seria correcto ...

22/11/2004 - 15:58 por Carlos O. M. | Informe spam
Buenos Dias / Tardes

Primero, ruego perdonen mi insistencia en el tema, pero es que necesito
montar una VPN entre dos oficinas situadas en diferentes localidades, y
necesito resolver una duda que me esta matando :)


Mi red esta montada mas o menos de la siguiente manera ..

Un router (HW) Adsl el cual va a parar a un FireWall (HW) 3 Com
OfficeConnect, el cual permite montar un segmento con una DMZ, donde tengo
el Server WEB, y otro segmento, del cual cuelga mi intranet, montada con un
Servidor Principal W2000 Srv.

Yo creo que el lugar idoneo para montar un servidor VPN es dentro de la
intranet, abriendo los correspondientes puertos (en el Router y el FireWall
y redirigiendolos al Srv VPN) para crear un tunel PPTP... lo que pasa que
me da "repelus" el tema de abrir puertos... no se... toy obsesionado...

Pueden confirmarme esta teoria mia, y acabar de una vez por todas con
mis temores..
supongo que un buen argumento es el tema de encriptacion, autorizacion y
autentificacion que se crea al montar la VPN.. pero aun asi, me quita el
sueño...

Muchas gracias de antemano.
 

Leer las respuestas

#1 Ivan [MS MVP]
23/11/2004 - 10:26 | Informe spam
Si necesitas acceder a la red interna, en el router debes redirigir el
protocolo 1723 TCP y el Id de protocolo 47 GRE a la IP del servidor VPN
(Windows 2000).
No hay problema, si queremos servicios, tenemos que abrir los puertos
necesarios... por arte de magia, no vas a poder conectarte ;-)
Como la conexion VPN la estableces contral el servidor Windows 2000 que esta
detras de un dispositivo NAT, solo tienes la opcion de usar PPTP (1723 TCP y
47 GRE), L2TP/IPSec queda descartado, no funcionaria.
Una vez que estableces la conexion VPN, la forma sencilla y segura de
administrar el servidor web de la DMZ es permitir en el firewall el
protocolo RDP desde la red interna a la DMZ.
Para la VPN utiliza como metodo de autentificacion MS CHAP v2 y contraseñas
complejas. Fuerza en la directiva de acceso remoto el cifrado MPPE de 128
Bits y habilita el bloqueo de cuentas en conexiones de acceso remoto:
http://www.microsoft.com/resources/...n_ltcn.asp

Puedes usar autentificacion EAP-TLS pero tendrias que hacer uso de
certificados digitales lo cual te obliga a montar un PKI.

Un saludo.
Ivan
MS MVP ISA Server


"Carlos O. M." escribió en el mensaje
news:%
Buenos Dias / Tardes

Primero, ruego perdonen mi insistencia en el tema, pero es que necesito
montar una VPN entre dos oficinas situadas en diferentes localidades, y
necesito resolver una duda que me esta matando :)


Mi red esta montada mas o menos de la siguiente manera ..

Un router (HW) Adsl el cual va a parar a un FireWall (HW) 3 Com
OfficeConnect, el cual permite montar un segmento con una DMZ, donde tengo
el Server WEB, y otro segmento, del cual cuelga mi intranet, montada con
un
Servidor Principal W2000 Srv.

Yo creo que el lugar idoneo para montar un servidor VPN es dentro de la
intranet, abriendo los correspondientes puertos (en el Router y el
FireWall
y redirigiendolos al Srv VPN) para crear un tunel PPTP... lo que pasa que
me da "repelus" el tema de abrir puertos... no se... toy obsesionado...

Pueden confirmarme esta teoria mia, y acabar de una vez por todas con
mis temores..
supongo que un buen argumento es el tema de encriptacion, autorizacion y
autentificacion que se crea al montar la VPN.. pero aun asi, me quita el
sueño...

Muchas gracias de antemano.



Preguntas similares