VPN [solucionado]

Iniciado por Luquest, 14 Julio 2011, 21:06 PM

0 Miembros y 1 Visitante están viendo este tema.

int_0x40

#10
Espero poder ayudar en algo.

Principales problemas con vpn y sus soluciones:

Rechazo de conexión a clientes. Existen diferentes circunstancias por las que se da este problema. La primer cosa que hay que verificar es que los servicios de ruteo y acceso remoto estén ejecutándose. Lo puedes verificar en el servidor-->Panel de control-->Herramientas administrativas-->Servicios. Una vez hecho eso hay que hacer ping al server desde el cliente usando su dirección IP y si responde después usando su DN.
Problemas de autenticación: Una vez descartado que sea problema de conexion TCP/IP entre cliente y servidor y de resolución de nombre lo que sigue es el problema de autenticado. Existen muchas formas mediante las cuales se puede dar la autenticación. Ambos, el cliente y el server deben de compartir al menos un método en común para autenticarse. Para saber el método en particular que se está usando usa la Consola de administración de Microsoft dado que estás usando MSW server 2003--->MMC en el intérprete de comandos--->da click en añadir para ver la lista de elementos-->selecciona Routing and Remote Access-->añade--->ok-->close y se añadirá--->dar click derecho en el listado de tu servidor VPN-->propiedades-->seguridad-->Metodos de autenticación. Eso te mostrará los métodos disponibles para autenticarse. Se debe seleccionar el mismo que se configurará en el cliente <---Ojo. En el cliente hay que seleccionar igual en conexión VPN-->propiedades-->seguridad-->configuración. Se verán los métodos de autenticado disponibles, selecciona el mismo que se seleccionó en el server.
Si eso falló: verifica la manera en como se esté estableciendo la conexión, si es a partir de marcado telefónico o vía Internet. Es posible que el cliente remoto no tenga privilegios para conectarse con marcado telefónico. Se puede checar eso en el tab de propiedades de ese usuario en Usuarios de Active Directory y Equipos o checando la política del dominio para el acceso remoto. Por supuesto, aunque es obvio hay que verificar que el usuario sabe establecer la conexión y conoce el nombre de usuario y el password. Puede sonar redundante pero recuerda que el VPN server necesita ser miembro del dominio y si no lo es, no va a poder autenticar a ningún cliente.

No está de más echarle un ojillo también a lo de las direcciones IP. En conexiones VPN basadas en web es común que se usen 2 IPs para la computadora del VPN client. La primera es asignada por el ISP del cliente, desde donde se conecta y sirve para establecer la conexión TCP/IP con el VPN server a través de Internet. Pero una vez que se asocia a éste último, se le asigna una dirección IP secundaria que tendrá la misma subred que la red local y así permitirle comunicarse con ésta. Cuando se configura el VPN server hay que especificar si se usará DHCP para la asignación de IP secundarias a los clientes o si se reservará un número de ellas para asignarlas estáticamente. En este último caso, si el VPN server utiliza todas sus IP válidas reservadas, será incapaz de asignar una a los nuevos clientes y se les rechazará. Muchos errores son ocasionados por mala configuración del DHCP en el VPN server. Uno muy común es no seleccionar correctamente la tarjeta de red. Verifícalo en tu server en Ruteo y Acceso remoto-->propiedades-->cejilla IP-->direcciones estáticas o DHCP que usará-->Si se usa DHCP seleccionar la NIC que posea ruta TCP/IP al DHCP server.
Otro problema común, parecido al que tienes tú es cuando existe una conexión existosa pero el usuario remoto es incapaz de acceder la red más allá del servidor VPN. Cuando es el caso, casi siempre es debido a que no se ha permitido ningún permiso explícito para ese usuario. Es parte de la configuración de RAS controls. Para permitir acceso  de un usuario a toda la red ve nuevamente a la consola de Ruteo y Acceso remoto--> click derecho en el VPN server-->propiedades-->cejilla propiedades IP-->habilita el cuadro de Ruteo IP. Si está deshabilitado los usuarios podrán acceder al VPN server pero se les negará el acceso a la red. También puede deberse a las rutas como ya lo mencinaron. Si existe un usuario que establezca conexión por marcado telefónico directo al VPN server la ruta será mejor estática. Se configura en el mismo servidor en la cejilla de Dial In. Si estás usando DHCP para asignar IP secundarias a los clientes hay que verificar que no haya duplicado de direcciones.
El último problema tiene que ver con establecimiento de tunel y se debe a que uno o más routers involucrados en la conexión están haciendo filtrado de paquetes IP. Te recomiendo verificar todos los dispositivos y equipos involucrados para checar si están haciendo filtrado de paquetes IP.

Un saludo.
"The girl i love...she got long black wavy hair "

Lunfardo

si queres saber que falla hace un traceroute talves te ayude, saludos

Luquest

Buenos Días,

Ya pude encontrar el inconveniente, fue la dirección ip a la cual apuntaba la conexión de VPN Client. Gracias a todos por su ayuda y Predisposición. Saludos Cordiales.