Remote Routing Access Services

Dpto. Sistemas 2007 V F1.2.2

Jorge Yanes 030108

Como crear un RRAS/VPN Instalacin Drovica

Antes de comenzar con la instalacin del Ras/Vpn se debe tomar en cuenta ciertas consideraciones para que funciones de una forma ptima 1. Determinar que aplicacin se va a ejecutar del otro lado de la Vpn, si la aplicacin no es realmente cliente servidor obtener licencias Terminal Server 2. Tener un ancho de banda respetable (mnimo 1024). 3. Se debe tener el rol del Ras aparte, este cajn debe tener 2 tarjetas de red una para la VPN y otras para la LAN con por lo menos 1 Gb en Ram y procesador de al menos 3.0 esto porque es este servidor el que comunica y transfiere los datos. Una vez que se tiene este configuracin se procede a realizar la instalacin del Site; vamos a realizar la conexin entre un Site principal y Sites de sucursales, podemos tener N sites Iniciando en el Site principal: Tomando en cuenta que vamos a trabajar con dos cajones en el Site principal el primero es con el rol de Ras/VPN y el segundo ser nuestro FS o servidor principal Comencemos: Previamente al trabajo debemos ver que direccin esta dando el ABA en el otro lado del Site es decir hacemos un Ping y vemos que direccin esta dando ej: Ip del Site Sucursal 201.209.162.195 255.255.248.0 201.209.160.1 La direccin de la tarjeta es la que nos interesa (201.209.162.195) le hacemos ping a esta direccin y el tiempo de respuesta debe ser < a los 60-70 ms de respuesta esto para garantizar la respuesta e intercambio de informacin. Una vez verificado que existe ping o comunicacin nos concentramos en el site principal. Nota: Para poder hacer esto hay que activar el escritorio remoto del site sucursal.

1. Partiendo de la premisa que tenemos 2003 Server limpio comenzamos a montar nuestra Vpn y comenzamos en el FS en el Active Directory AD se debe elevar el nivel funcional a 2003 solo si es ambiente puro xp sp2. esto lo ubicamos en Herramientas Administrativas, dominios y confianza, entramos en la consola y donde esta nuestro arbol de dominio presionamos boton derecho y ubicamos Elevar Nivel Funcional, lo elevamos a 2003 puro esto se hace en el principal esto es irreversible, esto lo hacemos solo si tenemos 2003 y Xp service pack 2; Con esto logramos que cuando creemos el usuario VPN me va a dar la opcin de CONTROLAR ACCESO A TRAVEZ DE DIRECTIVAS DE ACCESO REMOTO esto se va activar en las propiedades del usuario en la Solapa de Marcado y en las propiedades de los Servidores VPN. Una vez que hemos elevado el nivel funcional en el servidor FS de catalogo global principal pasamos al Sig. Paso. 2. Donde vamos a crear una OU que se llame Servidores Miembros y dentro de esa OU creamos otra que se llame RRAS en donde vamos a crear un Grupo que se llame Gupovpn este grupo debe GLOBAL Y DE SEGURUDAD del cual seran miembro nuestro usuario vpn y los servidores ras, posteriormente creamos un usuario que se llama vpn+Site princial (vpnvinedo) (le podemos colocar cualquier nombre, preferiblemente relacionado con el SITE que se esta haciendo) al cual le damos una clave (qweQ123) luego en las propiedades del usuario lo hacemos miembro del Grupo VPN y en las Opciones de Marcado seleccionamos Controlar acceso a traves de directivas de acceso remoto, Luego de esto creamos unos computadores que seran nuestros servidores Ras, esta computadora que se llame de la misma forma que se llama el Computador al cual se le esta haciendo el SITE Rasvinedo, Rasnaguanagua, etc. (Ras + site sucursal y ras + site principal) y a estos equipos que hemos creado vamos a las propiedades y seleccionamos la solapa de marcado Controlar acceso a traves de las directivas de acceso remoto. Una vez echo esto vamos al contenedor de Usuarios y ubicamos un grupo que es por defecto de Windows que se llama SERVIDORES RAS E IAS y hacemos miembros nuestros RRAS y el principal ejemplo, (Rasnaguanagua,Rasvinedo,Servidorval); una vez preparado nuestro servidor vamos al ras del site principal 3. Hacer miembro el servidor ras Domain Controler DC esto se hace de la siguiente forma. 3.1. Nos vamos al Servidor Ras a propiedades del sistema (tecla Windows + Pausa) nos vamos, nombre de equipo cambiar y le colocamos el Dominio.com luego el pide la autentificacin para

unirse al dominio y le ingresamos el logn de administrador se reinicia y ya es miembro de nuestro DC. (Este debe ser servidor Ras member, esto lo vemos en las propiedades 3.2. Luego creamos un usuario en esta OU Ras grupo que se llame vpnvinedo (Cualquier Nombre relacionado con el site principal) y lo hacemos miembro del grupo que acabamos de crear Configuracin de del usuario en el ras Nota importante: Hay que crear los usuarios de las OU (los usuarios de los ras tanto los que llaman como los que responde, y hay que crearlos en el Ras al cual se desee que conteste, puedo tener varios Ras y hacer que uno u otro conteste) de nuestra vpn como locales en el SERVIDOR RAS AL QUE SE ESTA LLAMANDO, es decir: Vpnvinedo (qweQ123) Vpnnaguanagua (qweQ123) Vpncastillito (qweQ123) Vpnsite Una vez creado nuestro usuario de forma local en el ras vamos a la solapa de Marcado del usuario en cuestion y seleccionamos Permitir (esto solo se hace en el usuario local) , Luego vamos a nuestro usuario en el ADs y seguimos configurando como sigue

Luego en la ou que hemos creado en nuestro AD

Usuario ya miembro del grupo VPN

Hacer Miembro Nuestro RRAS 9

Una vez configurado nuestro usuario en el Active Directory Service (ADS) procedemos a uno de los pasos mas importantes hacer miembro nuestro RRAS en el grupo SERVIDORES RAS e IAS (este es un grupo predefinido por ADS) Paso 1: Vamos a la consola de AD y ubicamos en la carpeta User un grupo denominado SERVIDORES RAS e IAS

En User Seleccionamos Grupo Servidores RAS e IAS

10

Una vez ubicado el grupo Servidores Ras e Ias pulsamos este grupo y vamos a las pestaa que dice MIEMBROS y si no aparece nuestro Ras le damos Agregar (tantos Rras tengamos Agregaremos)

Si no aparece nuestro RRAS pulsamos agregar

Area de servidores Miembros

11

Una vez pulsado el botn de agregar aparece este cuadro de dialogo y nos dirigimos a Tipos de objetos y aadimos al despliegue Equipos Pulsamos y agregamos el objeto Equipos

Seleccionamos Este Objeto

12

Seleccionar este objeto para que este en la busqueda

13

Pulsar boton para iniciar Nuevo Objeto Nombre del equipo que se va hacer miembro

Una vez que se hace este filtre y encuentre el equipo se le da aceptar y debe aparecer en el cuadro de equipos miembros a Servidores Ras e Ias Nota: este servidor previamente ya debe ser miembro del dominio Lugo vamos a el equipo Ras y verificamos que tenga la siguiente configuracin (esta configuracin es para todos RRAS, tanto Principal como sucursales) Ubicamos nuestro equipo RRAS

14

15

16

17

Una vez que hacemos esta configuracin y el usuario es miembro y tenemos la OU con el usuario y el Grupo vamos a al enrutador y acceso remoto, este es el Site principal y es quien responde las solicitudes de los sites de las sucursales.

18

Configuracin del RAS Principal

19

20

21

22

23

Punto de la Subnet en el lado que responde

Punto de la Subnet en el lado que responde (site principal)

Numero de Usuarios que se responde (Site Principal)

24

25

Una vez que se inicia el servicio se procede a la configuracin del sistema Ras.

Interfaces
1 Entramos en la opcin de interfaces de red y se deben crear una nueva interface

2 Se debe colocar en la interface el MISMO NOMBRE DEL USUARIO QUE SE CREO EN EL RRAS principal (vpnvinedo)

26

El nombre de la interface se recomienda que sea igual a la del usuario que se creo en el AD

27

Esta direccin va VACIA porque ese es el servidor que responde

28

En el Siguiente cuadro se debe colocar el password que tienen en su cuenta de usuario

vpnnaguanagua

El usuario del AD quien llama ejm: vpnnaguanagua

Misma clave que se coloco en el AD

29

Este dispositivo queda como dedicado hay que configurarlo configuracin que sigue a continuacin.

con la

Se debe cambiar a marcacin a peticin (propiedades)

30

31

En esta ventana que sigue se debe activar todo

32

Opcional

Los dems adaptadores de red de la ventana de interfaces no poseen propiedades y quedan as.

33

Clientes
En la ventana de clientes no hacemos nada ya que en ella solo se reflejan los clientes conectados.

Puertos
No tocamos nada queda asi en ambas formas PPTP y L2TP

Ventana de Enrutamiento IP
Inicialmente La opcin de enrutadores queda con esta configuracin

34

Las opciones del Agente de retransmisin DHCP y la opcin del IGMP no se usan en esta configuracin es por ello que las eliminamos Ventana de General

35

36

Ahora trabajamos con el adaptador local y veremos sus propiedades y configuracin

37

En los filtros no hay nada

Ip del adaptador de red local

En las opciones no hay nada

38

39

Propiedades del interno Las dems ventanas no tienen informacin

El bucle interno no posee informacin de propiedades

40

Interface ABA

no posee informacin ya que se establece por DHCP de ABA

41

Ventana de Rutas estticas

Adems de estas ventanas, se debe que colocar o agregar otro protocolo que es el RIP (Remote Internet Protocol) y se hace de la siguiente forma

42

Una vez que agregamos el protocolo RIP le vamos a aadir una nueva interface a ese protocolo que la vamos a llamar exactamente de la misma forma que nuestro usuario Vpn que ya creamos en el AD del DC y la interface de la intranet

43

Propiedades de la interfaz VPNVINEDO, el modo de autentificacin debe ser periodica

44

45

Con respecto a la interfaz viedo (Lan de la intranet) es exacta solo cambia en la solapa de OPCIONES AVANZADA en la Tercera (3) opcin hay que activarla (HABILITAR ACTUALIZACIONES DESENCADENADAS con esto finalizamos los RIPS

46

Ahora los valores NAT

(para instalar los NAT solo se identifica cual interface es Publica (Internet) y cual es privada (Lan de la intranet) En esta opcin debemos tener 3 interfaces

Estas son las 3 tarjetas o interfaces que necesitamos en la opcin NAT

(Network Address Translation)

47

127.0.0.1

No hay opciones seleccionadas

48

Interface INTERNO este es su estado por defecto

Ultimo adaptador de interface Viedo

49

Por ultimo creamos la poltica Vpn

Esta es la politica que regir el estado de la conexin

50

Luego pide el nombre de la poltica, si es para APN, luego pregunta a que grupo se le va aplicar la poltica seleccionamos el grupo, luego pregunta el tipo de autentificacin y cifrado que va a tener la poltica y se toma la que es por defecto luego el tipo de tnel y final Eso es todo lo que se hace en el site Principal... A continuacin el site de la Sede

51

Configuracin del RRAS desde el Cliente o Sucursal

52

53

54

El nombre es el vpn+sucursal

55

56

Este es el ip a quien llama es del ABA

ip del aba destino al cual va a llamar

57

El siguiente paso es muy importante y es exactamente como indica la figura, creamos una credencial donde me pregunta el nombre del usuario u le colocamos el que habiamos creado en el AD vpnvinedo (esto es para todas las sucursales), dominio es drovica y el password es el que le colocamos en el AD (qweQ123), de lo contrario no entra

58

59

Una vez que se finaliza verificamos la interface que hemos creado

60

61

Las demas interfacees no poseen informacin

Luego vamos a los puerto y con el boton derecho vamos a las propiedades y queda asi tanto en l2tp como pptp (no los tocamos)

62

Luego en enrutamiento ip vamos a general y vamos a agregar un nuevo protocolo RIP Hay agregamos 2 interfaces la interface que acabamos de crear (vpnnaguanaga) debe quedar asi

Las demas solapas las dejamos igual Y lo mismo lo hacemos con la interface interna de la red (drovica)

63

Luego vamos a los nat Creamos 2 interfaces una que se llama aba y la otra drovica

Y solo editar solo servicios y puertos

64

Estos servicios y puertos apuntan al127.0.0.1

65

Una vez que se realiza esto en el ad se debe crear una nueva zona

Nueva Zona

CAPITULO ESPECIAL HACER UNA COMUNICACIN CON UNA SOLA MAQUINA QUE SEA DOMINIO DHCP RRAS CON SUS SITES:
Este es un caso que se puede presentar en la mayora de las veces debido a que en la misma maquina principal se hace todo el procedimiento para esto debemos tomar en cuanta lo siguiente y es muy importante es el echo de que se pueden presentar dos escenarios el primero que ya este la maquina lista y configurada con dhcp y dominio (ad) y el otro escenario es hacerlo desde cero En el primer caso lo primero que se debe hacer es ver si el dominio (DNS) esta funcionando para ello hacemos nuestra prueba de nslookup si es positiva continuamos de no ser asi se debe configurar y resetear para que adopte la configuracin establecida, esto porque, debido a que si no tenemos esto bien definido no vamos a poder conectarnos por DOMINIOS SINO POR IP`S, verificamos en los dns los Reenviadores, el punto de HOST y la zona inversa, una vez que se chequea todo esto volvemos a ejecutar el Nslookup hasta que nos de bien. Cuando esto ocurra es decir me debe arrojar 66

como dominio principal la ip de la tarjeta LOCAL como punto host, una vez que obtenemos este resultado procedemos a realizar la instalacin fsica de la tarjeta que tendr el RRAS bien sea con ip fija o dinamica (aba-intercable-etc); si es con estos proveedores de Internet se deja dinamica y al momento de hacer el RRAS se define de lo contrario se procedo a montar nuestros IPS. En caso de que los ip son fijos tratemos de jugar con la siguiente configuracin: Equipo Principal que posee el AD DHCP y se convertira en RAS
Tarjeta local Ip mascara Gateway Dns1 Dns2 192.168.1.10 255.255.255.0 n/a 192.168.1.10 Opcional * Tarjeta Con IP FIJA (Ewinet) 10.1.0.2 255.255.0.0 10.1.0.1 10.1.0.1 n/a

En esta tarjeta como es un servicio que no da direcciones IP entonces le colocamos nuestra ip, y lo trabajamos de esta forma Ip 10.1.0.2 este ultimo valor representa la seccin del Site que se esta conformando y se empieza en 2 porque el 1 es que hace la comunicacin o enlace en el Gateway con los demas Sites La mascara que se debe usar es Clase B debido a que esta es la ip que se esta usando para el enlace por eso es 255.255.0.0 Gateway 10.1.0.1 Con esta ip es que se hace la conexin entre los sites y es 1 porque es la que tomamos como Punto inicial o matriz de nuestra estructura de IPS Clase B Los DNS es el mismo gateway 10.1.0.1 en este caso como son IP privados somos nosotros nuestros propios DNS del Servicio de comunicacin y es asi como resuelve la comunicacin y los nombres

Una vez que se ha realizado esto se procede a los pasos normales que tenemos al inicio de crear los grupos, usuarios, OUs y configuracin del Ras como tal. Si lo vamos hacer desde cero lo primero que hacemos es crear en el administrador de Windows desde mi pc crear el usuario VPNprincipal y todos los demas usuarios una vez que se hace esto se promueve a dominio, se comprueba el dns y el dhcp y despus es que se va a montar la tarjeta del rras y luego se hace el ras como indican los pasos al inicio de la guia Computador Sucursal: Hay que tomar en cuenta que en la sucursal cuando lo instalemos va a perder la configuracin de AD que exista (esto porque estamos trabajando como un mismo dominio, y este dominio al momento de adjuntarlo se replica con el catalogo global del dominio padre o principal) es por ello que se pierden las cuentas y certificados que tenga ese servidor al cual le vamos hacer la instalacin del RRAS. Con respecto a las

67

direcciones ip que va a trabajar el computador se presentan los dos casos uno que sea con direcciones dinamicas para hacer la comunicacin y otro con direcciones fijas; a continuacin la descripcin de las ip fijas si utilizamos sistemas como el de EWINET. VALE ACOTAR QUE ESTE SERVIDOR NO ES NADA AUN SOLO TIENE LAS DOS TARJETAS INSTALADAS LA LOCAL Y LA DE LA CONEXIN MAS NADA. Aqu al igual que en los casos anteriores lo primero que hacemos crear por medio del MI PC administrador creamos las cuentas vpn que tiene nuestra estructura (vpnprincipal, vpnsucursal1, vpnsucursal2,.. vpnsucursalN) Una vez que hacemos esto procedemos a colocar las direcciones IP a nuestro Ras de la Sucursal, tomando la premisa que va a ser AD-DNS-DHCP-RRAS Equipo Sucursal que posee el AD DHCP y se convertira en RAS ejemplo con segmento 5
Tarjeta local Ip mascara Gateway Dns1 Dns2 192.168.5.10 255.255.255.0 n/a 192.168.5.10 192.168.1.10 * Tarjeta Con IP FIJA (Ewinet) 10.1.0.5 255.255.0.0 10.1.0.1 10.1.0.1 n/a

Esta es la configuracin que deben tener las sucursales claro esta cambiando la parte del segmento Una vez que este esto se procede a realizar la montura del rras para suscursales como indica la parte correspondiente a ello en la gua Luego que conecte procedemos a la promocin del computador, como es una sucursal seleccionamos la segunda opcin ( Controlador de dominio adicional para un dominio existente) presionamos siguiente y luego me pide Usuario com privilegios para adjuntarme a la red y le ingreso el usuario que tenga rango de administrador de la red (Super-it), luego pide contrasea, claro esta del usuario con rango de administrador (fsdrovxxxx) y por ultimo me pide el dominio e ingresamos dominio.com (drovica.com) si no le coloco el .com, como no es DNS se va a perder u no me va a conectar NOTA: antes de promover el servidor y hacerlo replicar YA DEBE ESTAR MONTADO EL SERVICIO DE DNS Y EL DE DHCP (Este ultimo ya Ejecutandonse)

68

CAPITULO ESPECIAL II COMUNICACIN CON MAS DE UNA SUCURSAL O SITE

Debido a que la comunicacin por los RRAS es por credenciales inversas hay que hacer un Par (02) de usuarios por Site, es decir si tengo una vpn entre un site principal y la sucursal sera de la sig. forma

(Caso Drovica)
Servidor principal drovica AD, DHCP SEGMENTO 192.168.1.100, CATALOGO GLOBAL

aqui estan los pares de usuarios que se deben crear vpnvinedo-vpnnaguanagua vpnsanfco-vpnval vpncasdro-vpndrocas vpnsiten..vpnsitem es en este RRas donde deben estar todos los pares de SITES

69

* Es en este ras donde se hacen todos los pares de los sites y cada vez que solo se va agregar en
la configuracin del RRAS el que responde (principal) con toda la configuracin que tenemos en las paginas iniciales de la gua. Con respecto a las interfaces y credenciales son de la siguiente manera, ejemplo Sucursal Naguanagua Interface se creara en el RRAS: vpnnaguanagua Conecta al aba: ip del aba principal Credencial :vpnvinedo Dominio :drovica Clave: qweQ123 Clave qweQ123 vpnvinedo nada porque es quien responde vpnnaguanagua drovica qweQ123 qweQ123

Como ya hay una VPN Site to Site se debe crear otro usuario Site Sucursal de caracas Interface que se creara en el RRAS: vpnsanfco Conecta al aba: ip del aba principal Credencial :vpnval Dominio :drovica Clave: qweQ123 Clave qweQ123 Ras Principal vpnval nada porque es quien responde vpnsanfco drovica qweQ123 qweQ123

Sucursal Castillito DROVICA Galpon 7 interface que se creara en el RRAS: vpncasdro Conecta al aba: ip del aba principal Credencial :vpndrocas Dominio :drovica Clave: qweQ123 Clave qweQ123 vpndrocas nada porque es quien responde vpncasdro drovica qweQ123 qweQ123

Esta es la estructura que se debe crear para hacer los diferentes SITES. Una vez realizado el seteo de las interfaces, vamos al ras principal y en la parte de MI PC vamos a administrador y creamos el nuevo par de usuarios tanto el que llama como el que recibe es decir tanto el nuevo usuario que va a recibir y se va a comunicar con la sucursal Luego vamos al AD e incorporamos el usuario que responde que es el del rras principal y lo agregamos al GRUPO VPN de igual forma el servidor de la sucursal lo agregamos a SERVIDORES IAS RAS; luego vamos al rras principal y creamos la nueva interface vpnusuario responde (vpnval); despus vamos al ras del SITE y hacemos nuestra configuracin

70

tal cual como en el inicio de la guia. Una vez realizado esto resetamos y verificamos que el ras conecta despus lo promovemos dcpromo y ? agragrar a un dominio existente R si ? Usuario con cuenta de administrador: Super it ? Clave: fsxxxxxx ? Dominio: dominio.com (si no se le pone el .com no se conecta) Nota Previo a esto ha debe estar el servicio de DHCP ya activo y preparado el DNS para que no existan problemas futuros

Con esto terminamos las comunicaciones SITE 2 SITE con RRAS

Nota especial Anexo 3 montando un RRAS CON 2 SISTEMAS DE COMUNICACIONES ABA EWINET La razon de tener dos sistemas de comunicaciones es obvia es para tener un respaldo al momento de la comunicacin falle por determinada causa o motivo en este caso el principal nodo de comunicacin es EWINET que es el enlace entre el viedo y Naguanagua sin dejar de trabajar el trabajo previo que se tiene en los ras de ambos lados. Iniciamos describiendo el trabajo del rras principal rasvinedo : Tomando en cuenta que ahora para este caso se tienen 3 tarjetas una loca (drovica) aba ewinet y no debemos perder el Nateo del sistema para el internet hacelos lo siguiente Nodo del Viedo NIC Ip Mascara Puerta de enlace dns drovica 192.168.1.99 255.255.255.0 192.168.1.85 192.168.1.10 aba De aba De aba De aba De aba ewinet 192.168.1.85 255.255.255.0 n/a 192.168.1.80

71

Nota: cuando el sistema funciona directo con aba en la puerta de enlace de la nic de drovica no aplica, pero como esta funcionado con la de ewinet si se debe colocar puerta de enlace en la nic de drovica en el RRAS y del ras va a Swiche en el servidor de viedo la configuracin es: 192.168.1.10 255.255.255.0 192.168.1.99 192.168.1.10 Como ya hay una conexin aba y queremos montar una dedicada Ewinet se hace lo siguiente: Montamos la nueva tarjeta con la configuracin que tenemos arriba y creamos unos nuevos usuarios en el AD y el el rras que son: vpnvinedoewinet, vpnnaguanaguaewinet: una vez creado estos usuarios vamos al rras y creamos una nueva interfase y hacemos todo el procedimiento normal del rras en el nodo principal y listo por aqu NOTA no puedo deshabilitar la nic aba porque a ella se le pegan las otras sucursales Ahora en el 2 nodo que es el Naguanagua la configuracin es asi NIC Ip Mascara Puerta de enlace Dns drovica 192.168.299 255.255.255.0 192.168.1.86 192.168.2.10 aba De aba De aba De aba De aba ewinet 192.168.1.86 255.255.255.0 n/a 192.168.1.80

Creamos los usuarios en el ras y en el ad y cuando estemos creando la interface a la interface ABA LE QUITAMOS EL IP QUE LLAMA, luego hacemos el proceso normal de crear la credencial de sucursal y reseteamos El va a tratar de conectarse con la de aba , le cancelamos o desconectamos esa accion en la parte del rras en la zona de general y forzamos a realizar la coneccion con la nueva ewinet y debe conectar Con esto tenemos conectado por ewinet y tengo el Nateo funcionado para el Internet y no pierdo la comunicacin

72

CAPITULO ESPECIAL Final COMUNICACIN CON SOLO EWINET YA PROBADO

Configuracin final de Rras Trabajando Con Ewinet en este caso la configuracin es la siguiente Nombre de los Usuarios VPN Vpndrovica Vpnmultidrog Drovica qweQ123 qweQ123 vpnmultidrog Vpndrovica Drovica qweQ123 qweQ123

estos usuarios hay que meterlos en el grupo VPN al igual que los Ras donde van a funcional solo los servidores que van hacer la funcion de ras y el y el catalogo global pertenecen al grupo Servidores RRAS E IAS

73

La configuracin de las tarjetas en el rras principal es la siguiente: Nic antena 10.1.0.2 255.0.0.0 10.1.0.1 10.1.0.1 n/a ip mask puerta de elnace DNS 1 DNS 2 Nic Drovica * 192.168.1.10 255.255.255.0 10.1.0.2 192.168.1.10 n/a

Posicion del Site

Nota * en este caso NUESTRO SERVIDOR es con AD Y RRAS, pero si es con el ras aparte entonces la nic queda asi Antena Nic Drovica

10.1.0.2 255.0.0.0 10.1.0.1 10.1.0.1 N/a

192.168.1.99 255.255.255.0 10.1.0.2 192.168.1.10 DNS del AD N/a

Y la ip 192.168.1.99 sera nuestra puerta de enlace en el AD Y QUEDA ALGO ASI 192.168.1.10 -255.255.255.0 -192.168.1.99 -192.168.1.10- N/A Nota : patiendo desde la estructura de arriba se toma la siguiente consideracin; como la puerta de enlace es un segmento distinto 10.1.0.2 va a dar un mensaje que indica que es otra subred y le decimos que si, luego pregunta si lo deseamos guardar y le decimos que SI Luego el seteo es el mismo del rras La configuracin de las tarjetas en el rras sucursal es la siguiente (supuesto caso de ras y ad): 10.1.0.3 255.0.0.0 10.1.0.1 10.1.0.1 N/A ip mask puerta de enlace dns 192.168.2.100 255.255.255.0 10.1.0.3 192.168.2.100

Posicin del Site

74

Mismo caso anterior De resto continuamos con nuestra seteo normal expuesto en las primeras paginas Configuracion sel site o segmento 8 Galpon 18 Servidorrec 2 tarjetas de red y es sencilla configuracin los ip de esta son: Nic Drovica 192.168.8.10 255.255.255.0 N/a 192.168.8.10 192.168.1.10 Vpnvinrec Vpnrecvin Drovica qweQ123 qweQ123 NIC Ewinet 10.1.0.4 255.0.0.0 10.1.0.1 10.1.0.1 N/A vpnrecvin vpnvinrec drovica qweQ123 qweQ123

ip Mask Puerta de enlace Dns 1 Dns2

Nota en este caso donde hay ip fija (antena) el cliente vpn (10.1.0.4) llama al ip 10.1.0.2 rras principal Nota Tipssss Cuando se tiene en un mismo cajon el servicio rras la puerta de salida es la direccion de la tarjeta drovica ej: 192.168.5.10 255.255.255.0 Pe no aplica Dns 192.168.5.10 Dnd 192.168.1.10 Y el el dhcp se coloca como puerta de enlace para la salidas de los pc del segmento X 192.168.5.10 Si coloco la direccion ip publica o la de la antena no voy a tener salida porque no esta enrutando asi que en definitiva la puerta de enlace a colocar en el dhcp es la direccion de la tarjeta drovica

75

Capitulo especial RRAS en 2008 y con maquinas virtuales La configuracin que se va a tener en este capitulo es el siguiente En el rras principal seguimos con 2003 y la misma configuracin en el directorio activo y mismo procedimiento. Nota cuando se esta haciendo el rras principal y se estn creando los usuarios locales en las OU del Directorio Activo es importante poner TODO EN PERMITIR tanto usuario local de rras como el usuario que se crea en la OU de igual forma el Servidor Rras principal el procedimiento es el mismo de la gua, pero del lado del cliente no es igual. Esto porque la configuracin es con 2008 y 2008 trae unos cambios importantes entre los que podemos especificar: La computadora que tenga el rol de rras No se deja ver desde el exterior no del interior de la rede decir no se le pude hace ping por ningn lado, Se debe apagar todos los firewalls de ese computador Rras No funciona en maquinas virtuales Pero como en este caso vamos a trabajar con virtualizacin de otros roles, debemos realizar los siguientes pasos. 1 crear un servidor 2008, a este equipo debe tener dos tarjetas las que llamaremos SCC Aba. 2 Una vez que tenemos estas tarjetas procedemos a realizar la instalacin del Rol de Hiper V a este servidor, en el momento que esta accin se ejecute tas tarjetas que nombramos anteriormente se van a convertir en Swiches virtuales y se van a crear 2 tarjetas virtuales con los mismos nombres heredados (Scc y Aba), pero a estas tarjetas las renombraremos Sccv y

76

Abav esto se hace porque el RRas va a utilizar estas tarjetas virtuales al momento de su configuracin y ya las tendramos identificadas. 3 creamos un usuario local vpn sitio principal ( porque este es el que llama) ej. (vpnsambilcaribbean) y la clave es qweQ123 y en marcado Permitir acceso 4 ahora vamos a levantar el rras la nica diferencia es que vamos a utilizar las tarjetas SCCV y ABAV que son virtuales; de resto es igual el proceso Una vez levantado el rras y conectado y obviamente ya tenemos ping al virtual principal desde el rras, procedemos hacer ping al virtual de la sucursal, una vez confirmado estos eventos nos vamos a la virtual de la sucursal y y all procedemos a realizar ping a la virtual principal una vez que vemos el enlace procedemos A PEGAR APRIMERO AL DOMINIO EL EQIPO RRAS DE SUCURSAL( de modo tradicional ) y despus que este pegado al dominio vamos a promover o replicar el servidor es decir DCPROMO. Al srv-sitio virtual En la promocin del dominio aqu tomamos la primera opcin la de AADIR UN AD A UN BOSQUE EXISTENTE luego pregunta en la sig pantalla la credencial y a que dominio nos vamos a pegar scc.local y la credencial es administrador fsc3ll@dm1n luego pregunta si es ctalalogo global le decimos que SI una vez respondido esto pregunta si queremos transferir el master le decimos que SI pulsamos siguiente y pregunta all pregunta si deseamos continuar luego pregunta donde vamos a montar el sysvol indicamos que es en el D y all comienza a pasar los datos. Una vez realizado esto procedemos a reiniciar luego hacemos la nueva zona del nuevo segmento a continuacin el paso a paso del la promocin del dominio

Consideraciones para intergracin de dominios con rras 20082003 y virtuales antes de hacer el dcpromo se debe pegar el rras del sitio al dominio por medio la la forma tradicional , esto se debe hacer debido a que luego el virtual donde vamos a promover a AD va a pedir unas credenciales y estas credenciales son: administrador y la clave fscell@dm1n, esto es nuevo del 2008, una vez pegado el equipo al dominio se debe asegurar que no exista ningn Firewall Encendido una vez realizado estos pasos vamos al dcpromo en el virtual designado para ello

77

78

79

pulsamos SI (ojo luego debemos crear la zona reversa manualmente)

aqui cambiamos las el disco C por el D pulsamos Siguiente la clave es Abc123.

80

81

Aqu ya tenemos el dominio listo en el Rras del sitio

Una vez integrado la maquina virtual al dominio se enciendo un firewall el cual se debe de apagar

luego vamos al dns y creamos la zona inversa del sitio

82

83

luego configurar el dhcp -192.168.sitio.101- 192.168.sitio.120

luego cambiar el dns en este orden, ua vez hecho este cambio procedemos a activar el escritorio remoto en el Directorio activo que acabamos de levantar y listo

84

No Usar de aqu para abajo esto corresponde al ras sucursal

En el RRAS del cliente realizamos el mismo wizard del la instalacin anterior puede ser el 3 para aplicar Nats y los clientes naveguen o el 4 para solo conectar aqu (si elije esta opcin luego le puedes agregar el protocolo NAT) en esta ocasin aplicaremos la 3

en este caso vamos a trabajar con una direccin de una Lan que se llama Drovica (192.168.2.100) y la otra se llama ABA, una vez instalada el RRAS, realizamos exactamente lo mismo en interfaces, es decir creamos una interface que se llame igual que el nombre del ras que estamos montando en el wizard pide que tipo de conexin es y le decimos que es VPN y el host al cual se va a conectar es el de la direccin IP del ABA del RRAS principal

85

86

Direccin a la cual va apuntar el rras cliente, que es la que posee la Lan del ras principal en la NIC ABA y si esta llegara a caerse solo se cambia por la nueva IP y le damos conectar con el botn de propiedades

87

88

Esta opcin tambin puede ser automtica

Los dems adaptadores que vemos en la pantalla inicial del ras no poseen propiedades; ahora pasamos a los puertos

Puertos: aqu se debe tener las mismas consideraciones que tenemos en el capitulo anterior de configurar el numero de puertos P.D. y l2tp

89

90

Entramos en el aspecto de enrutamiento IP Creamos una nueva interface que se llame como el usuario de del Site Sucursal (vpnnaguanagua)

91

Interface vpnnagunagua

92

93

Interface Interno

94

Vamos ahora con la interface Drovica

Ventanas por defecto no poseen informacin

95

96

Interface Bucle Invertido no posee propiedades

Interface ABA

97

98

Interface Rutas Estaticas

Este rengln no posee informacin siempre esta desierto

99

Interfaces RIPS Y NATS

Estas interfaces poseen ciertas consideraciones que vienen dada dependiendo de la opcin que se ha seleccionado bien sea la opcin 3 o la 4; en la opcin 3 el wizard agrega los protocolos y ya trabaja con los RIP y los NAT, caso contrario de la opcin 4 que hay que agregar estos protocolos y las interfaces que van con ellas(para ver las opciones vaya a la pag. 34.) Si elegimos la opcin 4 se hace de esta forma (ojo en esta opcin las estaciones no pueden navegar porque no tienen salida a la red publica, para ello se debe montar el protocolo NAT) Agregamos el protocolo y la interface, dicha interface debe tener el mismo nombre que la que habamos creado en el AD esto se hace botn derecho agregar protocolo seleccionamos Rip y luego creamos la interface con la sig. Configuracin

100

101

102

Con respecto a la interfaz drovica (Lan de intranet) es exacta solo cambia en la solapa de OPCIONES AVANZADA en la Tercera (3) opcin hay que activarla (HABILITAR ACTUALIZACIONES DESENCADENADAS con esto finalizamos los RIPS

Trabajando con los NAT Si no tenemos el protocolo lo agregamos y si ya lo tenemos pues lo configuramos una vez instalado el protocolo se configura de la siguiente forma Al momento de crear este protocolo se deben agregar 2 interfaces la pblica (ABA) y la privada y se configura como se ve a continuacin: Interface Pblica

Filtros Vacos

103

Activar solo estas opciones

104

En esta Seccin no se activa ninguna opcin Ahora con la Interface interno que crea el sistema

Filtros Vacos

105

Interface Privada

Filtros Vacos

Con esto Terminamos la configuracin del Site Principal Y la Sucursal.

106