Hoy quería compartir con ustedes otro ScreenCast, sobre como configurar el rol de VPN en un servidor de Windows Server 2003.

Próximamente publicare otro ScreenCast de como realizar esta misma tarea pero en Windows Server 2008.

Como verán estoy realizando algunos cambios en el blog y utilizando nuevos recursos para darle un valor agregado. Los invito a ver el contenido de la nueva categoría llamada ScreenCast.

Saludos, Roberto Di Lello.

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

49 thoughts on “Configurar rol VPN PPTP en Windows Server 2003 {ScreenCast}”
  1. Hola Roberto:
    Visité tu blog y me interesó el tema de las VPNs, ya que he estado un tiempo dando vueltas con un problema pero sin poderlo solucionar completamente.
    Veo que configurás la VPN con dos interfases de red, pero en mi caso necesito configurar un 2003 con una sóla interfase que es con la que se comunica a la red interna. El Windows 2003 sale a Internet mediante un router D-link.
    Configuré el 2003 como VPN Server y logré conectarme desde Internet mediante la VPN, pero no logro acceder ni ver los recursos del Servidor. Por otro lado en la red interna hay un servidor web (sólo visible desde la red interna) y puedo conectarme a sus recursos.
    Mi consulta es si estaré pasándome algún paso en la configuración o si el Windows 2003 no ofrece el soporte para la configuración que intento implementar.
    Desde ya muchas gracias
    Un abrazo, Victor

  2. Victor, esta bien. Yo en uno de los videos lo hice de la misma forma, ya que tengo un firewall que es el encargado de hacer NAT.

    Has podido logearte desde afuera a la vpn y te ha asignado una IP de tu red interna? configuraste el proxy en las prop de IE con la misma configuracion interna que tienen tus clientes???

    Saludos, cualquier cosa detallame un poco mas como es tu arquitectura y vemos como podemos solucionarlo.

  3. Hola Roberto, navegando buscando información encontre tú blog que era justo lo que buscaba, ahorita estoy haciendo una trabajo, por instalación de un servidor con win2k3, ya cree el AD, son pocos usuarios(20 aprox), para unos pocos quiero darles acceso VPN, siguiendo él tutorial, la consulta es: cuando configure a los usuario a que IP deben conectarse ???
    Lo otro que me preocupa es la seguridad antihacker, te explico la arquitectura:

    llega el internet del proveedor a su modem, de ahi sale por cable de red a un router DLINK, distribuyendo a todo los equipos incluyendo el servidor(con ip fija) todas las PC estan con IP fija y dentro del rango del servidor, por lo que administra el acceso a internet.
    consulta, debiera colocar algun equipo entre el modem y el router para más seguridad, esta bien o que me aconsejas.

    Atento a tú respuesta

    saludos y gracias.

  4. Hola Jorge, gracias por tus comentarios, es bueno poder ayudar.

    Te cuento, lo que yo haria seria utilizar el dhcp para asignar ips de forma automatica las ip a las Workstations; y que ellas obviamente utilicen el dns de nuestro DC.

    Lo que dices es cierto podrias poner un isa server o algun otro firewall entre la entrada a internet y los equipos. De forma que quede internet – firewall – equipos

    Saludos. Roberto.

  5. “Configurar rol VPN PPTP en Windows Server 2003 {ScreenCast}”

    Buenas Roberto….

    al seguir todos los pasos del ScreenCast me presenta un pequeño problema, el mensaje es el siguiente:
    “Se detectaron menos de dos interfaces de red en esta maquina. Para la configuracion estandar del servidor VPN deben instlarse almenos dos interfaces de red”
    la pregunta es… Como puedo hacer esto??

    muchas gracias por su atencion
    salu2

  6. Alex, es que para configurar esto requierea dos placas de red. En el laboratorio que yo hice indico que para implementarlo necesitas dos, en mi caso al final una no la uso porque el equipo de networking me permite hacer el nat de forma automatica. Sino, una placa iria hacia internet y otra a la red corporativa.

    Saludos. Roberto.

  7. HOla Roberto, muy bueno el screen cast, yo intenté ayer implemetar el rol de servidor vpn en un dc win 2003 y al finalizar se me “cayó” el controlador de dominio,, toda la red interna quedo sin conexion. La diferencia es que en el asistente elegi la 1ra opcion dial y vpn,, será por eso? El servidor tiene una sola placa de red y esta detras de un router fierwall-
    Saludos y gracias por tus aportes

  8. HOla Roberto, te quería consultar la duda que me queda ya que intente otra vez y sigo sin ver el dominio cuando activo el VPN: En un DC W2003 que esta detras de un firewall-router cuando instalas el mismo como servidor VPN y teniendo una sola placa de red lo que hace es desconectar a todos los usuarios del dominio de la red interna ,, entonces como se soluciona esto? con otra placa de red? la idea es vpn solo para usuarios que se conecten desde internet,, no desde la lan interna. Alguna sugerencia?

  9. Pablo,

    Hola, si en principio que un DC no debe ser servidor de VPN.
    Esto es importantisimo a que estarias exponiendo a ataques a tu servidor.

    Por otro lado, depende de tu arquitectura de networking para definir si una o dos nics. En mi caso, como tengo un equipo que hace nat lo tengo con una sola ip, entonces desde fuara se conectan a la ip publica y listo. Ahora si no podes hacerlo asi deberias tener una nic para la interna y otra para la publica.

    Saludos, Roberto.

  10. Hola Roberto , gracias por tu respuesta. Te comento que mi arquitectura de networking tambien hace nat, por eso tengo una sola ip y justamente el anterior servidor(que era win 2000 server y murio 😉 ) hacia lo mismo en cuanto a VPN pero como no lo configure yo no se como habran hecho pero daba entrada vpn a los usuarios provenientes de internet. Estos se conectana la ip publica y se logueaban al servidor por nat,, el problema es en win 2003 que cuando configuro el rol vpn los usuarios de la lan interna ya no pueden acceder al servidor y si pueden los usuarios que se conectan por vpn desde internet,, que será??

  11. Hola master, te hago una pregunta, quiero configurar la VPN para conectar clientes remotos al,server. La arquitectura que tengo es la tradiconal, moden ADSL conectado a proxy server (ISA 2006), placa WAN y placa LAN a Switch. en el switch se conectan el Active Directory y los clientes. Es decir el server proxy tiene dos placas de red. Agregue la VP el el server 2003 que es controlador de Dominio, para probar nomas, luego lo cambio. En la Direccion de VPN del ,asistente que placa de red pongo, supongo la de la LAN interna del Controlador de dominio, te coneto que tengo maquinas virtuales (los clientes), con VMWare, entondes en el Controlador de dominio tengo la pLaca Local mas las DOs VMNet que te instala VMWare. la VMNET1 y l VMNET8,
    cual utilizo amigo????..graciasss
    saludos

  12. Fernando, es medio dificil de ver el tema. Supongo que la vm que utilizaste para la vpn tiene una placa de red virtual; deberia ir esa ip. El tema a resolver es hacer el nat para que esa ip interna sea vista desde afuera; en mi caso lo hice con el mismo firewall por hard que poseo que hace la taduccion entre ip interna y externa.

    Saludos.

  13. Hola Roberto buenos días, te explico mi caso para ver que me recomiendas, lo que pasa es que nosotros tenemos dos servidores con Windows 2003 Server RC2 uno que es el controlador de dominio y en el otro tenemos instalado ISA Server 2006, queremos instalar en el controlador de dominio el programa contable de la empresa y que las demás sedes se conecten a través de una VPN a este programa, ya segui los pasos que indicas anteriormente, lo hice en el servidor con ISA ya que en el otro me muestra un error debido a que el controlador de dominio solo tiene una tarjeta de red, pero el usuario de conexión remota si lo cree en el controlador de dominio, pero cuando intento conectarme desde la red local o desde internet me aparece error 800, espero que me colabores con esto, muchas gracias.

  14. Jhonatan, gracias por tu comentario. Me parece perfecto que no este en el controlador de dominio ya que seria un problema de seguridad publicar ese equipo para que accedan por medio de uan VPN.

    Por otro lado, has hecho la regla que permita la comunicacion vpn a traves del ISA ???

    Te paso esta otra nota que puede ayudarte: Error Message: VPN Connection Error 800: Unable to Establish Connection http://support.microsoft.com/kb/319108

    Saludos, Roberto.

  15. Hola Roberto, te comento mi problema, no soy experto en las vpn, tengo windows server 2003 y router con adsl de telfonica, una oficina principal y 2 sucursales, en el server 2003 el sql server 2000 y en las sucursales una aplicacion que deben de acceder via vpn para utilizar la base de datos del sql, tambien 2 equipos locales todas con winxp, desde ya agradesco tu ayuda.

  16. Uriel, decime como puedo ayudarte?

    En principio habria que ver si dispones de una ip fija y como esta armada tu red para ver si es viable el tema de la VPN.

    Saludos. Roberto.

  17. Hola Roberto, bueno te comento que pude configurar el router y el server 2003 y crear la vpn, tengo ip dinamica y estoy usando dyndns, el problema que tengo ahora es que el server 2003 solo me acepta una conexion entrante, no se donde es el problema, la vpn esta configurada con el servidor de enrutamiento y para los usuarios el active directory, agradecere tu ayuda.

  18. Hola Roberto muy bueno el Video , te comento que nosotros tenemos configurado el servicio de VPN por rango fijo, y durante un tiempo todo funciona correctamente, tenemos 4 usuarios configurados para acceder, los cuales son utilizados por varios puestos de trabajo, todo funciona bien durante un tiempo, pero en algunos momentos se quedan sin conexion, es como que no puede asignar mas IP, el ISA me muestra este error: Descripción: Se superó el límite permitido de sesiones no TCP desde una dirección IP.
    tenes idea de que puede ser?
    saludos y Gracias

  19. Pablo, te genero un evento? copiame el error exacto.

    Igualmente si el error es Connection limit exceeded: This alert is useful when the Professional wants to be alerted that the clients have exceeded the connection limitations of the ISA server. This setting can be changed. However if a client reaches the connection limitation this may be an indication of DDOS or that there is something on the client machine that is using up more connections than the default amount.

    mirate la nota Cannot connect to a service from a particular client computer in ISA Server 2004, in ISA Server 2006, or in Forefront Threat Management Gateway http://support.microsoft.com/default.aspx?scid=kb;en-us;838706

    Saludos. Roberto.

  20. Descripción: El servidor ISA desconectó una conexión no TCP de 192.168.1.150 porque se superó el límite de conexiones para esta dirección IP. Es necesario configurar límites de conexiones personalizados mayores para las direcciones IP de servidores proxy encadenados y equipos servidor ISA opuestos con una relación NAT.

  21. Me gustaría saber tu opinión acerca del siguiente tema. Tenemos una red con un server 2003 y 3 clientes xp. Nos gustaría añadir un cuarto cliente xp remotamente a través de vpn dado que esta estación se encuenta en otra población. Nuestros ordenadores tienen conexión adsl a través de router. Mi pregunta es acerca de la seguridad de la red. ¿Qué me aconsejas al respecto?

  22. Esta muy bueno, espero que puedas ayudarme con un problema: quiero publicar mi pagina web, puedo acceder desde la red local, pero cuando quiero hacerlo desde mi casa, por ejemplo, no logro establecer la conexion

    Ronald

  23. Dani, gracias por postear un comentario.

    Por lo que es seguridad no hay problema porque pueden implementar distintos niveles de encriptacion, L2TP, IPsec, etc.

    Ahora habria que ver que es lo que necesitan como para evaluar si es realmente una necesidad la implementacion de una VPN y sus costos.

    Por otro lado, habria que evaluar como esta su seguridad hoy en dia utilizando un router (calculo que es un cisco) y ver si sus otros firewalls.

    Saludos.

  24. Ronald, para acceder a tu pagina desde afuera de la red local, debes primero registrarlo en algun dns externo (para que resuelvan la direccion desde internet) y si tienes un equipo que haga nat, registrar en ese equipo la ip interna y la externa de la pagina.

    Si, ya tienes un ip publica, puedes hacer la prueba intentando acceder por medio de un IE directamente a esa IP Publica.

    Espero que se entienda. Saludos.

  25. Muchas Gracias, pero ya había solucionado el problema, era algo que parece demasiado lógico, dejo la solución por si a alguien le sucede lo mismo; lo que paso era que en el ISA server, yo tenía publicado el puerto 80, mientras que en el web server lo que tenía como puerto de salida era el 81, así que creo que lo mas lógico, es lo que siempre dejamos de último

  26. Hola, encontré este post en la web, y por los comentarios parece interesante solo q el screencast no se vé, talvez es por el remodelado de la web y el archivo swf no esta en la ruta, espero lo tengas pronto en línea y aprender de estos videos que haces, de los cuales seguro q aprenderé bastante.
    un saludo

  27. mira roberto soy nuevo en esto de servcidores, espero me aydes necesito tener acceso remoto a unas oficinas, estas oficinas tienen la siguiente arquitectura, el router del proveedor luego un switch donde estan todos los clientes, bueno y el servidor donde quiero instalar el servidor vpn, vi el video y se ve muy sencillo, la pregunta es por la ip a utilizar. si tienes un documento seria de mucha ayuda tenfo muchas dudas

  28. Hola, queria consultarte ya que necesito configurar una vpn y no logro ni establecer la conexion, abri los puertos 1723 tcp, 1720 tcp, 1701 tcp y 500 udp, que es lo que encontre como para permitir el acceso, pero cuando trato de conectarme me da el error 800, no se pudo establecer conexion vpn, me podes ayudar?? muchas gracias. MUY BUENO LOS VIDEOS

  29. Ezequiel, muchas gracias por participar del blog!

    Te cuento que el error que comentas es muy generico. Te paso un workarround:

    Error 800: Unable to establish the VPN connection. The VPN server may be un-reachable, or security parameters may not be configured properly for this connection.

    verifica:
    1) if you have firewall, open TCP Port 1723, IP Protocol 47 (GRE).
    2) make sure you can reach the VPN server by using ping. Sometimes, poor connection can cause this issue too.
    3) You may need to updated firmware on a router or firewall if other OS (win9x/nt/me/w2k) works except XP.
    4) The VPN server may not be able to get IP from DHCP for the VPN client. So, you may want to re-configure VPN host networking settings. For XP pro VPN host, go to the Properties of the VPN>Network, check Specify TCP/IP address and Allow calling computer to specify its own IP address, and uncheck Assign TCP/IP addresses automatically using DHCP.
    5) Make sure no other secure software blocks your access, for example, if you use Norton secure software, you may need to add the remote client’s IP so that the client can access.
    6) If your VPN running on a Windows RRAS with NAT enabled, you may want to check the NAT settings.
    7) If you can establish the VPN from the desktop at home but not from the laptop. Make sure no security software like Microsoft OneCare software that blocks the GRE.

    Este workarround lo puedes encontrar en: http://www.howtonetworking.com/vpnissues/error800.htm

    Saludos.

  30. Hola Roberto,

    Muchas gracias por el tutorial.

    Tengo un problema y que bueno si me puedes ayudar. Ya tengo configurada la VPN y puedo conectarme y acceder a los recursos locales desde una maquina remota, pero debo usar el browser para navegar a direcciones externas (ej http://www.google.com) y que estos sitios crean que estoy desde mi oficina (Solo aceptan que accesos desde la IP de mi oficina).

    Esto es lo que tengo en la Oficina:
    -Router Mikrotic
    IP: 192.168.0.100 que es el que entrega internet localmente
    -Servidor Windows Server 2003
    Tarjeta de red 1
    IP: 192.168.0.1
    MASCARA: 255.255.255.0
    PUERTA DE ENLACE: 192.168.0.100
    Tarjeta de red 2
    IP: 192.168.0.20
    MASCARA: 255.255.255.0

    -Equipo remoto por VPN
    IP: 192.168.0.23
    MASCARA: 255.255.255.255

    Como yo no uso proxy localmente no se como tendría que configurar el Browser para navegar en direcciones externas o que otra cosa tentria que configurar.

    Saludos y Muchas Gracias por tu ayuda,

    Santiago

  31. Santiago,muchas gracias por aprticipar del blog y brindarme tu apoyo. Ayuda mucho recibir estas noticias para seguri adelante con el blog que tanto trabajo y dedicacion lleva.

    No entendi bien tu problema, ya lograste conectarte via vpn con tu oficina y a su vez lograste navegar estando conectado. cual es el problema?

    Si no tenes internet una vez conectado, puedes probar configurando el proxy de tu oficina en tu internet explorer (herramientas, opciones de internet, conexiones, configuracion de lan, y seleccionas utilizar un servidor proxy para la lan) aunque deberia ignorarlo por estar conectado VPN. No estoy seguro pero has la prueba.

    saludos.

  32. Hola Roberto:
    Tengo instalado Win server 2003 Enterprise SP2. He tenido configurado un server vpn, pero por alguna extraña razon se ha desconfigurado. lo intento reconfigurar y cuando reinicio el servicio Enrutamiento y acceso remoto, me genera este error:
    El servicio Enrutamiento y acceso remoto terminó con el error específico de servicio 691 (0x2B3).
    ¿sabes como puedo resolverlo?
    gracias anticipadas.

  33. Ismael, muchas gracias por participar del blog y disculpa la demora pero estuve un poco complicado con los tiempos.

    Necesitaria saer bien el codigo de evento que te genero el RRAS. Te recomiendo verificar el tema permisos, ya que generalmente el 691 suele ser tema de permisos.

    Verifica: consola RRAS | clic derecho Server (local) | Properties | Security tab |

    Verifica que la Authenticacion sea “Windows Authentication” y el Accounting Provider sea “Windows Accounting”; luego intenta reiniciar el servicio o reiniciar el equipo.

    En principio te paso algunas notas que podrian ayudarte a solucionar el tema:
    * Routing and Remote Access Service does not start and event ID 20103 message is logged http://support.microsoft.com/default.aspx?scid=kb;en-us;Q299013
    * Event ID 20153 Source RemoteAccess http://www.eventid.net/display.asp?eventid=20153&eventno=2104&source=RemoteAccess&phase=1

    Espero te sean de utilidad. Saludos!

  34. Hola Roberto:

    Tengo un inconveniente al implementar VPN con certificados digitales en windows 2003; la cuestion es que solo he encontrado un tutorial de como implementarlo que mestran el proceso para crear la politica ellos le colocan un certificado, la cuestion es que no se que tipo de certificado, si del usuario administrador, o de servidor; ya que el protocolo me da en el cliente pero cuando habilito la conexion por medio de certificado me aparece que no se encuentra un certificado que se pueda usar en el protocolo extendido de antentificacion. Y en el cliente agregue un certificado para el equipo local.

    Si pudieras hacer un screencast sea fenomenal.

    Muchas gracias.

  35. Buenas tardes, configure VPN server sobre un windows server 2003 Domain controller, al parecer todo esta correctamente configurado, los clientes logran hacer la conexion, obtienen una ip de mi red interna asignado por un rango especificado pero el problema es que no alcanzan ningun recurso de mi red interna.

    Intento hacer ping a cualquier equipo interno y no hay respuesta ni siqueira me responde la ip de Servidor VPN

    Agradecere su apoyo

  36. Hola Jose, muchas gracais por participar del blog y ayudar a que la comunidad crezca.
    Voy a ver de planificar para hacer este screencast que me pedis, pero estoy medio atrasado porque estoy en medio de un laboratorio de migracion a exchange 2010 y de una mesa redonda sobre Active Directory que tengo agendada.

    Mientras tanto te paso una nota en donde podras consultar el tema:
    * Installing Certificates for VPN Connections http://technet.microsoft.com/en-us/library/cc739034(WS.10).aspx

    Espero que te sirva. Saludos.

  37. Ricardo, muchas gracias por participar del blog y hacer que crezca la comunidad. Disculpa por la demora en contestar pero estoy medio complicado con los tiempos.

    Para asignar el DNS y WINS a un cliente VPN para la resolución de nombres, debemos configurar el servidor VPN con las direcciones IP de los DNS apropiados y de los servidores WINS. El cliente VPN hereda el DNS y WINS configurado en el servidor VPN. Si la resolución de nombres no funciona desde el servidor VPN, no va a funcionar para los clientes VPN. Recordemos que WINS es la resolución de nombres para el nombre de host o el nombre NetBIOS y DNS para FDQN. Si no podemos hacer ping al nombre de host, podemos intentar hacer ping FQDN.

    Espero que te sirva. Saludos

  38. Hola Roberto
    segui el tutorial para instalar vpn en el 2003 server
    el problema es que al hacerlo dejo de funciona la pagina web que servia desde este 2003 me puedes aconsejar algo
    un saludo

  39. Mario, es medio dificil ver el tema a distancia; depende mucho de la arquitectura que tenes definida y del diseño que realizaste antes de implementar la solucion VPN.

    Verifica el IIS a ver en que estado esta. Verifica el tema de los firewalls. Verifica el resto de los servicios y los eventos de sistema a ver que dicen; si esta relacionado o no. Verifica los logs del IIS y todos aquellos que te den as informacion del error.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te cuento que hay mucho material en el. Puntualmente estoy desarrollando unos vids sobre migraciones.

    Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitás ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Saludos!

  40. la pregunta es la siguiente : tengo un servidor de dominio, me gustaría que cuando mis usuarios enciendan sus equipos la primera pantalla que les aparezca sea una descripción de mis políticas de seguridad, luego de dar aceptar aparezca la famosa pantalla de “presionar ctrl+alt+del”.

  41. Cesar, esta semana estaré publicando un tutorial de como hacerlo.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  42. Estimado Roberto

    Me podrías indicar como asignar una dirección IP para que pueda salir por mi firewall a una VPN de un cliente externo, ya que se configuro la VPN en el equipo del usuario pero no tenemos salida a la VPN.

    Tengo un servidor con windows server 2003 y el ISA Server 2006.

    Saludos.

  43. Mauro Saca, disculpa mi demora en contestar pero estuve muy complicado con varios temas de trabajo, con el cambio de empresa he estado muy tapado de trabajo, pero voy respondiendo de a poco a medida que puedo y voy a responder todas las consultas.

    Respecto a tu pregunta, lo puedes hacer de varias formas. La mas facil seria con un Access Rule que permita los puertos de la vpn a la que te quieres conectar, no se si es pptp/l2tp/ipsec o la que fuera. De ultima preguntale a tu cliente por que puerto se conectan a esa VPN y listo.

    Espero que esto conteste tu pregunta, cualquier cosa volve a escribirme. Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton “DONATE”

    Seguimos en contacto! Saludos y gracias!

Comments are closed.