Problemas VPN Isa Server 2006
Tengo un problema con las conexiones VPN en ISA Server 2006, que es parecido a ISA Server 2004, y no se si Ud. Podría ayudarme. Le voy a explicar detalladamente el escenario.
Instalación sobre 3 servidores Windows 2003 Server. Uno es servidor de datos al que llamaremos servidor1, es servidor de DNS, DHCP, es DC principal, otro es Exchange 2004 y el otro ISA Server 2006. Quiero habilitar conexiones VPN de acceso remoto para poder acceder desde el exterior a los recursos del sistema, datos, documentos, etc. Para ello, sigo los siguientes pasos, primeramente instalo en el servidor1 la opción "servidor de acceso remoto/VPN " desde el asistente para configurar el servidor. Desde el Active Directory, creo un grupo de usuarios llamado VPN, introduzco en él los usuarios que deseo accedan en remoto, y a esos usuarios, les activo la casilla de "permiso de acceso remoto" de la pestaña Marcado desde propiedades del usuario. De esta manera, tengo al grupo de usuarios preparados. Ahora en el ISA Server, activo el acceso a clientes VPN lo primero, desde propiedades de clientes VPN, activo la casilla y pongo un máximo de 10 clientes a la vez (más que suficiente si quiero que solo uno acceda), en la casilla grupos, añado el grupo de usuarios creado previamente en al active directory, me lo coge sin problemas, en protocolos, activo el PPTP y el L2TP/IPSec, aunque pienso que con el PPTP me bastaría. En la pestaña de usuarios de RADIUS, no activo nada, porque no tengo otros usuarios que no sean de Windows. La siguientes configuraciones siguiendo los pasos convenientes. Ahora llego a la creación de la regla que haga que los usuarios en concreto accedan a la red desde remoto. Creo una regla que consiste en que se permita, acceso a protocolos PPTP y L2TP, desde VPN clients a Red interna, y marcando el grupo de usuarios creado. En el router ADSL abro los puertos 1723 TPC y 47 UDP hacia la tarjeta de red externa del ISA. Ahora creo una conexión de red en un usuario de XP en un PC externo a la red. Conecto con la IP externa del router, me autentifica, el servidor de DHCP me da una IP, hasta aquí todo perfecto, pero, los usuarios no acceden a los recursos, osea, que estoy en la red, tengo una IP, pero si intento hacer un Ping a los servidores interno, no me la hace. No se donde puede estar el problema, sobre todo me extraña que la conexión se realice, pero no se pueda acceder a los archivos internos.
Espero poder haber sido lo suficientemente claro para exponer la situación, y si Ud.
Instalación sobre 3 servidores Windows 2003 Server. Uno es servidor de datos al que llamaremos servidor1, es servidor de DNS, DHCP, es DC principal, otro es Exchange 2004 y el otro ISA Server 2006. Quiero habilitar conexiones VPN de acceso remoto para poder acceder desde el exterior a los recursos del sistema, datos, documentos, etc. Para ello, sigo los siguientes pasos, primeramente instalo en el servidor1 la opción "servidor de acceso remoto/VPN " desde el asistente para configurar el servidor. Desde el Active Directory, creo un grupo de usuarios llamado VPN, introduzco en él los usuarios que deseo accedan en remoto, y a esos usuarios, les activo la casilla de "permiso de acceso remoto" de la pestaña Marcado desde propiedades del usuario. De esta manera, tengo al grupo de usuarios preparados. Ahora en el ISA Server, activo el acceso a clientes VPN lo primero, desde propiedades de clientes VPN, activo la casilla y pongo un máximo de 10 clientes a la vez (más que suficiente si quiero que solo uno acceda), en la casilla grupos, añado el grupo de usuarios creado previamente en al active directory, me lo coge sin problemas, en protocolos, activo el PPTP y el L2TP/IPSec, aunque pienso que con el PPTP me bastaría. En la pestaña de usuarios de RADIUS, no activo nada, porque no tengo otros usuarios que no sean de Windows. La siguientes configuraciones siguiendo los pasos convenientes. Ahora llego a la creación de la regla que haga que los usuarios en concreto accedan a la red desde remoto. Creo una regla que consiste en que se permita, acceso a protocolos PPTP y L2TP, desde VPN clients a Red interna, y marcando el grupo de usuarios creado. En el router ADSL abro los puertos 1723 TPC y 47 UDP hacia la tarjeta de red externa del ISA. Ahora creo una conexión de red en un usuario de XP en un PC externo a la red. Conecto con la IP externa del router, me autentifica, el servidor de DHCP me da una IP, hasta aquí todo perfecto, pero, los usuarios no acceden a los recursos, osea, que estoy en la red, tengo una IP, pero si intento hacer un Ping a los servidores interno, no me la hace. No se donde puede estar el problema, sobre todo me extraña que la conexión se realice, pero no se pueda acceder a los archivos internos.
Espero poder haber sido lo suficientemente claro para exponer la situación, y si Ud.
8 Respuestas
Respuesta de kamisoft
1
Repasando lo que explicas no veo ninguna razón por la que no se pueda acceder, ya que al asignarte una dirección IP del rango que tienes configurado se supone que acceder accedes. Lo que quizás ocurra es que tengas alguna regla que bloquee el paso de un servidor a otro, es la única posibilidad que se me ocurre.
Prueba a acceder desde el servidor ISA a otro servidor.
Prueba a acceder desde el servidor ISA a otro servidor.
Respuesta de guohin
1
Ante todo muchas gracias por explicar tan bien y tan detalladamente el ecenario (pocos lo hacen así...)
Aparentemente tienes todo correcto incluso demasiado "permisivo" diría yo, si no vas a utilizar portocolos IPsec o L2tp no los actives pues las vpn echas directamente desde windows XP o windows Vista serán seguramente a través de PPTP y tener más protocolos abiertos significa tener más accesos a tu red por lo tanto más peligro de que accedan personas no deseadas
En cuenato a lo que me comentas creo que tu problema se solucionará con una simple regla en ISA Server, pon en primera o segunda posición una regla que permita todo el trafico tanto saliente como entrante de la red interna a la red VPN y viceversa. Seguramente si te fijas en el registro del ISA cuando conecta un usuario VPN e intenta acceder a la red le estará denegando el paso pues si no le aplicas la regla ISA Server interpreta que es un usuario no seguro.
Esto también se puede arreglar con certificados, es un proceso bastante tedioso instalar un servidor de certificados y acoplarlo al ISA Server pero te evitará tener que realizar reglas de este tipo ademas de que las conexiones VPN serán más seguras puesto que tan solo podrán conectar las personas que posean ese certificado (y stén con el marcado activo dentro del AD).
Si no consigues arreglar el problema házmelo saber pues podemos hacer unas pruebas para intentar delimitar la causa.
Aparentemente tienes todo correcto incluso demasiado "permisivo" diría yo, si no vas a utilizar portocolos IPsec o L2tp no los actives pues las vpn echas directamente desde windows XP o windows Vista serán seguramente a través de PPTP y tener más protocolos abiertos significa tener más accesos a tu red por lo tanto más peligro de que accedan personas no deseadas
En cuenato a lo que me comentas creo que tu problema se solucionará con una simple regla en ISA Server, pon en primera o segunda posición una regla que permita todo el trafico tanto saliente como entrante de la red interna a la red VPN y viceversa. Seguramente si te fijas en el registro del ISA cuando conecta un usuario VPN e intenta acceder a la red le estará denegando el paso pues si no le aplicas la regla ISA Server interpreta que es un usuario no seguro.
Esto también se puede arreglar con certificados, es un proceso bastante tedioso instalar un servidor de certificados y acoplarlo al ISA Server pero te evitará tener que realizar reglas de este tipo ademas de que las conexiones VPN serán más seguras puesto que tan solo podrán conectar las personas que posean ese certificado (y stén con el marcado activo dentro del AD).
Si no consigues arreglar el problema házmelo saber pues podemos hacer unas pruebas para intentar delimitar la causa.
Hola buenas:
Lo primero gracias por su pronta respuesta. Antes de empezar a probar a introducir nuevas reglas, me gustaría preguntarle por una cosa. Me pregunto si en el DC, en enrutamiento y acceso remoto, es necesario crear una directiva de acceso remoto especifica para los usuarios VPN, tal y como indica el articulo:
http://www.microsoft.com/spain/empresas/seguridad/articulos/sec_remote_access.mspx#EPH
En el apartado"Para crear una directiva de acceso remoto para conexiones VPN". (Hacia la mitad del articulo)
Después, indicarle que yo ya tengo una directiva en el ISA, en la que permito, trafico PPTP y L2tp(este efectivamente no me hace falta) desde la red VPN a la interna a los usuarios que tienen permitido el acceso VPN. Me pregunto si esta regla debería colocarse ademas de la que Ud. me indica, o eliminando la misma.
Muchas gracias. Lo de realizar pruebas, me gustaría dejarlo como opción ultima, que aunque es la mejor, no la más conveniente de cara a la organización.
Gracias de nuevo, espero su respuesta
Saludos
Ray
Lo primero gracias por su pronta respuesta. Antes de empezar a probar a introducir nuevas reglas, me gustaría preguntarle por una cosa. Me pregunto si en el DC, en enrutamiento y acceso remoto, es necesario crear una directiva de acceso remoto especifica para los usuarios VPN, tal y como indica el articulo:
http://www.microsoft.com/spain/empresas/seguridad/articulos/sec_remote_access.mspx#EPH
En el apartado"Para crear una directiva de acceso remoto para conexiones VPN". (Hacia la mitad del articulo)
Después, indicarle que yo ya tengo una directiva en el ISA, en la que permito, trafico PPTP y L2tp(este efectivamente no me hace falta) desde la red VPN a la interna a los usuarios que tienen permitido el acceso VPN. Me pregunto si esta regla debería colocarse ademas de la que Ud. me indica, o eliminando la misma.
Muchas gracias. Lo de realizar pruebas, me gustaría dejarlo como opción ultima, que aunque es la mejor, no la más conveniente de cara a la organización.
Gracias de nuevo, espero su respuesta
Saludos
Ray
Ha sido una fantástica solución, al final solo faltaba eso, lo demás estaba todo bien configurado. Graciasp or compartir sus conocimientos conmigo.
Un saludo
Ray
Un saludo
Ray
Respuesta de dogduck
1
Muy bien explicado el miniprocedimiento de implementación de la vpn. Veo que te funciona bien la conexión a través de vpn, ya que los clientes obtienen una ip de tu red.
Por cierto, a través del servicio IAS se puede implementar un RADIUS en windows ... pero mejor no enrollarnos.
Lo que está claro es que "hay algo" que capa el tráfico icmp (ping), netbios, smb (necesario para acceder a recursos compartidos), de tus clientes de acceso remoto a través de la vpn ... Te sugiero que lo enfoques de dos formas.
1ª prueba a bajar el cortafuegos, tu ISA server (solo durante un momento, lo que dure la prueba) y establece una conexión por vpn y prueba un ping y si mapea algún recurso compartido.
Si tuvieras éxito, tendrías que afinar la configuración del ISA server, y agregar reglas que permitan icmp, smb, etc ... para el grupo vpn
2ª Revisar las directivas de tu grupo VPN en el AD:
Configurar permisos de acceso remoto. Seguridad del acceso remoto.
Es decir, revisa las directivas del grupo de acceso remoto.
Por cierto, a través del servicio IAS se puede implementar un RADIUS en windows ... pero mejor no enrollarnos.
Lo que está claro es que "hay algo" que capa el tráfico icmp (ping), netbios, smb (necesario para acceder a recursos compartidos), de tus clientes de acceso remoto a través de la vpn ... Te sugiero que lo enfoques de dos formas.
1ª prueba a bajar el cortafuegos, tu ISA server (solo durante un momento, lo que dure la prueba) y establece una conexión por vpn y prueba un ping y si mapea algún recurso compartido.
Si tuvieras éxito, tendrías que afinar la configuración del ISA server, y agregar reglas que permitan icmp, smb, etc ... para el grupo vpn
2ª Revisar las directivas de tu grupo VPN en el AD:
Configurar permisos de acceso remoto. Seguridad del acceso remoto.
Es decir, revisa las directivas del grupo de acceso remoto.
Respuesta de raftak
1
Primero quería advertirte de que no soy un experto en W3k porque normalmente utilizo Linux pero podemos intentar solucionarlo porque lo más difícil ya lo tienes y es que puedes conectar con el server.
Para empezar me gustaría que me dijeras que direccionamiento utilizas y las IP de cada tarjeta o equipo al que quieras acceder, esto ayuda bastante para hacerme una idea más cercana y fiable.
Como prueba mientras me mandas el diagrama de red puedes verificar si accedes alguna máquina con \\ipdelpc o \\nombredelpc .¿si o no?
¿La dirección ip que te asigna el dhcp está en el mismo rango que todos las máquinas con los shares?
Bueno espero esos datos.
Para empezar me gustaría que me dijeras que direccionamiento utilizas y las IP de cada tarjeta o equipo al que quieras acceder, esto ayuda bastante para hacerme una idea más cercana y fiable.
Como prueba mientras me mandas el diagrama de red puedes verificar si accedes alguna máquina con \\ipdelpc o \\nombredelpc .¿si o no?
¿La dirección ip que te asigna el dhcp está en el mismo rango que todos las máquinas con los shares?
Bueno espero esos datos.
Respuesta de sepher
1
Muy bien expuesta la pregunta. Te diré que en los casos en que se ve la red pero no se puede acceder a ella suelen entrar en juego el firewall o cortafuegos, ya sea el del router, el del antivirus o el del propio windows. Si tienes activado alguno, prueba unos segundos a deshabilitarlo para hacer la prueba y si luego va bien pues lo vuelves a habilitar y solo debes configurarlo adecuadamente para dar acceso al equipo en cuestión.
Ya me dirás...
Ya me dirás...
Hola:
Probé en su momento el tema de los firewall, deshabilite los servicios de firewall de w2003srv en el proxy por si acaso, al final lo he solucionado creando una regla en ISA que me permita una conexión bidireccional entre la red interna y la externa, y funciona!
Muchas gracias por tu ayuda e interés!
Saludos
Ramon
Probé en su momento el tema de los firewall, deshabilite los servicios de firewall de w2003srv en el proxy por si acaso, al final lo he solucionado creando una regla en ISA que me permita una conexión bidireccional entre la red interna y la externa, y funciona!
Muchas gracias por tu ayuda e interés!
Saludos
Ramon
Respuesta de routerdark
1
Bueno amigo tu caso esta bien fácil solo tienes una pequeña confusión primero aclarame que quieres en realidad un acceso remoto o un encalce VPN, lo otro es que es servidor que posee isaserver es el que debe tener habilitado el servicio VPN ya que el es que tiene la puerta de enlace o la salida a internet. Y a los 10 usuarios que seleccionaste para el acceso remoto tienes que verificar que en AD en las propiedades de cada usuario en la pestaña marcado tengan el permiso de acceso remoto. A y otra cosa si no tienes un ip fija crea un dns dinámico con no-ip para que puedas ver tu servidor desde afuera. Después que hagas todo eso tienes que crear el enlace en cada una de las maquinas con las cuales accederás remotamente. Si no esta claro me avisas estaré pendiente.
Hola :
Al final lo solucione creando una regla en ISA que me permita una conexión bidireccional entre la host interno y la red externa. Muchas gracias por tu ayuda e interés
Saludos
Ray
Al final lo solucione creando una regla en ISA que me permita una conexión bidireccional entre la host interno y la red externa. Muchas gracias por tu ayuda e interés
Saludos
Ray
Respuesta de molten
1
Abre los puertos del VPN en la maquina cliente, de ahí en fuera todo lo veo bien y correctamente configurado .. no recuerdo de momento los puertos completos que debes abrir .. pero creo que te falta uno .. que es precisamente el de los archivos, ya que supongo que no tienes habilitado Netbios por seguridad .. entonces.. yo creo que por aquí va la cosa .. el clásico asunto de puertos ..
Como mera prueba .. desactiva un minuto el firewall del ADSL .. e intenta de nuevo :P ..
Y veremos los resultados. . Si funciona .. el bloqueo de comunicación esta en el firewall del ADSL .. si no .. entonces el del "cliente" ...
Todo lo veo bien .. salvo esos comentarios que te hice ..
Como mera prueba .. desactiva un minuto el firewall del ADSL .. e intenta de nuevo :P ..
Y veremos los resultados. . Si funciona .. el bloqueo de comunicación esta en el firewall del ADSL .. si no .. entonces el del "cliente" ...
Todo lo veo bien .. salvo esos comentarios que te hice ..
Hola:
Gracias por tu ayuda, al final lo solucione creando una regla en ISA que permitiera un flujo bidireccional entre el host y la interna.
Un saludo
Gracias por tu ayuda, al final lo solucione creando una regla en ISA que permitiera un flujo bidireccional entre el host y la interna.
Un saludo
Respuesta de jalvaradog
Una disculpa por no haber contestado antes, es una pena para mi el haberme tardado con este problema pero al fin de regreso y espero poder ayudarte...
¿Quisiera saber antes si ya esta resuelto el problema?
¿Quisiera saber antes si ya esta resuelto el problema?
Hola jalvaradog :
Bueno, no siempre se puede responder con velocidad. AL final he solucionado el tema, pero gracias por tu atención. Ahora no se que puntuación debo darte porque me gusta ser justo, No voy a ponerte muy mal, te pongo un regular, aunque, no ha sido falta de interés, sino de rapidez en este caso.
¿La próxima será vale?
Gracias por tu interés.
Un slaudo
Ray
Bueno, no siempre se puede responder con velocidad. AL final he solucionado el tema, pero gracias por tu atención. Ahora no se que puntuación debo darte porque me gusta ser justo, No voy a ponerte muy mal, te pongo un regular, aunque, no ha sido falta de interés, sino de rapidez en este caso.
¿La próxima será vale?
Gracias por tu interés.
Un slaudo
Ray