You are on page 1of 106

Remote Routing Access Services

Dpto. Sistemas 2007 V F1.2.2

Jorge Yanes 030108

Como crear un RRAS/VPN Instalación Drovica
Antes de comenzar con la instalación del Ras/Vpn se debe tomar en cuenta ciertas consideraciones para que funciones de una forma óptima 1. Determinar que aplicación se va a ejecutar del otro lado de la Vpn, si la aplicación no es realmente cliente servidor obtener licencias Terminal Server 2. Tener un ancho de banda respetable (mínimo 1024). 3. Se debe tener el rol del Ras aparte, este cajón debe tener 2 tarjetas de red una para la VPN y otras para la LAN con por lo menos 1 Gb en Ram y procesador de al menos 3.0 esto porque es este servidor el que comunica y transfiere los datos. Una vez que se tiene este configuración se procede a realizar la instalación del Site; vamos a realizar la conexión entre un Site principal y Sites de sucursales, podemos tener “N” sites Iniciando en el Site principal: Tomando en cuenta que vamos a trabajar con dos cajones en el Site principal el primero es con el rol de Ras/VPN y el segundo será nuestro FS o servidor principal Comencemos: Previamente al trabajo debemos ver que dirección esta dando el ABA en el otro lado del Site es decir hacemos un Ping y vemos que dirección esta dando ej: Ip del Site Sucursal 201.209.162.195 255.255.248.0 201.209.160.1 La dirección de la tarjeta es la que nos interesa (201.209.162.195) le hacemos ping a esta dirección y el tiempo de respuesta debe ser < a los 60-70 ms de respuesta esto para garantizar la respuesta e intercambio de información. Una vez verificado que existe ping o comunicación nos concentramos en el site principal. Nota: Para poder hacer esto hay que activar el escritorio remoto del site sucursal.

2

1. Partiendo de la premisa que tenemos 2003 Server limpio comenzamos a montar nuestra Vpn y comenzamos en el FS en el Active Directory AD se debe elevar el nivel funcional a 2003 solo si es ambiente puro xp sp2. esto lo ubicamos en Herramientas Administrativas, dominios y confianza, entramos en la consola y donde esta nuestro arbol de dominio presionamos boton derecho y ubicamos Elevar Nivel Funcional, lo elevamos a 2003 puro esto se hace en el principal esto es irreversible, esto lo hacemos solo si tenemos 2003 y Xp service pack 2; Con esto logramos que cuando creemos el usuario VPN me va a dar la opción de “CONTROLAR ACCESO A TRAVEZ DE DIRECTIVAS DE ACCESO REMOTO” esto se va activar en las propiedades del usuario en la Solapa de Marcado y en las propiedades de los Servidores VPN. Una vez que hemos elevado el nivel funcional en el servidor FS de catalogo global principal pasamos al Sig. Paso. 2. Donde vamos a crear una OU que se llame Servidores Miembros y dentro de esa OU creamos otra que se llame RRAS en donde vamos a crear un Grupo que se llame Gupovpn este grupo debe GLOBAL Y DE SEGURUDAD del cual seran miembro nuestro usuario vpn y los servidores ras, posteriormente creamos un usuario que se llama vpn+Site princial (vpnvinedo) (le podemos colocar cualquier nombre, preferiblemente relacionado con el SITE que se esta haciendo) al cual le damos una clave (qweQ123) luego en las propiedades del usuario lo hacemos miembro del Grupo VPN y en las Opciones de Marcado seleccionamos “Controlar acceso a traves de directivas de acceso remoto”, Luego de esto creamos unos computadores que seran nuestros servidores Ras, esta computadora que se llame de la misma forma que se llama el Computador al cual se le esta haciendo el SITE Rasvinedo, Rasnaguanagua, etc. (Ras + site sucursal y ras + site principal) y a estos equipos que hemos creado vamos a las propiedades y seleccionamos la solapa de marcado “Controlar acceso a traves de las directivas de acceso remoto”. Una vez echo esto vamos al contenedor de Usuarios y ubicamos un grupo que es por defecto de Windows que se llama SERVIDORES RAS E IAS y hacemos miembros nuestros RRAS y el principal ejemplo, (Rasnaguanagua,Rasvinedo,Servidorval); una vez preparado nuestro servidor vamos al ras del site principal 3. Hacer miembro el servidor ras Domain Controler DC esto se hace de la siguiente forma. 3.1. Nos vamos al Servidor Ras a propiedades del sistema (tecla Windows + Pausa) nos vamos, nombre de equipo cambiar y le colocamos el Dominio.com luego el pide la autentificación para

3

Luego vamos a nuestro usuario en el ADs y seguimos configurando como sigue 4 .2. (Este debe ser servidor Ras member. esto lo vemos en las propiedades 3. es decir: Vpnvinedo (qweQ123) Vpnnaguanagua (qweQ123) Vpncastillito (qweQ123) Vpnsite Una vez creado nuestro usuario de forma local en el ras vamos a la solapa de Marcado del usuario en cuestion y seleccionamos “Permitir” (esto solo se hace en el usuario local) .unirse al dominio y le ingresamos el logín de administrador se reinicia y ya es miembro de nuestro DC. Luego creamos un usuario en esta OU Ras grupo que se llame vpnvinedo (Cualquier Nombre relacionado con el site principal) y lo hacemos miembro del grupo que acabamos de crear Configuración de del usuario en el ras Nota importante: Hay que crear los usuarios de las OU (los usuarios de los ras tanto los que llaman como los que responde. puedo tener varios Ras y hacer que uno u otro conteste) de nuestra vpn como locales en el SERVIDOR RAS AL QUE SE ESTA LLAMANDO. y hay que crearlos en el Ras al cual se desee que conteste.

5 .

Luego en la ou que hemos creado en nuestro AD Usuario ya miembro del grupo VPN 6 .

7 .

8 .

Hacer Miembro Nuestro RRAS 9 .

Una vez configurado nuestro usuario en el Active Directory Service (ADS) procedemos a uno de los pasos mas importantes hacer miembro nuestro RRAS en el grupo SERVIDORES RAS e IAS (este es un grupo predefinido por ADS) Paso 1: Vamos a la consola de AD y ubicamos en la carpeta User un grupo denominado SERVIDORES RAS e IAS En User Seleccionamos Grupo Servidores RAS e IAS 10 .

Una vez ubicado el grupo Servidores Ras e Ias pulsamos este grupo y vamos a las pestaña que dice MIEMBROS y si no aparece nuestro Ras le damos Agregar (tantos Rras tengamos Agregaremos) Si no aparece nuestro RRAS pulsamos agregar Area de servidores Miembros 11 .

Una vez pulsado el botón de agregar aparece este cuadro de dialogo y nos dirigimos a Tipos de objetos y añadimos al despliegue Equipos Pulsamos y agregamos el objeto Equipos Seleccionamos Este Objeto 12 .

Seleccionar este objeto para que este en la busqueda 13 .

tanto Principal como sucursales) Ubicamos nuestro equipo RRAS 14 .Pulsar boton para iniciar Nuevo Objeto Nombre del equipo que se va hacer miembro Una vez que se hace este filtre y encuentre el equipo se le da aceptar y debe aparecer en el cuadro de equipos miembros a Servidores Ras e Ias Nota: este servidor previamente ya debe ser miembro del dominio Lugo vamos a el equipo Ras y verificamos que tenga la siguiente configuración (esta configuración es para todos RRAS.

15 .

16 .

17 .

este es el Site principal y es quien responde las solicitudes de los sites de las sucursales. 18 .Una vez que hacemos esta configuración y el usuario es miembro y tenemos la OU con el usuario y el Grupo vamos a al enrutador y acceso remoto.

Configuración del RAS Principal 19 .

20 .

21 .

22 .

23 .

Punto de la Subnet en el lado que responde Punto de la Subnet en el lado que responde (site principal) Numero de Usuarios que se responde (Site Principal) 24 .

25 .

Una vez que se inicia el servicio se procede a la configuración del sistema Ras. Interfaces 1 Entramos en la opción de interfaces de red y se deben crear una nueva interface 2 Se debe colocar en la interface el MISMO NOMBRE DEL USUARIO QUE SE CREO EN EL RRAS principal (vpnvinedo) 26 .

El nombre de la interface se recomienda que sea igual a la del usuario que se creo en el AD 27 .

Esta dirección va VACIA porque ese es el servidor que responde 28 .

En el Siguiente cuadro se debe colocar el password que tienen en su cuenta de usuario vpnnaguanagua El usuario del AD quien llama ejm: vpnnaguanagua Misma clave que se coloco en el AD 29 .

Este dispositivo queda como dedicado hay que configurarlo configuración que sigue a continuación. con la Se debe cambiar a marcación a petición (propiedades) 30 .

31 .

En esta ventana que sigue se debe activar todo 32 .

Opcional Los demás adaptadores de red de la ventana de interfaces no poseen propiedades y quedan así. 33 .

Clientes En la ventana de clientes no hacemos nada ya que en ella solo se reflejan los clientes conectados. Puertos No tocamos nada queda asi en ambas formas PPTP y L2TP Ventana de Enrutamiento IP Inicialmente La opción de enrutadores queda con esta configuración 34 .

Las opciones del Agente de retransmisión DHCP y la opción del IGMP no se usan en esta configuración es por ello que las eliminamos Ventana de General 35 .

36 .

Ahora trabajamos con el adaptador local y veremos sus propiedades y configuración 37 .

En los filtros no hay nada Ip del adaptador de red local En las opciones no hay nada 38 .

39 .

Propiedades del interno Las demás ventanas no tienen información El bucle interno no posee información de propiedades 40 .

Interface ABA no posee información ya que se establece por DHCP de ABA 41 .

Ventana de Rutas estáticas Además de estas ventanas. se debe que colocar o agregar otro protocolo que es el RIP (Remote Internet Protocol) y se hace de la siguiente forma 42 .

Una vez que agregamos el protocolo RIP le vamos a añadir una nueva interface a ese protocolo que la vamos a llamar exactamente de la misma forma que nuestro usuario Vpn que ya creamos en el AD del DC y la interface de la intranet

43

Propiedades de la interfaz VPNVINEDO, el modo de autentificación debe ser periodica

44

45

Con respecto a la interfaz viñedo (Lan de la intranet) es exacta solo cambia en la solapa de OPCIONES AVANZADA en la Tercera (3) opción hay que activarla (HABILITAR ACTUALIZACIONES DESENCADENADAS con esto finalizamos los RIPS 46 .

Ahora los valores NAT (para instalar los NAT solo se identifica cual interface es Publica (Internet) y cual es privada (Lan de la intranet) En esta opción debemos tener 3 interfaces Estas son las 3 tarjetas o interfaces que necesitamos en la opción NAT (Network Address Translation) 47 .

0.1 No hay opciones seleccionadas 48 .0.127.

Interface INTERNO este es su estado por defecto Ultimo adaptador de interface Viñedo 49 .

Por ultimo creamos la política Vpn Esta es la politica que regirá el estado de la conexión 50 .

…… A continuación el site de la Sede 51 .. luego pregunta el tipo de autentificación y cifrado que va a tener la política y se toma la que es por defecto luego el tipo de túnel y final Eso es todo lo que se hace en el site Principal……………………………………………………..Luego pide el nombre de la política. si es para APN. luego pregunta a que grupo se le va aplicar la política seleccionamos el grupo.

Configuración del RRAS desde el Cliente o Sucursal 52 .

53 .

54 .

El nombre es el vpn+sucursal 55 .

56 .

Este es el ip a quien llama es del ABA ip del aba destino al cual va a llamar 57 .

dominio es drovica y el password es el que le colocamos en el AD (qweQ123). creamos una credencial donde me pregunta el nombre del usuario u le colocamos el que habiamos creado en el AD vpnvinedo (esto es para todas las sucursales). de lo contrario no entra 58 .El siguiente paso es muy importante y es exactamente como indica la figura.

59 .

Una vez que se finaliza verificamos la interface que hemos creado 60 .

61 .

Las demas interfacees no poseen información Luego vamos a los puerto y con el boton derecho vamos a las propiedades y queda asi tanto en l2tp como pptp (no los tocamos) 62 .

Luego en enrutamiento ip vamos a general y vamos a agregar un nuevo protocolo RIP Hay agregamos 2 interfaces la interface que acabamos de crear (vpnnaguanaga) debe quedar asi Las demas solapas las dejamos igual Y lo mismo lo hacemos con la interface interna de la red (drovica) 63 .

Luego vamos a los nat Creamos 2 interfaces una que se llama aba y la otra drovica Y solo editar solo servicios y puertos 64 .

0.1 65 .Estos servicios y puertos apuntan al127.0.

una vez que se chequea todo esto volvemos a ejecutar el Nslookup hasta que nos de bien. el punto de HOST y la zona inversa. verificamos en los dns los Reenviadores. Cuando esto ocurra es decir me debe arrojar 66 . debido a que si no tenemos esto bien definido no vamos a poder conectarnos por DOMINIOS SINO POR IP`S. esto porque.Una vez que se realiza esto en el ad se debe crear una nueva zona Nueva Zona CAPITULO ESPECIAL HACER UNA COMUNICACIÓN CON UNA SOLA MAQUINA QUE SEA DOMINIO DHCP RRAS CON SUS SITES: Este es un caso que se puede presentar en la mayoría de las veces debido a que en la misma maquina principal se hace todo el procedimiento para esto debemos tomar en cuanta lo siguiente y es muy importante es el echo de que se pueden presentar dos escenarios el primero que ya este la maquina lista y configurada con dhcp y dominio (ad) y el otro escenario es hacerlo desde cero En el primer caso lo primero que se debe hacer es ver si el dominio (DNS) esta funcionando para ello hacemos nuestra prueba de nslookup si es positiva continuamos de no ser asi se debe configurar y resetear para que adopte la configuración establecida.

0.1 Con esta ip es que se hace la conexión entre los sites y es 1 porque es la que tomamos como Punto inicial o matriz de nuestra estructura de IPS Clase B Los DNS es el mismo gateway 10.0 10.0. En caso de que los ip son fijos tratemos de jugar con la siguiente configuración: Equipo Principal que posee el AD DHCP y se convertira en RAS Tarjeta local Ip mascara Gateway Dns1 Dns2 192.1.como dominio principal la ip de la tarjeta LOCAL como punto host.0 n/a 192. y este dominio al momento de adjuntarlo se replica con el catalogo global del dominio padre o principal) es por ello que se pierden las cuentas y certificados que tenga ese servidor al cual le vamos hacer la instalación del RRAS.1.10 255.168.1 n/a • En esta tarjeta como es un servicio que no da direcciones IP entonces le colocamos nuestra ip.255.1.0.1.168.255.1.1.0. usuarios. y lo trabajamos de esta forma Ip 10. si es con estos proveedores de Internet se deja dinamica y al momento de hacer el RRAS se define de lo contrario se procedo a montar nuestros IPS. OU´s y configuración del Ras como tal. una vez que obtenemos este resultado procedemos a realizar la instalación física de la tarjeta que tendrá el RRAS bien sea con ip fija o dinamica (aba-intercable-etc).1 en este caso como son IP privados somos nosotros nuestros propios DNS del Servicio de comunicación y es asi como resuelve la comunicación y los nombres • • • Una vez que se ha realizado esto se procede a los pasos normales que tenemos al inicio de crear los grupos. se comprueba el dns y el dhcp y después es que se va a montar la tarjeta del rras y luego se hace el ras como indican los pasos al inicio de la guia Computador Sucursal: Hay que tomar en cuenta que en la sucursal cuando lo instalemos va a perder la configuración de AD que exista (esto porque estamos trabajando como un mismo dominio.255.1.1.0.255.2 255.0.0.10 Opcional * Tarjeta Con IP FIJA (Ewinet) 10.1 10.0 Gateway 10. Si lo vamos hacer desde cero lo primero que hacemos es crear en el administrador de Windows desde mi pc crear el usuario VPNprincipal y todos los demas usuarios una vez que se hace esto se promueve a dominio. Con respecto a las 67 .2 este ultimo valor representa la sección del Site que se esta conformando y se empieza en 2 porque el 1 es que hace la comunicación o enlace en el Gateway con los demas Sites La mascara que se debe usar es Clase B debido a que esta es la ip que se esta usando para el enlace por eso es 255.0.

1.255. claro esta del usuario con rango de administrador (fsdrovxxxx) y por ultimo me pide el dominio e ingresamos dominio.1. Aquí al igual que en los casos anteriores lo primero que hacemos crear por medio del MI PC administrador creamos las cuentas vpn que tiene nuestra estructura (vpnprincipal.255. vpnsucursalN) Una vez que hacemos esto procedemos a colocar las direcciones IP a nuestro Ras de la Sucursal. vpnsucursal2.0 10.0.0.1 10.255. VALE ACOTAR QUE ESTE SERVIDOR NO ES NADA AUN SOLO TIENE LAS DOS TARJETAS INSTALADAS LA LOCAL Y LA DE LA CONEXIÓN MAS NADA. como no es DNS se va a perder u no me va a conectar NOTA: antes de promover el servidor y hacerlo replicar YA DEBE ESTAR MONTADO EL SERVICIO DE DNS Y EL DE DHCP (Este ultimo ya Ejecutandonse) 68 .5.1.com) si no le coloco el .1. luego pide contraseña. tomando la premisa que va a ser AD-DNS-DHCP-RRAS Equipo Sucursal que posee el AD DHCP y se convertira en RAS ejemplo con segmento 5 Tarjeta local Ip mascara Gateway Dns1 Dns2 192.168.…….direcciones ip que va a trabajar el computador se presentan los dos casos uno que sea con direcciones dinamicas para hacer la comunicación y otro con direcciones fijas.10 255..1 n/a Esta es la configuración que deben tener las sucursales claro esta cambiando la parte del segmento Una vez que este esto se procede a realizar la montura del rras para suscursales como indica la parte correspondiente a ello en la guía Luego que conecte procedemos a la promoción del computador.10 192.168.0 n/a 192.com. a continuación la descripción de las ip fijas si utilizamos sistemas como el de EWINET.168.5 255.10 * Tarjeta Con IP FIJA (Ewinet) 10. como es una sucursal seleccionamos la segunda opción ( Controlador de dominio adicional para un dominio existente) presionamos siguiente y luego me pide Usuario com privilegios para adjuntarme a la red y le ingreso el usuario que tenga rango de administrador de la red (Super-it).0.0.5. vpnsucursal1.com (drovica.

DHCP SEGMENTO 192. forma (Caso Drovica) Servidor principal drovica AD.CAPITULO ESPECIAL II COMUNICACIÓN CON MAS DE UNA SUCURSAL O SITE Debido a que la comunicación por los RRAS es por credenciales inversas hay que hacer un Par (02) de usuarios por Site.1.100. es decir si tengo una vpn entre un site principal y la sucursal sera de la sig.168. CATALOGO GLOBAL aqui estan los pares de usuarios que se deben crear vpnvinedo-vpnnaguanagua vpnsanfco-vpnval vpncasdro-vpndrocas vpnsiten….vpnsitem… es en este RRas donde deben estar todos los pares de SITES * 69 ..

Una vez realizado el seteo de las interfaces.* Es en este ras donde se hacen todos los pares de los sites y cada vez que solo se va agregar en la configuración del RRAS el que responde (principal) con toda la configuración que tenemos en las paginas iniciales de la guía. luego vamos al rras principal y creamos la nueva interface vpnusuario responde (vpnval). después vamos al ras del SITE y hacemos nuestra configuración 70 . vamos al ras principal y en la parte de MI PC vamos a administrador y creamos el nuevo par de usuarios tanto el que llama como el que recibe es decir tanto el nuevo usuario que va a recibir y se va a comunicar con la sucursal Luego vamos al AD e incorporamos el usuario que responde que es el del rras principal y lo agregamos al GRUPO VPN de igual forma el servidor de la sucursal lo agregamos a SERVIDORES IAS RAS. ejemplo Sucursal Naguanagua Interface se creara en el RRAS: vpnnaguanagua Conecta al aba: ip del aba principal Credencial :vpnvinedo Dominio :drovica Clave: qweQ123 Clave qweQ123 vpnvinedo nada porque es quien responde vpnnaguanagua drovica qweQ123 qweQ123 Como ya hay una VPN Site to Site se debe crear otro usuario Site Sucursal de caracas Interface que se creara en el RRAS: vpnsanfco Conecta al aba: ip del aba principal Credencial :vpnval Dominio :drovica Clave: qweQ123 Clave qweQ123 Ras Principal vpnval nada porque es quien responde vpnsanfco drovica qweQ123 qweQ123 Sucursal Castillito DROVICA Galpon 7 interface que se creara en el RRAS: vpncasdro Conecta al aba: ip del aba principal Credencial :vpndrocas Dominio :drovica Clave: qweQ123 Clave qweQ123 vpndrocas nada porque es quien responde vpncasdro drovica qweQ123 qweQ123 Esta es la estructura que se debe crear para hacer los diferentes SITES. Con respecto a las interfaces y credenciales son de la siguiente manera.

255.com (si no se le pone el .168.168.1.99 255.255.0 192.10 aba De aba De aba De aba De aba ewinet 192.85 192.com no se conecta) Nota Previo a esto ha debe estar el servicio de DHCP ya activo y preparado el DNS para que no existan problemas futuros Con esto terminamos las comunicaciones SITE 2 SITE con RRAS Nota especial Anexo 3 montando un RRAS CON 2 SISTEMAS DE COMUNICACIONES ABA – EWINET La razon de tener dos sistemas de comunicaciones es obvia es para tener un respaldo al momento de la comunicación falle por determinada causa o motivo en este caso el principal nodo de comunicación es EWINET que es el enlace entre el viñedo y Naguanagua sin dejar de trabajar el trabajo previo que se tiene en los ras de ambos lados. Una vez realizado esto resetamos y verificamos que el ras conecta después lo promovemos dcpromo y ? agragrar a un dominio existente R si ? Usuario con cuenta de administrador: Super –it ? Clave: fsxxxxxx ? Dominio: dominio.255.168.1.168.tal cual como en el inicio de la guia.85 255.0 n/a 192.1.80 71 . Iniciamos describiendo el trabajo del rras principal rasvinedo : Tomando en cuenta que ahora para este caso se tienen 3 tarjetas una loca (drovica) aba – ewinet y no debemos perder el Nateo del sistema para el internet hacelos lo siguiente Nodo del Viñedo NIC Ip Mascara Puerta de enlace dns drovica 192.168.1.1.255.

86 192.0 n/a 192. le cancelamos o desconectamos esa accion en la parte del rras en la zona de general y forzamos a realizar la coneccion con la nueva ewinet y debe conectar Con esto tenemos conectado por ewinet y tengo el Nateo funcionado para el Internet y no pierdo la comunicación 72 .168.168.1.1.10 aba De aba De aba De aba De aba ewinet 192.168.1.10 Como ya hay una conexión aba y queremos montar una dedicada Ewinet se hace lo siguiente: Montamos la nueva tarjeta con la configuración que tenemos arriba y creamos unos nuevos usuarios en el AD y el el rras que son: vpnvinedoewinet.168.86 255.1.255.168.168.255. luego hacemos el proceso normal de crear la credencial de sucursal y reseteamos El va a tratar de conectarse con la de aba . vpnnaguanaguaewinet: una vez creado estos usuarios vamos al rras y creamos una nueva interfase y hacemos todo el procedimiento normal del rras en el nodo principal y listo por aquí NOTA no puedo deshabilitar la nic aba porque a ella se le pegan las otras sucursales Ahora en el 2 nodo que es el Naguanagua la configuración es asi NIC Ip Mascara Puerta de enlace Dns drovica 192.10 255. pero como esta funcionado con la de ewinet si se debe colocar puerta de enlace en la nic de drovica en el RRAS y del ras va a Swiche en el servidor de viñedo la configuración es: 192.255.Nota: cuando el sistema funciona directo con aba en la puerta de enlace de la nic de drovica no aplica.1.168.168.99 192.1.299 255.255.80 Creamos los usuarios en el ras y en el ad y cuando estemos creando la interface a la interface ABA LE QUITAMOS EL IP QUE LLAMA.2.255.255.0 192.0 192.

CAPITULO ESPECIAL Final COMUNICACIÓN CON SOLO EWINET YA PROBADO Configuración final de Rras Trabajando Con Ewinet en este caso la configuración es la siguiente Nombre de los Usuarios VPN Vpndrovica Vpnmultidrog Drovica qweQ123 qweQ123 vpnmultidrog Vpndrovica Drovica qweQ123 qweQ123 estos usuarios hay que meterlos en el grupo VPN al igual que los Ras donde van a funcional solo los servidores que van hacer la funcion de ras y el y el catalogo global pertenecen al grupo Servidores RRAS E IAS 73 .

255.168.1 N/a 192.1.1.10 255.0 10.1. pero si es con el ras aparte entonces la nic queda asi Antena Nic Drovica 10.1.1.1.0.1.La configuración de las tarjetas en el rras principal es la siguiente: Nic antena 10.1.100 Posición del Site 74 .0.0.3 255.255.1.255.1 10.168.N/A Nota : patiendo desde la estructura de arriba se toma la siguiente consideración.0.0.99 sera nuestra puerta de enlace en el AD Y QUEDA ALGO ASI 192.0.0.2.2.1.255.3 192.1.0.0.0.1.100 255.0.168.1.1 10.0.255.168.1 10.10 DNS del AD N/a Y la ip 192.1.168.1.0.0.2 255.1.10.255.168.2 va a dar un mensaje que indica que es otra subred y le decimos que si.168.0.255.2 192.0.0 10.168.168.255.1 N/A ip mask puerta de enlace dns 192.0 -192.1.2 255.10 n/a Posicion del Site Nota * en este caso NUESTRO SERVIDOR es con AD Y RRAS.0 10.168.0.99 255.0 10.0 10.0 10.0.1. como la puerta de enlace es un segmento distinto 10. luego pregunta si lo deseamos guardar y le decimos que “SI” Luego el seteo es el mismo del rras La configuración de las tarjetas en el rras sucursal es la siguiente (supuesto caso de ras y ad): 10.1.10 -255.0.1.1 n/a ip mask puerta de elnace DNS 1 DNS 2 Nic Drovica * 192.2 192.1.99 -192.

168.1.255.10 Y el el dhcp se coloca como puerta de enlace para la salidas de los pc del segmento X 192.1.4 255.168.255.1.168.4) llama al ip 10.5.0 N/a 192.168.8.1.0.0.255.5.10 255.0.168.10 Si coloco la direccion ip publica o la de la antena no voy a tener salida porque no esta enrutando asi que en definitiva la puerta de enlace a colocar en el dhcp es la direccion de la tarjeta drovica 75 .168.10 Dnd 192.2 rras principal Nota Tipssss Cuando se tiene en un mismo cajon el servicio rras la puerta de salida es la direccion de la tarjeta drovica ej: 192.1.8.255.0.10 255.1.168.1 10.0.0.10 192.Mismo caso anterior De resto continuamos con nuestra seteo normal expuesto en las primeras paginas Configuracion sel site o segmento 8 Galpon 18 Servidorrec 2 tarjetas de red y es sencilla configuración los ip de esta son: Nic Drovica 192.1 N/A vpnrecvin vpnvinrec drovica qweQ123 qweQ123 ip Mask Puerta de enlace Dns 1 Dns2 Nota en este caso donde hay ip fija (antena) el cliente vpn (10.10 Vpnvinrec Vpnrecvin Drovica qweQ123 qweQ123 NIC Ewinet 10.0 10.5.0.1.0 Pe no aplica Dns 192.

Capitulo especial RRAS en 2008 y con maquinas virtuales La configuración que se va a tener en este capitulo es el siguiente En el rras principal seguimos con 2003 y la misma configuración en el directorio activo y mismo procedimiento. 1 crear un servidor 2008. Esto porque la configuración es con 2008 y 2008 trae unos cambios importantes entre los que podemos especificar: La computadora que tenga el rol de rras No se deja ver desde el exterior no del interior de la rede decir no se le pude hace ping por ningún lado. a este equipo debe tener dos tarjetas las que llamaremos SCC Aba. debemos realizar los siguientes pasos. Nota cuando se esta haciendo el rras principal y se están creando los usuarios locales en las OU del Directorio Activo es importante poner TODO EN PERMITIR tanto usuario local de rras como el usuario que se crea en la OU de igual forma el Servidor Rras principal el procedimiento es el mismo de la guía. Se debe apagar todos los firewalls de ese computador Rras No funciona en maquinas virtuales Pero como en este caso vamos a trabajar con virtualización de otros roles. en el momento que esta acción se ejecute tas tarjetas que nombramos anteriormente se van a convertir en Swiches virtuales y se van a crear 2 tarjetas virtuales con los mismos nombres heredados (Scc y Aba). 2 Una vez que tenemos estas tarjetas procedemos a realizar la instalación del Rol de Hiper V a este servidor. pero del lado del cliente no es igual. pero a estas tarjetas las renombraremos Sccv y 76 .

3 creamos un usuario local vpn sitio principal ( porque este es el que llama) ej. Al srv-sitio virtual En la promoción del dominio aquí tomamos la primera opción la de AÑADIR UN AD A UN BOSQUE EXISTENTE luego pregunta en la sig pantalla la credencial y a que dominio nos vamos a pegar scc. esto se debe hacer debido a que luego el virtual donde vamos a promover a AD va a pedir unas credenciales y estas credenciales son: administrador y la clave fscell@dm1n. una vez confirmado estos eventos nos vamos a la virtual de la sucursal y y allí procedemos a realizar ping a la virtual principal una vez que vemos el enlace procedemos A PEGAR APRIMERO AL DOMINIO EL EQIPO RRAS DE SUCURSAL( de modo tradicional ) y después que este pegado al dominio vamos a promover o replicar el servidor es decir DCPROMO. procedemos hacer ping al virtual de la sucursal. de resto es igual el proceso Una vez levantado el rras y conectado y obviamente ya tenemos ping al virtual principal desde el rras. esto es nuevo del 2008.local y la credencial es administrador fsc3ll@dm1n luego pregunta si es ctalalogo global le decimos que SI una vez respondido esto pregunta si queremos transferir el master le decimos que SI pulsamos siguiente y pregunta allí pregunta si deseamos continuar luego pregunta donde vamos a montar el sysvol indicamos que es en el “D” y allí comienza a pasar los datos. Una vez realizado esto procedemos a reiniciar luego hacemos la nueva zona del nuevo segmento a continuación el paso a paso del la promoción del dominio Consideraciones para intergración de dominios con rras 20082003 y virtuales antes de hacer el dcpromo se debe pegar el rras del sitio al dominio por medio la la forma tradicional . (vpnsambilcaribbean) y la clave es qweQ123 y en marcado Permitir acceso 4 ahora vamos a levantar el rras la única diferencia es que vamos a utilizar las tarjetas SCCV y ABAV que son virtuales. una vez pegado el equipo al dominio se debe asegurar que no exista ningún Firewall Encendido una vez realizado estos pasos vamos al dcpromo en el virtual designado para ello 77 .Abav esto se hace porque el RRas va a utilizar estas tarjetas virtuales al momento de su configuración y ya las tendríamos identificadas.

78 .

79 .

pulsamos SI (ojo luego debemos crear la zona reversa manualmente) aqui cambiamos las el disco C por el D pulsamos Siguiente la clave es Abc123. 80 .

81 .

Aquí ya tenemos el dominio listo en el Rras del sitio Una vez integrado la maquina virtual al dominio se enciendo un firewall el cual se debe de apagar luego vamos al dns y creamos la zona inversa del sitio 82 .

83 .

101.192.168.168. ua vez hecho este cambio procedemos a activar el escritorio remoto en el Directorio activo que acabamos de levantar y listo 84 .sitio.sitio.luego configurar el dhcp -192.120 luego cambiar el dns en este orden.

2.100) y la otra se llama ABA. realizamos exactamente lo mismo en interfaces. una vez instalada el RRAS.168. es decir creamos una interface que se llame igual que el nombre del ras que estamos montando en el wizard pide que tipo de conexión es y le decimos que es VPN y el host al cual se va a conectar es el de la dirección IP del ABA del RRAS principal 85 .No Usar de aquí para abajo esto corresponde al ras sucursal En el RRAS del cliente realizamos el mismo wizard del la instalación anterior puede ser el 3 para aplicar Nats y los clientes naveguen o el 4 para solo conectar aquí (si elije esta opción luego le puedes agregar el protocolo NAT) en esta ocasión aplicaremos la 3 en este caso vamos a trabajar con una dirección de una Lan que se llama Drovica (192.

86 .

Dirección a la cual va apuntar el rras cliente. que es la que posee la Lan del ras principal en la NIC ABA y si esta llegara a caerse solo se cambia por la nueva IP y le damos conectar con el botón de propiedades 87 .

88 .

Esta opción también puede ser automática Los demás adaptadores que vemos en la pantalla inicial del ras no poseen propiedades. y l2tp 89 . ahora pasamos a los puertos Puertos: aquí se debe tener las mismas consideraciones que tenemos en el capitulo anterior de configurar el numero de puertos P.D.

90 .

Entramos en el aspecto de enrutamiento IP Creamos una nueva interface que se llame como el usuario de del Site Sucursal (vpnnaguanagua) 91 .

Interface vpnnagunagua 92 .

93 .

Interface Interno

94

Vamos ahora con la interface Drovica

Ventanas por defecto no poseen información

95

96

Interface Bucle Invertido no posee propiedades Interface ABA 97 .

98 .

Interface Rutas Estaticas Este renglón no posee información siempre esta desierto 99 .

34. dicha interface debe tener el mismo nombre que la que habíamos creado en el AD esto se hace botón derecho agregar protocolo seleccionamos Rip y luego creamos la interface con la sig.) Si elegimos la opción 4 se hace de esta forma (ojo en esta opción las estaciones no pueden navegar porque no tienen salida a la red publica. Configuración 100 .Interfaces RIPS Y NATS Estas interfaces poseen ciertas consideraciones que vienen dada dependiendo de la opción que se ha seleccionado bien sea la opción 3 o la 4. caso contrario de la opción 4 que hay que agregar estos protocolos y las interfaces que van con ellas(para ver las opciones vaya a la pag. en la opción 3 el wizard agrega los protocolos y ya trabaja con los RIP y los NAT. para ello se debe montar el protocolo NAT) Agregamos el protocolo y la interface.

101 .

102 .

Con respecto a la interfaz drovica (Lan de intranet) es exacta solo cambia en la solapa de OPCIONES AVANZADA en la Tercera (3) opción hay que activarla (HABILITAR ACTUALIZACIONES DESENCADENADAS con esto finalizamos los RIPS Trabajando con los NAT Si no tenemos el protocolo lo agregamos y si ya lo tenemos pues lo configuramos una vez instalado el protocolo se configura de la siguiente forma Al momento de crear este protocolo se deben agregar 2 interfaces la pública (ABA) y la privada y se configura como se ve a continuación: Interface Pública Filtros Vacíos 103 .

Activar solo estas opciones 104 .

En esta Sección no se activa ninguna opción Ahora con la Interface interno que crea el sistema Filtros Vacíos 105 .

106 .Interface Privada Filtros Vacíos Con esto Terminamos la configuración del Site Principal Y la Sucursal……….