Configurar VPN

Hola Laneros, me he planteado el siguiente reto y solicito sugerencias de como llevarlo a cabo.

En mi sitio de trabajo tengo una LAN, conectada a internet a través de un modem ADSL paradyne, con dirección ip fija; al interior de la red hay un servidor Windows Server 2008 Standard que se encarga de dar servicio de archivos, base de datos y http interno, por otra parte tengo un servidor Ebox que se encarga del enrutamiento, proxy y DHCP, tiene dos interfaces, una va a la red LAN y la otra conecta al módem, sirviendo a la vez de firewall.

La empresa cuenta ademas con varias sedes ubicadas remotamente, cada una de las cuales tiene una pequeña LAN que se conecta a internet con un modem ADSL similar al anterior, y tiene direccion IP fija. todos los equipos, tanto en las sedes como en la principal corren Windows en sus diferentes versiones (XP, Server y W7)

Quisiera entonces crear una red privada virtual que me permita trabajar en cualquiera de las sedes o en la principal como si se tratará de una unica LAN, con todo lo que implica: mensajeria interna, compartir impresoras, compartir archivos, acceso al servidor http, etc.

De ser necesario podría conectar el servidor Central con 2008 server al Modem ADSL.

los posibles escenarios, a mi entender son los siguientes:

- Configurar la red privada virtual con los módems ADSL, creo que tienen una opción de IPSec en su configuración, pero no se cómo.
- configurar la red privada virtual con el EBOX, aunque no se si lo permita.
- Abrir los respectivos puertos en el módem y configurar el servidor de windows como servidor de acceso remoto, haciendo conexion desde cada uno de los equipos de las sedes, o bien haciendo conexión desde los modems externos, pero tampco se como hacerlo.

Escucho sugerencias, indicaciones y todo lo que me pueda ayudar.

mil gracias de antemano,

Huquibe

Dak dijo:

El windows le sirve pero complica las cosas por temas de enrutamiento. Yo lo haria con el ebox para mantener todo el enrutamiento concentrado en un solo punto. Se ahorra gallos.

Segun veo en la pagina (Zentyal) Soporta VPN con OpenVPN, PPTP y IPSEC. Le recomendaria IPSEC por sencillo

En las otras oficinas, debes colocar segmentos de red diferentes y listo.

Haz clic para expandir...

Gracias Dak, estoy analizandoe sta posibilidad, aunque implicaria descargar la ultima versión de Zentyal, ya que lo que tengo instalado es un Ebox, la versión anterior (Ya estoy haciendo la descarga), pero persistiría el problema del enrutamiento, ya que tendría que abrir puertos en el modem que me da edatel.

para mi la solución mas sana sería que los modems me permitieran hacer tuneles, desde las distintas sedes a la sede principal, directamente modem a modem, sin necesidad de servidores, pero no se si es posible, y como hacerlo.

Por ahora estoy tratando con dos frentes: por un lado configuré wserver como servidor de acceso remoto y estoy consultando que puertos debo abrir para intentar la vpn, y por el otro voy a probar el zentyal, en maquinas virtuales, para ver que tal me va.

Que sugerencias hay?

Huquibe

Red VPN Configurada.

Lo solucioné, así que les contaré como lo hice, por si a alguien se le plantea la misma necesidad:

Primero les contaré como está configurada la red de la sede principal:

Un Módem ADSL, con IP Pública
Un equipo con EBox con dos interfaces, la primera configurada como externa va conectada al módem, la segunda pertenece a la LAN y esta configurada como interna, tiene funciones de Proxy, enrutamiento, DHCP, DNS
Un servidor W Server 2008 configurado como servidor de VPN, entre otras funciones (BD, HTTP, Jabber, Archivos, TS) está conectado a la LAN

Todos los demás equipos están conectados a la LAN y acceden a internet bien sea a través de enrutamiento o por proxy con acceso limitado en el ebox.

Configuré el servidor W2008 Server como servidor VPN, PPPtP, y dado que el el servidor DHCP es el ebox, le configuré el Agente de Retransmisión DHCP con la dirección del servidor correspondiente (Ebox), a fin de que los clientes que se conecten a la vpn obtengan direcciones.

Abrí los siguientes puertos en el ebox, para que todas las solicitudes que llegaran por la interfaz externa pasaran directamente al servidor W2008:

- para servicios de Terminal Server: 3389 TCP y 3389 UDP
- para VPN: 1723 TCP/UDP y protocolo GRE
- HTTP: 80 TCP

abrí los mismos puertos en el módem, excepto que para la vpn abrí el 47 UDP, en vez del GRE, que no lo trae.

Configuré usuarios en Active Directory para que tuvieran acceso a marcado

Todo esto en el lado de la sede principal.

en los clientes es solo configurar el cliente VPN, creando una nueva conexión. Aquí toca hacer algo mas, y es cambiar el segmento de direcciones de todas las sedes, para que no haya conflictos con los que va a asignar la vpn, por ejemplo, si el VPN va a quedar con direcciones 10.0.0.x, las sedes no pueden tener configuradas direcciones en este mismo segmento, sino por ejemplo 10.0.1.x

igualmente, en las propiedades de la conexión que creamos para red privada virtual, en la pestaña de funciones de red, Protocolo de Internet(TCP/IP), opciones avanzadas, hay que desactivar la opción Usar la puerta de enlace predeterminada en la red remota. Esto se hace para que el tráfico de Internet no se nos vaya por la red privada virtual, saturando la conexión, sino que lo que no tenga que ver con la LAN salga por la conexión normal del cliente.

Y ya quedó funcionando.

Me hubiera gustado hacer túneles ip entre los módems, pero no dispongo de la documentación y los conocimientos para hacerlo no obstante ya con esta configuración me funciona para mis requerimientos y ya me tocará pulir detalles.

Agradecimientos a Dak por tomarse el trabajo de considerarlo, y tu sugerencia me ayudó.