¿Cómo configurar una conexión VPN entrante con Windows para tunelizar el tráfico de Internet?

19

Quiero configurar una VPN en un servidor remoto para enrutar todo mi tráfico de Internet por razones de privacidad. Puedo configurar una conexión entrante y conectarme con éxito. El problema es que solo puedo ver la computadora remota y no se abrirán otros sitios web. Quiero que el servidor remoto actúe como un NAT. ¿Cómo puedo hacer eso?

Tenga en cuenta que no quiero dividir el tráfico de Internet. De hecho, quiero enviar todo el tráfico al servidor remoto, pero necesito hacer que retransmita el tráfico.

Para el registro, mi servidor remoto es Windows Web Server 2008 que no tiene enrutamiento y servicio de acceso remoto.

Aclaración

Estoy principalmente interesado en la configuración del servidor. No tengo problemas para configurar el cliente. Por cierto, Windows Web Server 2008 parece tener las mismas características de VPN incorporadas en los sistemas operativos cliente (como Vista) y, específicamente, no incluye la consola RRAS en MMC. También estoy abierto a sugerencias sobre demonios PPTP / L2TP de terceros disponibles, si son gratuitos.

windows-server-2008 vpn tunneling route xmm0
fuente
1
¡Aquí vamos! ¡Una de las primeras (o probablemente la primera) pregunta de recompensa en ServerFault!
xmm0
¿Y cómo estableciste una recompensa por valor de 100 cuando tienes 63?
Tim Post
Es la reputación después de la recompensa.
xmm0
Actualización: aunque ninguna de las respuestas resolvió el problema, routees probable que la respuesta aceptada junto con jugar con el cliente y usar ICS en el servidor lo haga funcionar. Lo intentaré tan pronto como tenga tiempo y publicaré una solución si pudiera encontrarla. Mientras tanto, las nuevas ideas son muy apreciadas.
xmm0
Solo para agregar información a las respuestas: lo probé en Windows 2008 ultimate sin instalar RRAS y tampoco funcionó. Si alguien sabe de un software que reemplace el RRAS integrado para configurar PPTP / L2TP, sería útil
Alireza Rinan

Respuestas:

4

¿Pudo crear una conexión VPN de acceso telefónico entre Vista y Windows Web Server 2008 sin la función del Servidor de directivas de red? Si es así, tengo curiosidad por saber qué aspecto tenía la subred / IP para el cliente en ese escenario una vez que el túnel estuvo activo.

Si tiene una VPN activa, ha transferido su dominio problemático de uno de VPN a uno de enrutamiento. Estoy bastante seguro de que podrá conectar las conexiones con la edición web y que también puede usar la Conexión compartida a Internet . Si no, hay disponibles programas baratos y posiblemente gratuitos de "intercambio de Internet" ( NAT32 ).

Esto supone que su máquina cliente de alguna manera tiene una IP en la red del servidor (¿interna?).

Además, cuando dice tráfico de Internet, es posible que su definición solo incluya tráfico que sea proxy. En cuyo caso, puede volver a cambiar el dominio de enrutamiento a proxy y utilizar un servidor proxy gratuito vinculado a la IP en el otro extremo del túnel.

Mike Haboustak
fuente
NAT32 es una gran sugerencia. Creo que debería mirarlo. La IP se puede configurar manualmente, pero el problema está en la puerta de enlace predeterminada. No puedo entender cómo configurar la puerta de enlace predeterminada en la conexión (o hacer que el servidor le diga al cliente). Creo que si puedo hacer eso, junto con NAT32, funcionará. +1
xmm0
¿Cómo está obteniendo un servidor PPTP / VPN sin el RRAS de NPS? Saber eso podría ayudarnos a descubrir soluciones para la puerta de enlace y el enrutamiento ICS.
Mike Haboustak
Estoy usando la función de conexión entrante que ha estado disponible incluso en sistemas operativos cliente. No hay consola RRAS.
xmm0
10

Esto sucederá de manera predeterminada si la VPN está configurada correctamente.

Cuando realiza una conexión VPN desde el CLIENTE de Windows, hay una opción avanzada Use Default Gateway on Remote Networkque se marca de forma predeterminada.

Por ejemplo, en Windows XP:

  • Ir a Conexiones de red
  • Haga clic derecho en su conectoide VPN
  • Elige propiedades
  • Vaya a la pestaña Redes
  • Elija Protocolo de Internet (TCP / IP) de la lista
  • Haga clic en PROPIEDADES
  • Haga clic en avanzado
  • En la pestaña General, marque Use Default Gateway on Remote Network

Es posible que la puerta de enlace predeterminada no esté configurada correctamente en su servidor remoto.

Joel Spolsky
fuente
Gracias Joel Creo que tiene razón y el problema está en el servidor, ya que configuré un servidor VPN correctamente con Win2k3 Std Ed. Consola RRAS y funcionó bien. Además, no puedo ver ninguna puerta de enlace predeterminada IPv4 dada al cliente (en el estado de conexión). El problema es, ¿cómo puedo configurar el servidor para dar la puerta de enlace predeterminada correcta al cliente? Parece que Win2k8 Web solo tiene conexiones entrantes XP / Vista (cliente-SO) y no tiene consola RRAS. ¿Algunas ideas?
xmm0
Nunca he usado la edición web de Win2k8 ... probablemente haya una solución alternativa que simplemente no conozco, me temo, pero esa versión del servidor está diseñada específicamente SOLO para servir páginas web, así que por lo que sé podría carecer de las funciones de enrutamiento que lo harían posible.
Joel Spolsky
@Joel, tiene sentido desde una perspectiva de seguridad. Evitar que un servidor web incluso actúe como enrutador lo convierte en un objetivo menos útil para los ataques.
saschabeaumont 03 de
1
Nunca he probado en cualquier cosa por encima de XP, pero esta reg acostumbrado truco para activar el enrutamiento IP, incluso en la no-servidor OS support.microsoft.com/kb/315236 - podría ayudar, Altho creo que todavía tendría que permitir NAT de alguna manera?
Batir
1
Solo una pequeña nota: el servidor VPN no actuará como NAT, el cliente VPN tomará una IP de su servidor DHCP y luego pasará por su puerta de enlace predeterminada, que será NAT. Entonces, cuando el cliente se conecta a los recursos en su red, aparecerá desde esta dirección DHCP, no desde la dirección del servidor VPN. Ésto es una cosa buena.
Cawflands 05 de
4

Lamentablemente, no puede instalar RRAS en Server 2008 Web Edition, no es un rol permitido. Por lo tanto, necesitaría usar una aplicación de terceros, Open VPN es una de las más comunes y una que he usado con éxito en el servidor 2003 antes.

Una vez que tenga esa configuración, el consejo de Joel para la configuración del cliente se asegurará de que su tráfico web pase a través de la VPN.

Sam Cogan
fuente
¿OpenVPN admite PPTP o L2TP o utiliza su propio protocolo? También necesito conectarme usando mi iPhone, por lo que no debería requerir un cliente.
xmm0
La VPN abierta usa Ipsec, por lo que requiere su propio cliente, que no existe para el iPhone. Lamentablemente, las opciones de servidores VPN para Windows son un poco limitadas.
Sam Cogan
1
OpenVPN no usa IPSec, usa SSL.
pc1oad1etter
1

Puede haber un lugar especial en el purgatorio para las personas de UNIX que hacen sugerencias a lo largo de las siguientes líneas, pero he usado esto para un propósito similar al suyo (obtener datos de EE. UU. Restringidos de rango de IP de forma segura de los EE. UU.

Instale OpenSSH en el servidor, así es como puede hacerlo en Vista / 2008: http://www.petri.co.il/setup-ssh-server-vista.htm (me di cuenta de que este es un TLD .il, si ese es un problema de Irán, tal vez intente buscar el caché o puedo volver a publicarlo si deja un comentario. También tal vez un ejemplo de por qué necesitamos un acceso seguro a Internet sin fronteras).

Crea una conexión ssh dinámica con Putty . Aquí hay instrucciones y una explicación .

Apunte su navegador, cliente de correo, etc., al proxy local. En efecto, lo que está haciendo es esto: abre una sesión ssh dinámica en el host remoto. Tiene un proxy local al que está vinculada esta conexión. Realiza todas las solicitudes a este proxy local, el proxy realiza una solicitud cifrada al servidor, el servidor recupera y devuelve lo que haya solicitado del mundo exterior a través de un túnel seguro al proxy local y de allí a su aplicación. Puede confirmar que está funcionando abriendo un sitio web que proporciona geolocalización de direcciones IP. Estoy seguro de que también se puede automatizar. (Si esto es algo absolutamente abominable que hacer en un servidor de Windows, hágamelo saber en los comentarios).

bvmou
fuente
0

Este es un hilo bastante antiguo, pero también me encontré buscando una respuesta a esta misma pregunta exacta. Encontré un par de cosas durante mi investigación. Estoy publicando aquí solo para agregar a esta información para que, en caso de que alguien más esté buscando respuestas, puedan encontrarla aquí.

Primero, hay un servicio gratuito disponible en www.itshidden.com que le permite conectarse a sus servidores vpn. Una vez conectado, todo su tráfico de Internet se canaliza a través de esa interfaz VPN. La configuración inicial y la conexión es bastante fácil; cualquier instalación moderna de Windows 2000 / XP / Vista y superior tiene el software del cliente VPN ya incorporado. El único inconveniente es que sus servidores están estacionados en Europa, por lo que sus paquetes tienen bastantes formas de viajar. Necesitaba algo más cerca de casa para reducir la latencia de paquetes y el ping y, como tal, esta no era la solución ideal. Así que seguí buscando ...

En mi búsqueda continua encontré el firmware dd-wrt. La creación de un servidor VPN directamente en el enrutador es una de las mejores características de dd-wrt. La configuración es bastante fácil y directa: configure la IP del servidor VPN del enrutador, establezca los posibles rangos de IP para los clientes y la información de inicio de sesión del cliente VPN. Todo esto se realiza desde la configuración del enrutador dd-wrt a través del navegador. La configuración del cliente VPN sigue los mismos procedimientos descritos en www.itshidden.com, con una IP de servidor VPN diferente, por supuesto.

Finalmente, también intenté hacer que una de las computadoras sea un servidor vpn usando el método de aceptar conexiones entrantes como el OP. Los clientes y el servidor VPN pueden hacer ping entre sí, pero el problema es que no pude hacer que el servidor VPN enrute correctamente el tráfico de Internet desde los clientes. Traté de jugar con la tabla de rutas tanto en el cliente como en el servidor. En pocas palabras, no pude lograr que funcionara por completo. Los servicios de localización de LAN funcionan bien (p. Ej., Servidor FTP en una computadora LAN), pero nunca conseguí que el tráfico de Internet se encaminara correctamente, tal vez alguien más podría tener mejor suerte.

En general, si tiene un enrutador que admita dd-wrt, vale la pena analizarlo. Esta es la solución que decidí. Fue fácil de configurar y trabajar.


fuente