarlo una empresa? tendría que llamarlo pepito.local para que
no haya problemas en la promoción?
No tiene relación que al crear un compartido si habilite ICMP, debe haber

habido algún otro tema, quizás alguna información incorrecta “cacheada”, la
verdad no sé :-(
Cuidado con el tema nombre de “Dominio AD”, es una decisión clave y que si
luego decides cambiarlo, no es una operación trivial, puede llegar a dar
bastante trabajo
No es lo mismo “Dominio de Internet” que “Dominio de AD”. Se puede usar el
mismo, o diferente, o como planteas un subdominio del de prescencia en
Internet. En este último caso es importante que en los DNSs públicos no
figure la delegación al “subdominio AD”. No necesitas ningún permiso sobre el
dominio “pepito.es”
Cualquiera de las tres opciones planteadas es válida y funciona, aunque luego
en cada una se tengan que hacer configuraciones diferentes para resolver
nombres externos. Lo importante es que el nombre contenga por lo menos un
“.” (punto) para no tener problemas con la resolución DNS
joncris El 02/08/2013 a las 01:08 Permalink | Responder
soy nuevo en esto, el servidor vpn reemplaza el router en las sedes o como es la
conexión? es que sucede lo siguiente un cliente que ya tiene toda su red
funcionando quiere un servicio en un data center que yo estoy montando, el
servicio requiere de la confirmación del dominio del cliente y este se encuentra
en su sede lejos de mi data center, considero que la solución es una vpn pero no
veo como funciona con la red ya montada si entra en conflicto con la router o
algo similar y mas aun como lo configura dentro del data para que no interfiera
Privacidad & Cookies: este sitio usa con
cookies.
los Al continuar
demas usando agradeceria
equipos. este sitio, estásside acuerdo
alguno con su
tiene unuso. Para saber
diagrama más, mas
mucho
detallado
incluyendo como controlar las cookies, ([email protected]),
mira aquí: Política de Cookies. gracias de antemano.
Delprato El 02/08/2013 a las 08:15 Cerrar| Responder

Permalink y aceptar
El servidor VPN no reemplaza a un Router, aunque ambas funcionalidades

pueden estar en el mismo equipo, o separados
Un Router permite la conectividad a Internet
Una disposición muy usada es Internet-Router-VPN-RedInterna
Un servidor VPN permite que desde Internet se pueda acceder en forma
segura y autenticada a la red interna
Por otro lado lamentablemente en estos comentarios referidos a la nota en
cuestión no los podemos usar para asesoramiento o consultoría de cómo
implementarlo para determinadas situaciones. Habría que conocer muchos
más datos, y además la extensión haría imposible hacerlo acá
joncris El 02/08/2013 a las 16:31 Permalink
ok, me aclara mucho sobre como seria la secuencia de la red. agradezco

la informacion.
La nota donde haz puesto el comentario se refiere a interconectar sitios

diferentes a través de Internet, quizás te sean más últiles cualquiera de
estas dos notas
Demostración Conectando Clientes a la Red por VPN – Windows Server
2008-R2 y Windows 7 – Parte 1 por PPTP | WindowServer:
https://windowserver.wordpress.com/2011/07/09/demostracin-conectando-
clientes-a-la-red-por-vpn-windows-server-2008-r2-y-windows-7-parte-1-
pptp-2/
Windows Server 2012: Demostración Conectando Clientes a la Red por
VPN | WindowServer:
https://windowserver.wordpress.com/2012/07/29/windows-server-2012-
demostracin-conectando-clientes-a-la-red-por-vpn/
Victor El 11/03/2016 a las 20:23 Permalink | Responder
Hola buenas noches, tengo una consulta, de acuerdo a esta infraestructura que
hiciste de VPN sitio a sitio con windows server 2012 en ambas VPN puedes
colocarle QoS, para el manejo del ancho de banca, asi como las prioridades de
videollamas, consulta a una base de datos, como se podria realizar??
Guillermo Delprato El 12/03/2016 a las 09:39 Permalink | Responder
Hola Victor, estos son comentarios sobre la nota y cuando puedo oriento o
ayudo, pero no es un sitio consultoria ni soporte
Sólo aclararte que los que buscas no creo que lo puedas realizar con un
servidor Windows VPN
Ezequiel Gustavo Muñoz El 31/01/2019 a las 19:15 Permalink | Responder
Hola Guillermo, antes que nada, queria felicitarte por esto que fuiste formando.
Queria hacerte una pregunta con respecto al tema abordado en esta nota.
Privacidad & Cookies: este sitio usa Yo hice Al
cookies. toda la infrastructura
continuar talcual
usando este sitio, la de
estás hiciste vos
acuerdo y cuestion
con que
su uso. Para cuando
saber más, quiero
abrir el IIS, no me deja.
VPN1:
Interna: 10.0.0.41/24 Cerrar y aceptar
Externa: 131.107.0.1/16
VPN2:
Interna: 10.0.1.41/24
Externa: 131.107.0.2/16
DC1:
interna: 10.0.0.5
Mis tarjetas de red estan configuradas tal cual lo mencionaste. Pero tengo mis
dudas sobre este punto. Yo en mi PC tengo 2 tarjetas de red, la onboard y una
agregada. La cuestion es que agarre una placa y le puse interna y a la otra
externa. Eso esta bien? hay alguna forma de verificar cual realmente sea la
interna o externa? o es simplemente realizar un cambio de nombre?
Tampoco entiendo bien el tema de que una placa “va a tener salida a internet” y
“la otra no” … me podrias despejar esas dudas por favor? muchisimas gracias!!
Hola Ezequiel, no comprendo parte de la pregunta, y no puedo responder por

acá, recurre, por ejemplo a los foros de Technet donde se pueden hacer más
preguntas sobre la infraestructura
Por lo menos que figure dónde está conetada “mi PC”, cuál es el objetivo para
agregarle una segunda placa y dónde se conecta. Que sea “Interna” o
“Externa” depende de a qué red la conectes y qué configuración IP tenga. A
qué IIS te refieres, etc. etc.
Eru10 El 26/02/2019 a las 16:32 Permalink | Responder
Si ambas redes van a compartir una sola IP Publica atraves de NAT? Cual sera
por defecto? ambos servidores VPN usan difefrentes IP’s Publicas logicamente.
Imagino que dependiendo del sitio donde salgas a Internet, usaras la IP Pbnulica
en interfaz externa de cada servidor VPN. Estoy en lo cierto?
Eso lo manejan las rutas IP que estén definidas. Si una máquina de un sitio
tiene configurada como puerta de enlace a su servidor VPN local, es éste el
que determina por dónde sale
Pero a tener en cuenta es que además de VPN hay que configurar el NAT
para que los clientes tengan salida a Internet, que estando como VPN ya no lo
permite el asistente, hay que agregarlo y configurarlo a mano
Trackbacks
Por Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) « WindowServer
« MVPs de LATAM el 07/02/2013 a las 21:36
[…] Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) «
WindowServer […]
Por Configurando Sites (Sitios) en Active Directory « WindowServer el 08/02/2013 a las

13:30 Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más,
[…] En esta ocasión aprovecharé la infraestructura ya creada para la nota
Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN)
Cerrar […]
y aceptar
Por » Configurando Sites (Sitios) en Active Directory WindowServer el 08/02/2013 a las

13:33
[…] En esta ocasión aprovecharé la infraestructura ya creada para la nota

Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) […]
Por Windows Server 2012: Por Qué un RODC (Read Only Domain Controller) «
WindowServer el 16/02/2013 a las 09:53
[…] esta demostración y casi como continuación a las dos anteriores Windows
Server 2012: Conectando Sitios por VPN (Site to Site VPN) y Configurando Sites
(Sitios) en Active Directory voy a desarrollar una funcionalidad poco […]
Por » Windows Server 2012: Por Qué un RODC (Read Only Domain Controller)
WindowServer el 16/02/2013 a las 09:56
(Sitios) en Active Directory voy a desarrollar una funcionalidad […]
Por Windows Server 2012: Por Qué un RODC (Read Only Domain Controller) «
WindowServer « MVPs de LATAM el 21/02/2013 a las 22:55
(Sitios) en Active Directory voy a desarrollar una funcionalidad poco […]
Por Instalación de Active Directory – Promoviendo un Controlador de Dominio en un Site

Remoto – Nota V | WindowServer el 14/06/2013 a las 09:54
[…] La “más real” podríamos hacerla utilizando dos servidores y configurar una
“VPN Sitio a Sitio”. Pueden ver un ejemplo de configuración con paso a paso en
Por » Instalación de Active Directory – Promoviendo un Controlador de Dominio en un Site

Remoto – Nota V WindowServer el 14/06/2013 a las 10:01
[…] La “más real” podríamos hacerla utilizando dos servidores y configurar una
“VPN Sitio a Sitio”. Pueden ver un ejemplo de configuración con paso a paso en
Este espacio es para comentarios sobre la nota. No es un sitio de

soporte
Introduce
Privacidad & Cookies: este sitio usa cookies. aquí tu usando
Al continuar comentario...
este sitio, estás de acuerdo con su uso. Para saber más,
Cerrar y aceptar
This site uses Akismet to reduce spam. Learn how your comment data is
processed.
Blog de WordPress.com. | .
Cerrar y aceptar

Windows Server 2012 - Conectando Sitios Por VPN (Site To Site VPN) - WindowServer

Cargado por

Copyright:

Formatos disponibles

Windows Server 2012 - Conectando Sitios Por VPN (Site To Site VPN) - WindowServer

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Windows Server 2012 - Conectando Sitios Por VPN (Site To Site VPN) - WindowServer

Cargado por

Copyright:

Formatos disponibles

9/4/2019 Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) | WindowServer

Inicio Windows Server 2012: Conectando Sitios por VPN (Site to

Inclusive, y por seguridad, en la configuración que mostraré, los dos servidores

DC2 – Windows Server 2012

Por supuesto que agregamos la funcionalidad adicional requerida

Si quieren configurar también el acceso compartido a Internet, deben marcar

Cuando finaliza la instalación nos ofrece, y aceptaremos, la configuración

Privacidad & Cookies: este sitio usaDemorará

Nos abrirá la consola de “Routing and Remote Access” donde procederemos a la

Si conjuntamente con VPN quieren configurar el uso compartido de Internet sigan

Debemos asignar el rango de direcciones IP que se asignarán a la VPN, como

Privacidad & Cookies: este sitio usaSe

Por lo tanto: Cerrar y aceptar

por lo tanto elijo la segunda opción

Por supeusto que en este caso no usaremos RADIUS

Por supuesto, aunque no lo usemos siempre aparece el mensaje de DHCP Relay

Privacidad & Cookies: este sitio usaPodemos

Ya podrían probar el acceso desde DC1 al servidor web ISP, yo lo mostraré al

Yo estoy usando para la demostración dos sitios: BAires y Mendoza.

Cuando BAires llame a Mendoza (VPN1 llame a VPN2) utilizará un nombre de

El nombre de la conexión será el nombre de la cuenta usada para validar

Privacidad & Cookies: este sitio usaAsí mismo,

Lo siguiente solamente en VPN1

Debemos crear la conexión, comencemos en VPN1 creando la conexión hacia

Ya que no tenemos certificados de máquina utilizaremos como protocolo PPTP

Indicamos la dirección IP externa del servidor de Mendoza

Y si deseamos que Mendoza también pueda inciar conexión marcamos “Add a

El próximo paso nos preguntará por la red de destino, para agregar la

Y “por fin, fin” :-)

Podemos observar que se ha creado una conexión llamada Mendoza. Entremos a

Algo que seguramente necesitemos cambiar: que la tome como conexión

Dejamos VPN1, y vamos a VPN2

Lo siguiente solamente en VPN2

El proceso de configuración es totalmente análogo, salvo algunas pantallas donde

Ahora la conexión es desde Mendoza a BAires

Ahora es la dirección IP externa de VPN1

Ahora incluiremos la red que tenemos en BAires

En este caso es BAires (VPN1) la cuenta que llamará a Mendoza (VPN2)

Y Mendoza (VPN2) la cuenta que llamará a BAires (VPN1)

Muestro la cuenta creada en VPN1 (BAires), pero es análogo en VPN2 (Mendoza)

Unos instantes de suspenso :-)

¿O tenías dudas? :-)

Debemos proceder análogamente en VPN2 y verificar que conecte

Comencemos probando desde DC1 si podemos acceder a Internet.

¿Y podrá conectarse DC2 con DC1? ¡por supuesto!

Esta estructura la usaré en la siguiente nota, donde procederemos a promocionar

 LinkedIn  Twitter  Correo electrónico  Imprimir

En "Conectividad de En "Conectividad de Creando la

By Guillermo Delprato, on 02/02/2013 at 13:01, under Conectividad de Red, How To - Step-by-

« Windows Server 2012: Compartir Conexión a Internet

jecavallin El 03/02/2013 a las 22:21 Permalink | Responder

Delprato El 04/02/2013 a las 07:21 Permalink | Responder

VicoRM El 26/04/2016 a las 23:35 Permalink | Responder

Guillermo Delprato El 27/04/2016 a las 06:50 Permalink

Hola VicoRM, que yo sepa, con el sistema operativo no se puede hacer

Jorge Cavallin El 04/02/2013 a las 16:37 Permalink | Responder

Hola. Disculpa el atrevimiento – Ya que se esta en una nueva version de SO ,

Delprato El 04/02/2013 a las 17:03 Permalink | Responder