Como crear una VPN

20/03/2006 - 23:32 por Fede | Informe spam
Hola, tengo un montado un pequeño servidor con W2003 Server Standard Edition
en un red de 5 puestos en mi despacho de Valencia. Accedemos a una
aplicación de contabilidad y facturación instalada en el servidor por
Terminal Service, sólo tengo instalado ese servicio, ni DHCP, ni WINS, ni
C.Dominio, etc... está en un simple grupo de trabajo.
Ahora voy a tener que pasar unas largas temporadas en un cliente en Mallorca
para poner al dia la contabilidad y facturación de un cliente, quiero
conectar desde el despacho de Mallorca con el servidor de mi oficina en
Valencia. En ambas "sedes" hay conexión a internet por ADSL.
Supongo que tengo que montar una VPN, creo que se necesitaría una IP fija en
mi despacho de Valencia, ¿no es así?, para facilitar la conexión.
Ya sé que el tema es extenso, pero ¿ por dónde empiezo ? No sé si tendría
que añadir algún hardware nuevo, configurar el router o los dos routers...
Qué cuidados tengo que tener a la hora de implementar la VPN, qué medidas de
seguridad, etc.
Bueno, agradezco cualquier orientación preliminar para luego ir entrando en
detalle.

Saludos.

Fede

Preguntas similare

Leer las respuestas

#1 Rafael E. Villaseñor Jofré
22/03/2006 - 02:45 | Informe spam
Hola...
La VPN es saludable por la seguridad que brinda a la conexión.
Sin embargo deberías utilizar a través de ésta una sesión de TS (Terminal
Services).
Por mas que realices una VPN que genere una conectividad con un sitio
remoto, suelen ser vínculos lentos lo que lleva a tener incómodos retardos
ante la transferencia de archivos.
Por otro lado, es correcto que necesitarás IP fija en el sitio al que
quieres acceder.
Algunos routers integran un cliente de "DNS dinamico". Eso permite
identificar en que IP se encuentra un equipo, aunque la misma cambie.
Si tu router no posee dicha característica puedes utilizar algún cliente
como el ofredido por NO IP (www.no-ip.com)

Resuelve lo de la IP y luego seguimos con los otros temas.
Saludos.
Rafael E. Villaseñor Jofré
Tucuman 927 - Servicios Informáticos
Bs. As. - Argentina

Participa en http://www.grupoitpro.com.ar

"Fede" escribió en el mensaje
news:
Hola, tengo un montado un pequeño servidor con W2003 Server Standard
Edition en un red de 5 puestos en mi despacho de Valencia. Accedemos a una
aplicación de contabilidad y facturación instalada en el servidor por
Terminal Service, sólo tengo instalado ese servicio, ni DHCP, ni WINS, ni
C.Dominio, etc... está en un simple grupo de trabajo.
Ahora voy a tener que pasar unas largas temporadas en un cliente en
Mallorca para poner al dia la contabilidad y facturación de un cliente,
quiero conectar desde el despacho de Mallorca con el servidor de mi
oficina en Valencia. En ambas "sedes" hay conexión a internet por ADSL.
Supongo que tengo que montar una VPN, creo que se necesitaría una IP fija
en mi despacho de Valencia, ¿no es así?, para facilitar la conexión.
Ya sé que el tema es extenso, pero ¿ por dónde empiezo ? No sé si tendría
que añadir algún hardware nuevo, configurar el router o los dos
routers... Qué cuidados tengo que tener a la hora de implementar la VPN,
qué medidas de seguridad, etc.
Bueno, agradezco cualquier orientación preliminar para luego ir entrando
en detalle.

Saludos.

Fede



Respuesta Responder a este mensaje
#2 Fede
22/03/2006 - 23:17 | Informe spam
Hola, gracias por tus recomendaciones.
Mi router sí que soporta DDNS, he abierto una cuenta en www.dyndns.org, así
que tengo un dominio tipo midominio.dyndns.org. He configurado en el router
mi dominio, mi usuario y contraseña para dyndns.org. De esta forma supongo
que no sería ya tan necesaria la IP fija, ¿verdad?, si puedo evitarla eso
que me ahorraría de gastos, pero bueno si no hay más remedio la contrato y
santas pascuas.
Ahora supongo que tendría que configurar el servidor para aceptar
conexiones entrantes por VPN, ¿o hay algo que hacer antes?.
Lo que no tengo claro aún es lo de usar Terminal Service a través de la VPN,
y ejecutar la aplicación del servidor.
Bueno, poco a poco.

Saludos y gracias.

Fede
Respuesta Responder a este mensaje
#3 Rafael E. Villaseñor Jofré
23/03/2006 - 03:28 | Informe spam
Vas bien, ya que con DDNS alcanza para lograr sesiones de TS.
Debes verificar que tu router pueda redireccionar determinados puertos a
alguna IP.
(En algunos reouters figura como "forwarding" o "virtual servers")
La idea sería que redirecciones a la IP FIJA que debería tener el server los
puertos relacionados con los servicios VPN y en forma subsidiaria de TS
(aunque no sería lo recomendable).
Dichos puertos por defecto son: TCP 3389 (TS) y TCP 1723 (VPN).

Una vez hecho eso busca en "Herramientas administrativas" la MMC (consola)
llamada "Enrutamiento y acceso remoto".
Desde allí podrás ejecutar un asistente al que podrás indicar que necesitas
configurar un VPN Server.
Luego sigue el asistente.
Una vez terminado, busca en las propiedades del usuario que vas a utilizar
la solapa MARCADO (DIAL-IN) y seleciona PERMITIDO.

Por otro lado para acceder en forma remota deberías activar al menos
"Escritorio remoto".
Este te permitirá mantener hasta 2 sesiones simultaneas con el server en
forma remota.
Para activarlo, busca en "Panel de control" el applet SISTEMA \ solapa
REMOTO.
Y en la parte inferior podrás activarlo y determinar que usuarios podrán
utilizarlo.

Finalmente para lograr la conexión de "escritorio remoto" puedes hacerlo de
2 maneras:
1) A través de la VPN (la + recomendable)
2) En forma directa

1) desde la estación remota, busca en el "Panel de control" el applet
"Conexiones de red"
Desde allí podrás ejecutar el asistente para una nueva conexión.
Indica en el nombre del host el DDNS que creaste previamente.
Te conectas con el usuario y contraseña de tu server remoto (el que
configuraste como VPN Server).
Una ve generada la VPN abre el "cliente de escritorio remoto" (viene
provisto en Windows XP/2003, sino puedes descargarlo en forma libre y
gratuita del site de Microsoft) e indica en EQUIPO la IP que utiliza tu
server en forma INTERNA (no la pública, que por otro lado desconoces).
LISTO

2) Si configuraste en el router que redireccionara el puerto 3389, podrás
utilizar esta opción.
En realidad no es muy segura, por lo que si no vas a utilizarla no dejes el
"forwarding" creado.
Basta con abrir el "cliente de escritorio remoto" e indicar el nombre del
host el DDNS que creaste previamente.
Existe una práctica por la cual podrías cambiar el puerto 3389 que se
utiliza por defecto.
Si fueras a hacerlo, deberías a su vez redireccionar el puerto elegido y no
el 3389.
Te dejo un link que detalla dicho procedimiento:
http://support.microsoft.com/kb/306759

Saludos.
Rafael E. Villaseñor Jofré
Tucuman 927 - Servicios Informáticos
Bs. As. - Argentina

Participa en http://www.grupoitpro.com.ar

"Fede" escribió en el mensaje
news:Or%
Hola, gracias por tus recomendaciones.
Mi router sí que soporta DDNS, he abierto una cuenta en www.dyndns.org,
así que tengo un dominio tipo midominio.dyndns.org. He configurado en el
router mi dominio, mi usuario y contraseña para dyndns.org. De esta forma
supongo que no sería ya tan necesaria la IP fija, ¿verdad?, si puedo
evitarla eso que me ahorraría de gastos, pero bueno si no hay más remedio
la contrato y santas pascuas.
Ahora supongo que tendría que configurar el servidor para aceptar
conexiones entrantes por VPN, ¿o hay algo que hacer antes?.
Lo que no tengo claro aún es lo de usar Terminal Service a través de la
VPN, y ejecutar la aplicación del servidor.
Bueno, poco a poco.

Saludos y gracias.

Fede

Respuesta Responder a este mensaje
#4 Fede
25/03/2006 - 01:56 | Informe spam
Hola, muchas gracias, ya he conseguido algo, creo.
Mi router no soportaba "virtual servers", se lo he pedido prestado a un
cliente a cambio del mío para hacer las pruebas (qué cliente más majo este
hombre).
Duda: ¿El rendimiento y/o seguridad es el mismo con midominio.dyndns.org que
con una IP fija? Consulté a mi comercial de Telefónica y me ha dicho que la
IP fija sale por unos 150 euros anuales, y claro está, es mucho mejor (para
ellos) que la solución ("chapucilla" según él) del dyndns.org.
He hecho las pruebas en mi red y aparentemente funciona, para imaginarme que
estoy en otra ubicación desconecto un ordenador del switch y conecto a
internet por modem, pero me fijo que el ordenador una vez que conecto a la
VPN se queda sin acceso a internet... ¿Hay que configurar algo más en el
router?, ¿es cosa del Firewall del servidor o del ordenador cliente?
También me quedé con la duda de las "2 sesiones simultáneas con el servidor
en forma remota". No diferencio, no tengo claro si es lo mismo lo del acceso
escritorio remoto que el acceso por Terminal Service. Me interesaría que
desde Mallorca se pudiera conectar con mi servidor de Valencia desde 3 o 4
equipos, incluso a veces simultáneamente. Aquí en Valencia tengo entendido
que tengo 5 licencias (son justamente 5 ordenadores los que tenemos) de
acceso al servidor, y accedemos por Terminal Service a la aplicación de
Facturación-Contabilidad; ¿tendría que adquirir nuevas licencias si quiero
acceder desde Mallorca por Terminal Service, a través de la VPN, al servidor
de Valencia?

Perdón si son muchas preguntas.

Muchas gracias por tu interés.
Saludos.

Fede
Respuesta Responder a este mensaje
#5 Rafael E. Villaseñor Jofré
26/03/2006 - 04:52 | Informe spam
Ok, vamos por parte...
Lo de DDNS, efectivamente no es muy profesional.
Existe un margen de error entre el cambio de IP la actualización con el DNS
que provee el servicio.
Si está en tus posibilidades cambiar a IP FIJA tendrás un servicio mas
ESTABLE: que no implica SEGURIDAD en el sentido estricto.

Cuando realizas una VPN efectivamente por defecto no puedes abrir un browser
de Internet y navegar.
Esto ocurre porque el tunel cierra la conexión entre tu PC y el equipo
remoto.
Puedes eludir dicha limitación, pero estarías quebrando la seguridad que
estamos buscando con la VPN.
Si te interesara hacerlo de tdoas formas, podrías acceder a las propiedades
de TCP/IP de la VPN, y en propiedades avanzadas desmarcar que utilizará la
VPN como "puerta de enlace".

Efectivamente "Escritorio remoto" y "Terminal Services" es el mismo
servicio.
Pero cabe aclarar algo:
Si en Windows Server 2003 habilitas solamente "Escritorio Remoto", podrías
mantener hasta 2 sesiones acceso remoto concurrentes.
Si necesitaras mas conexiones, deberías agregar en "Panel de control \
Agregar-quitar componentes de Windows" DOS COSAS:
- Servicios de Terminal Services
- Servidor de licencias de TS.

Lamentablemente las licencias de TS se venden por separado, y no son
reemplazables por las 5 que vienen con el server, ya que estas son de
conexión al server y no de Terminal Services.

Sin mas, saludos!!
Rafael E. Villaseñor Jofré
Tucuman 927 - Servicios Informáticos
Bs. As. - Argentina

Participa en http://www.grupoitpro.com.ar

"Fede" escribió en el mensaje
news:
Hola, muchas gracias, ya he conseguido algo, creo.
Mi router no soportaba "virtual servers", se lo he pedido prestado a un
cliente a cambio del mío para hacer las pruebas (qué cliente más majo este
hombre).
Duda: ¿El rendimiento y/o seguridad es el mismo con midominio.dyndns.org
que con una IP fija? Consulté a mi comercial de Telefónica y me ha dicho
que la IP fija sale por unos 150 euros anuales, y claro está, es mucho
mejor (para ellos) que la solución ("chapucilla" según él) del dyndns.org.
He hecho las pruebas en mi red y aparentemente funciona, para imaginarme
que estoy en otra ubicación desconecto un ordenador del switch y conecto a
internet por modem, pero me fijo que el ordenador una vez que conecto a la
VPN se queda sin acceso a internet... ¿Hay que configurar algo más en el
router?, ¿es cosa del Firewall del servidor o del ordenador cliente?
También me quedé con la duda de las "2 sesiones simultáneas con el
servidor en forma remota". No diferencio, no tengo claro si es lo mismo lo
del acceso escritorio remoto que el acceso por Terminal Service. Me
interesaría que desde Mallorca se pudiera conectar con mi servidor de
Valencia desde 3 o 4 equipos, incluso a veces simultáneamente. Aquí en
Valencia tengo entendido que tengo 5 licencias (son justamente 5
ordenadores los que tenemos) de acceso al servidor, y accedemos por
Terminal Service a la aplicación de Facturación-Contabilidad; ¿tendría
que adquirir nuevas licencias si quiero acceder desde Mallorca por
Terminal Service, a través de la VPN, al servidor de Valencia?

Perdón si son muchas preguntas.

Muchas gracias por tu interés.
Saludos.

Fede


Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida