Foro de elhacker.net

Buenas Tardes,

Aguien podría ayudarme a salucionar un inconveniente que estoy teniendo con una PC,
el problema es el siguiente: Tengo una sucursal nueva para la cual contramos un servicio de VPN, para conectarse al servidor que está en la casa matriz utilizamos VPN CLIENT (Cisco). Se conecta, pero no me valida como si estuviese dentro de la red; no accedo a ninguno de los servicios que gozan las demas sucursales. Cuál podría ser el problema? Cómo podría solucionarlo???

Desde ya muchas gracias!

buenas amigo el problema podria ser algo de configuracion fijate bien que todo este en su lugar aqui hay documentacion sobre esta aplicacion
http://www.cisco.com/support/LA/public/nav/lll_270636499_1_211.shtml

espero q te sirva..

Muchas Gracias por tu respuesta, pero problemas de configuración de mi cliente cisco te referis, es la misma que tengo en las demás. Acepta todo, aparece el candadito cerrado como si fuese que se conecto.

¿Intentaste comunicarte con el administrador del server en la matriz? Probablemente sólo es cosa de ACLs en los recursos que quieres acceder o de que te informen cómo es el proceso de validación en la empresa. Siendo una nueva sucursal, supongo que los responsables del server deben validar el acceso de la misma. ¿Cuando contrataste el servicio no te informaron algo sobre eso o lo dejaron por cuenta de tu empresa? ¿Sabes qué procedimiento utilizan para validarse en las otras sucursales o sólo sabes que tienen servicios que tú no tienes?

Espero haber sido de ayuda. Un saludo.

Primeramente, gracias por tu ayuda.

Te comento un poco más, contamos un servidor en el cual tenemos instalados el active directory y el ISA. Un router Cisco, que realiza un nateo para la PCs clientes. Todas las otras sucursales tienen instaladas los mismos programas que en esta sucursal que no es validada dentro de la red. Podria ser el problema la ip estatica asignada a dicha sucursal???

no yo creo q mas bien el problema es el isa server.. podrian ser las acl pero al ser las acl pro ejemplo si deniegas cierto protocolo completo no habria comunicacion dependiendo tambien del tipo de acl y de lo q estan dejando o no pasar ahora a mi me parece mas rollo del isa server habla con el ingeniero encargado de la infraestructura q te de una copia en texto plano del archivo de configuracion de cada router y compara las configuraciones no deberian ser muy distintas unas de otras al menos de q usen distintos router y distintos isp o distintos servicios de conexion pero si todos lo antes mencionado es igual osea mismo router ejemplo cisco 1841 para todas las sucursales. mismo ISP weno depende del pais telefonica supongamos.. mismo servicio de conexion ejemplo un frame relay 1024 kbps si todo es igual solo deben cambiar algunas cositas como las direcciones ip los puertos de las acl entre otros pero deberian ser parecidas las conf.. si descartas los routers pasa entonces a verificar los servidores y sus politicas..

Gracias por tu ayuda dj-blydex,

Paso a comentarte como está montada la red:

Tenemos contratado servicios de VPN para las sucursales, son conexiones WIMAX.

En cada sucursal tenemos una PC conectada directamente al radio modem.

En la casa central tenemos un Server 2003 y un router CISCO.

Que pruebas podría hacer para verificar si el inconveniente está en el Server o en el CISCO??? Gracias.

Wow.. bueno yo podria chequear las configuraciones de tus routers cisco a ver si tienen algun error pero eso estaria mal xq soy externo a su empresa y no debes dejar qcualqiera se meta con esos equipos tan delicados.. ps solo te recomiendo que si tienes algun tecnico que conozca cisco verifique la configuracion de los routers a ver si no encuentra nada raro tienen que estar muy alerta con las ACL verifiquen eso.. y en cuanto al servidor en eso no soy muy experto pero en el ISA server verifica las policies rules y access rules a ver si no ven algo que les impida el acceso normal..

Te comento que me parece que el inconveniente está en el router, porque no me responde al ping que realizo al default gateway. Osea, no llega a ingresar en mi servidor. Me podrías decir cual es la estructura que tiene la configuración de un Cisco? Ejemplos: si primero van los nateos al exterior luego los accesos, esto con el fin de intentar encontrar el inconveniente en el backup de la configuración qu etengo en texto plano. Gracias

weno justo ahora no tengo configuraciones guardadas que tengas acl nat vpn todo junto para explicartelas.. pero aqui hay varias con las que te puedes guiar amigo suerte..

http://networking.ringofsaturn.com/Cisco/

Espero poder ayudar en algo.

Principales problemas con vpn y sus soluciones:

Rechazo de conexión a clientes. Existen diferentes circunstancias por las que se da este problema. La primer cosa que hay que verificar es que los servicios de ruteo y acceso remoto estén ejecutándose. Lo puedes verificar en el servidor-->Panel de control-->Herramientas administrativas-->Servicios. Una vez hecho eso hay que hacer ping al server desde el cliente usando su dirección IP y si responde después usando su DN.
Problemas de autenticación: Una vez descartado que sea problema de conexion TCP/IP entre cliente y servidor y de resolución de nombre lo que sigue es el problema de autenticado. Existen muchas formas mediante las cuales se puede dar la autenticación. Ambos, el cliente y el server deben de compartir al menos un método en común para autenticarse. Para saber el método en particular que se está usando usa la Consola de administración de Microsoft dado que estás usando MSW server 2003--->MMC en el intérprete de comandos--->da click en añadir para ver la lista de elementos-->selecciona Routing and Remote Access-->añade--->ok-->close y se añadirá--->dar click derecho en el listado de tu servidor VPN-->propiedades-->seguridad-->Metodos de autenticación. Eso te mostrará los métodos disponibles para autenticarse. Se debe seleccionar el mismo que se configurará en el cliente <---Ojo. En el cliente hay que seleccionar igual en conexión VPN-->propiedades-->seguridad-->configuración. Se verán los métodos de autenticado disponibles, selecciona el mismo que se seleccionó en el server.
Si eso falló: verifica la manera en como se esté estableciendo la conexión, si es a partir de marcado telefónico o vía Internet. Es posible que el cliente remoto no tenga privilegios para conectarse con marcado telefónico. Se puede checar eso en el tab de propiedades de ese usuario en Usuarios de Active Directory y Equipos o checando la política del dominio para el acceso remoto. Por supuesto, aunque es obvio hay que verificar que el usuario sabe establecer la conexión y conoce el nombre de usuario y el password. Puede sonar redundante pero recuerda que el VPN server necesita ser miembro del dominio y si no lo es, no va a poder autenticar a ningún cliente.

No está de más echarle un ojillo también a lo de las direcciones IP. En conexiones VPN basadas en web es común que se usen 2 IPs para la computadora del VPN client. La primera es asignada por el ISP del cliente, desde donde se conecta y sirve para establecer la conexión TCP/IP con el VPN server a través de Internet. Pero una vez que se asocia a éste último, se le asigna una dirección IP secundaria que tendrá la misma subred que la red local y así permitirle comunicarse con ésta. Cuando se configura el VPN server hay que especificar si se usará DHCP para la asignación de IP secundarias a los clientes o si se reservará un número de ellas para asignarlas estáticamente. En este último caso, si el VPN server utiliza todas sus IP válidas reservadas, será incapaz de asignar una a los nuevos clientes y se les rechazará. Muchos errores son ocasionados por mala configuración del DHCP en el VPN server. Uno muy común es no seleccionar correctamente la tarjeta de red. Verifícalo en tu server en Ruteo y Acceso remoto-->propiedades-->cejilla IP-->direcciones estáticas o DHCP que usará-->Si se usa DHCP seleccionar la NIC que posea ruta TCP/IP al DHCP server.
Otro problema común, parecido al que tienes tú es cuando existe una conexión existosa pero el usuario remoto es incapaz de acceder la red más allá del servidor VPN. Cuando es el caso, casi siempre es debido a que no se ha permitido ningún permiso explícito para ese usuario. Es parte de la configuración de RAS controls. Para permitir acceso  de un usuario a toda la red ve nuevamente a la consola de Ruteo y Acceso remoto--> click derecho en el VPN server-->propiedades-->cejilla propiedades IP-->habilita el cuadro de Ruteo IP. Si está deshabilitado los usuarios podrán acceder al VPN server pero se les negará el acceso a la red. También puede deberse a las rutas como ya lo mencinaron. Si existe un usuario que establezca conexión por marcado telefónico directo al VPN server la ruta será mejor estática. Se configura en el mismo servidor en la cejilla de Dial In. Si estás usando DHCP para asignar IP secundarias a los clientes hay que verificar que no haya duplicado de direcciones.
El último problema tiene que ver con establecimiento de tunel y se debe a que uno o más routers involucrados en la conexión están haciendo filtrado de paquetes IP. Te recomiendo verificar todos los dispositivos y equipos involucrados para checar si están haciendo filtrado de paquetes IP.

Un saludo.

si queres saber que falla hace un traceroute talves te ayude, saludos

Buenos Días,

Ya pude encontrar el inconveniente, fue la dirección ip a la cual apuntaba la conexión de VPN Client. Gracias a todos por su ayuda y Predisposición. Saludos Cordiales.