Anónimo
Microsoft Outlook + internet + red sobre VPN
A ver si me puedes echar una mano:
Tengo creada una VPN contra servidores win 2003 Server. Funciona perfectamente contra ellos, pero tengo 2 problemas. Los equipos cliente remotos tienen Win XP y office 2003, con Outlook. Se conectan, el servidor les da IP y tienen acceso a los datos del servidor, tienen acceso a recursos del resto de equipos de red, pero, siempre mediante IP, si intentas hacer un ping a la IP de un equipo de la red, responde, si intentas hacérselo a su nombre en la red dice que no puede encontrar el host. Mediante el explorador de mis sitios de red, solo se ve a si mismo. Hago un ping al servidor principal responde, hago un ping al nombre del servidor, no responde. Ping a IP de Internet responde, ping a nombre externo (www.terra.es), responde. Explorador Web, sin problemas. Intentas conectarte al servidor Exchange mediante Outlook, no se puede conectar. Todo esto ocurre configurando todo correctamente y con la salvedad de que en las propiedades de configuración avanzada de TCP/IP de la conexión VPN tengo desactivada la opción "usar la puerta de enlace predeterminada en la red remota". Viendo que Outlook no me va, la activo a ver. Reconecto. Prueba ping al IP del servidor, responde, pruebo ping a IP de otro equipo de red, responde. Pruebo ping a nombre de servidor, responde. Ping a nombre de equipo de red, responde, ping a IP externa de Internet, funciona. Ping a nombre externo (www.terra.es), responde. Abro Outlook, se conecta al Exchange sin problemas, recibo y envío correo. Abro el explorador de Windows... No funciona. Osea, que Internet y correo de Microsoft Outlook sobre VPN a la vez, no me funciona. No se si es algo imposible, o es que hay alguna opción por ahí que me falta. No se si me he explicado bien.
Tengo creada una VPN contra servidores win 2003 Server. Funciona perfectamente contra ellos, pero tengo 2 problemas. Los equipos cliente remotos tienen Win XP y office 2003, con Outlook. Se conectan, el servidor les da IP y tienen acceso a los datos del servidor, tienen acceso a recursos del resto de equipos de red, pero, siempre mediante IP, si intentas hacer un ping a la IP de un equipo de la red, responde, si intentas hacérselo a su nombre en la red dice que no puede encontrar el host. Mediante el explorador de mis sitios de red, solo se ve a si mismo. Hago un ping al servidor principal responde, hago un ping al nombre del servidor, no responde. Ping a IP de Internet responde, ping a nombre externo (www.terra.es), responde. Explorador Web, sin problemas. Intentas conectarte al servidor Exchange mediante Outlook, no se puede conectar. Todo esto ocurre configurando todo correctamente y con la salvedad de que en las propiedades de configuración avanzada de TCP/IP de la conexión VPN tengo desactivada la opción "usar la puerta de enlace predeterminada en la red remota". Viendo que Outlook no me va, la activo a ver. Reconecto. Prueba ping al IP del servidor, responde, pruebo ping a IP de otro equipo de red, responde. Pruebo ping a nombre de servidor, responde. Ping a nombre de equipo de red, responde, ping a IP externa de Internet, funciona. Ping a nombre externo (www.terra.es), responde. Abro Outlook, se conecta al Exchange sin problemas, recibo y envío correo. Abro el explorador de Windows... No funciona. Osea, que Internet y correo de Microsoft Outlook sobre VPN a la vez, no me funciona. No se si es algo imposible, o es que hay alguna opción por ahí que me falta. No se si me he explicado bien.
2 Respuestas
Respuesta de dogduck
1
Según me cuentas al activar la puerta de enlace de la red remota de la vpn dejas de navegar en internet. Es decir que no resuelve las dns de inet ya que seguramente intenta resolver a través del dns de la vpn y puede que esté filtrado en el router o sea otro el motivo.
Prueba a configurar una puerta de enlace de la super red ( 0.0.0.0 ) o ruta de último recurso (en argot de networking). Si tu puerta de enlace de la lan o red local (no la de la vpn) es 192.168.0.1 (por ejemplo)
Deberás hacer en cada pc cliente:
Inicio > ejecutar > cmd
c:\> route -p add 0.0.0.0 mask 0.0.0.0 192.168.0.1
Con -p la haces persistente (es decir que en el siguiente inicio no tendrás que volver a crearla). Y lo que defines es que cuando no resuelva alcanzar una red tu/s pc/s lo intente por la ruta de último recurso o a través de tu puerta de enlace de tu lan.
Puede hacerlo desde un script .bat o .cmd
Me cuentas si te funciona.
Prueba a configurar una puerta de enlace de la super red ( 0.0.0.0 ) o ruta de último recurso (en argot de networking). Si tu puerta de enlace de la lan o red local (no la de la vpn) es 192.168.0.1 (por ejemplo)
Deberás hacer en cada pc cliente:
Inicio > ejecutar > cmd
c:\> route -p add 0.0.0.0 mask 0.0.0.0 192.168.0.1
Con -p la haces persistente (es decir que en el siguiente inicio no tendrás que volver a crearla). Y lo que defines es que cuando no resuelva alcanzar una red tu/s pc/s lo intente por la ruta de último recurso o a través de tu puerta de enlace de tu lan.
Puede hacerlo desde un script .bat o .cmd
Me cuentas si te funciona.
Hola dogduck:
He probado lo que me habías dicho, que ya lo había encontraod yo por la red pero tampoco parece funcionar.
He probado
c:\> route -p add 0.0.0.0 mask 0.0.0.0 192.168.0.1 nada, error en la adiccion de la ruta: El indice de interfaz es erróneo o la puerta de nelace no está en la misma red que la interfaz, comprueba la tabla de direcciones IP de las maquinas.
he probado a hacer
c:\> route -p add 0.0.0.0 mask 0.0.0.0 192.168.2.1(puerta enlace equipo remoto), no da error pero no entra ne internet
Lo que no entiendo muy bien es que debo poner. ¿No debería ser route -p add (ip servidor) mask (255.255.255.0) (ip que me da el servidor)?.
No lo veo claro, a ver si tu ves algo
Saludos
He probado lo que me habías dicho, que ya lo había encontraod yo por la red pero tampoco parece funcionar.
He probado
c:\> route -p add 0.0.0.0 mask 0.0.0.0 192.168.0.1 nada, error en la adiccion de la ruta: El indice de interfaz es erróneo o la puerta de nelace no está en la misma red que la interfaz, comprueba la tabla de direcciones IP de las maquinas.
he probado a hacer
c:\> route -p add 0.0.0.0 mask 0.0.0.0 192.168.2.1(puerta enlace equipo remoto), no da error pero no entra ne internet
Lo que no entiendo muy bien es que debo poner. ¿No debería ser route -p add (ip servidor) mask (255.255.255.0) (ip que me da el servidor)?.
No lo veo claro, a ver si tu ves algo
Saludos
Con route defines una ruta y por cual puerta de enlace va salir.
La ruta 0.0.0.0 mask 0.0.0.0 es la superred es toda la red y el gateway es 192.168.0.1, indicas con esto que si no encuentra una ip o no resuelve un dns en la vpn lo haga a través de 192.168.0.1
Haz un ipconfig /all y dime que te da. Y cuantos interfaces o tarjetas de red tienes (incluida la/s wifi).
Mientras tanto voy a profundizar el la base de datos de Microsoft ... ya te contaré
saludos
La ruta 0.0.0.0 mask 0.0.0.0 es la superred es toda la red y el gateway es 192.168.0.1, indicas con esto que si no encuentra una ip o no resuelve un dns en la vpn lo haga a través de 192.168.0.1
Haz un ipconfig /all y dime que te da. Y cuantos interfaces o tarjetas de red tienes (incluida la/s wifi).
Mientras tanto voy a profundizar el la base de datos de Microsoft ... ya te contaré
saludos
Hola dogduck:
Ya he encontrado la solución. De otra manera. Yo lo que estaba pretendiendo era entrar en un dominio como usuario, y luego utilizar la conexión a internet del cliente VPn para conectar a internet, cuendo eso no es posible con una sola tarjeta de red! Que he hecho. Me autentifico como usuario de VPN en el dominio, con acceso a datos y todo eso, y luego le digo al ISA, que esos clientes VPN puedan acceder a internet. Salen a Internet por la linea de losservidores, como si fuera un usuario interno. Creo que no hay otra solucuión. Esta desde el uego funciona. Imagino que si tienes muchos clientes VPN la cosa se puede ir complicando sin un ancho de banda bueno. Estoy pensando en un Citrix, no se si ganaré velocidad, que es lo que le falla a la VPN pelada de win 2003 server.
Bueno dogduck, de nuevo un placer poder hablar contigo, y agradecerte tu tiempo y tu dedicación.
"si no quieres las mismas respuestas, no hagas las cosas siempre igual"
Un saludo
Ray
Ya he encontrado la solución. De otra manera. Yo lo que estaba pretendiendo era entrar en un dominio como usuario, y luego utilizar la conexión a internet del cliente VPn para conectar a internet, cuendo eso no es posible con una sola tarjeta de red! Que he hecho. Me autentifico como usuario de VPN en el dominio, con acceso a datos y todo eso, y luego le digo al ISA, que esos clientes VPN puedan acceder a internet. Salen a Internet por la linea de losservidores, como si fuera un usuario interno. Creo que no hay otra solucuión. Esta desde el uego funciona. Imagino que si tienes muchos clientes VPN la cosa se puede ir complicando sin un ancho de banda bueno. Estoy pensando en un Citrix, no se si ganaré velocidad, que es lo que le falla a la VPN pelada de win 2003 server.
Bueno dogduck, de nuevo un placer poder hablar contigo, y agradecerte tu tiempo y tu dedicación.
"si no quieres las mismas respuestas, no hagas las cosas siempre igual"
Un saludo
Ray
Respuesta de guohin
1
La resolución de nombres de microsoft funciona a través del NetBios, este es un protocolo bastante pesado, para ello Microsoft implemento en su día el protocolo WINS (Windows Internet Naming Service) esto a groso modo hace que los equipos pertenecientes al dominio mapeen la asociación de los nombres de las maquinas junto a sus IPs pero tiene sus inconvenientes, el refresco de los servidores DHCP no está sincronizado al refresco del WINS (ayuda que el dominio se encargue tanto del DHCP como del WINS pero... es lo que hay).
Posiblemente solucione gran parte de los problemas agregando el servidor wins a la configuración de la VPN del equipo cliente siempre y cuando tengas instalado el servidor, si no lo tienes instalado, es muy sencillo y digamos que se autoadminsitra, apenas has de configurar nada extraño y proporcionará bastante velocidad a la red ya que reduce el tráfico NetBios (protocolo muy pesado) en gran parte.
Yo por mi experiencia he decidió editar mi "host.conf" en los equipos clietnes a los que me conecto por VPN a mi organización, ya que por norma general los equipos a los que me conecto suelen ser servidores con IP fija, de esta forma evito el trafico netbios en la VPN (aligerando bastante la conexión) y me evito el problema que estás teniendo pero reconozco que es una solución buena cuando tan solo uno o dos clientes se coenctan mediante VPN, si tienes más clientes y las conexiones no son a IPs Fijas prueba el WINS.
Dime como vas que tengo un pequeño laboratorio por aquí para hacer pruebas y seguramente demos con una solución.
Posiblemente solucione gran parte de los problemas agregando el servidor wins a la configuración de la VPN del equipo cliente siempre y cuando tengas instalado el servidor, si no lo tienes instalado, es muy sencillo y digamos que se autoadminsitra, apenas has de configurar nada extraño y proporcionará bastante velocidad a la red ya que reduce el tráfico NetBios (protocolo muy pesado) en gran parte.
Yo por mi experiencia he decidió editar mi "host.conf" en los equipos clietnes a los que me conecto por VPN a mi organización, ya que por norma general los equipos a los que me conecto suelen ser servidores con IP fija, de esta forma evito el trafico netbios en la VPN (aligerando bastante la conexión) y me evito el problema que estás teniendo pero reconozco que es una solución buena cuando tan solo uno o dos clientes se coenctan mediante VPN, si tienes más clientes y las conexiones no son a IPs Fijas prueba el WINS.
Dime como vas que tengo un pequeño laboratorio por aquí para hacer pruebas y seguramente demos con una solución.
Hola:
Yo funciono todo con protocolos TCP/IP, lo del WINS no lo he utilizado nunca. A mi la VPN me funciona perfectamente, pero cuando se conecta no tengo Internet y cuando las desconecto si, osea que quiero tener internet y VPN a la vez, y eso parece ser un problema. No se, quizás no me explique bien antes. O no he entendido por donde vas.
Saludos
Ray
Yo funciono todo con protocolos TCP/IP, lo del WINS no lo he utilizado nunca. A mi la VPN me funciona perfectamente, pero cuando se conecta no tengo Internet y cuando las desconecto si, osea que quiero tener internet y VPN a la vez, y eso parece ser un problema. No se, quizás no me explique bien antes. O no he entendido por donde vas.
Saludos
Ray
Te había entendido otra cosa...
Para tener internet a la vez que te conectas a la VPN has de crear la ruta por defecto en Aceso remoto.
Si la VPN la haces con un firewall ISA SERVER, genera una regla que permita el tráfico entre la VPN y la red externa o internet.
Si la VPN la haces mediante "Enrutamiento y acceso remoto" de Win 2003 Server tendrás que crear una nueva ruta estática donde permitas el trafico entre la VPN y Internet, ya que las rutas VPN no son dinámicas como pudiera ser con un protocolo de enrutación (RIP.. etc).
Resumiendo, has de crear la ruta en el servidor para que traslade el tráfico. Tan solo podrás tener internet a través de la VPN. Me explico, una vez te conectes a la VPN, tu trafico de internet saldrá a través de los servidores de la VPN no de tu conexión de internet.
Para tener internet a la vez que te conectas a la VPN has de crear la ruta por defecto en Aceso remoto.
Si la VPN la haces con un firewall ISA SERVER, genera una regla que permita el tráfico entre la VPN y la red externa o internet.
Si la VPN la haces mediante "Enrutamiento y acceso remoto" de Win 2003 Server tendrás que crear una nueva ruta estática donde permitas el trafico entre la VPN y Internet, ya que las rutas VPN no son dinámicas como pudiera ser con un protocolo de enrutación (RIP.. etc).
Resumiendo, has de crear la ruta en el servidor para que traslade el tráfico. Tan solo podrás tener internet a través de la VPN. Me explico, una vez te conectes a la VPN, tu trafico de internet saldrá a través de los servidores de la VPN no de tu conexión de internet.
Hola guohin:
Efectivamente, esta solución ha sido muy efectiva, tengo correo, datos e internet. Yo me empeñaba en sacar la conexión de Internet del equipo cliente VPN por su conexión, para que no me repercutiera en la que tienen los servidores, pero creo que es imposible intentar realizar conexión fuera y dentro por la misma tarjeta de red. Si tuviera dos tarjetas seguramente podríamos hacerlo, pero bueno, eso quizás es un poco rizar el rizo.
Muchas gracias por tu ayuda, y por compartir conmigo tu tiempo
Un saludo
Ray
Efectivamente, esta solución ha sido muy efectiva, tengo correo, datos e internet. Yo me empeñaba en sacar la conexión de Internet del equipo cliente VPN por su conexión, para que no me repercutiera en la que tienen los servidores, pero creo que es imposible intentar realizar conexión fuera y dentro por la misma tarjeta de red. Si tuviera dos tarjetas seguramente podríamos hacerlo, pero bueno, eso quizás es un poco rizar el rizo.
Muchas gracias por tu ayuda, y por compartir conmigo tu tiempo
Un saludo
Ray