NAT y OPENVPN con Windows 2003

Cuando tienes un servidor Windows 2003 que te hace de NAT y gateway en una red, se pelea con el OpenVPN. La causa es el servicio de Enrutamiento y acceso remoto que es necesario activar para hacer el NAT. E aquí la "solución".
El server W2k3 tiene 2 interfaces de red: una para la red local y otra conectada al router ADSL
Pasos:
  1. Activar Enrutamiento y acceso remoto via "Administre su servidor" o Activando el servicio directamente. Para configurar he seleccionado las opciones de NAT y que "bridging". Tambien activar lo de servidor de seguridad.
  2. En principio comprobamos que desde una maquina de la red tiene acceso a internet, para comprobar que funciona el bridging y el NAT.
  3. TO-DO: poder bloquear que una IP de la red local pueda salir a Internet = ISA SERVER
  4. Instalamos el OpenVPN. Este te crea una 3era interface del tipo TAP (virtual).
  5. Mi configuración de cliente de openvpn: 
client
dev tun <- ojo!
proto udp
remote xx.xxx.xxx.xxx puerto
nobind
persist-key
persist-tun

# SSL certificates
ca ca.crt
cert lafonda.crt
key lafonda.key

comp-lzo
verb 3
mute 4
ping 10
comp-lzo
  1. Cuando arranco el openvpn parece que connecta pero tiene problemas al añadir las rutas por lo que la connectividad no funciona.
  2. Desactivo el Servicio de Enrutamiento y acceso remoto
  3. Enciendo de nuevo el OpenVPN. Ahora va como la seda. Veo que me assigna la ip 10.1.0.18 y la pasarela en las rutas es 10.1.0.17 por la interfaz 10.1.0.18 (windows le dice area local 3).
  4. Compruebo que los clientes de la red local, efectivamente, tienen acceso a la vpn.
  5. Desactivo el cliente vpn
  6. Activo de nuevo el servicio de Enrutamiento y acceso remoto
  7. Creo rutas estaticas en la mmc del Enrutamiento y acceso remoto tal que la interfaz es la Area local 3, destino y mascara: la red de la vpn (ej. 10.0.0.0/255.255.255.0), puerta de enlaze: 10.1.0.17 como hemos visto en el punto 8.
  8. Repetimos, si queremos, para todas las redes de la vpn.
  9. Encendemos el Cliente de OpenVPN: saldran los mismos errores por las rutas, pero como estan definidas como estáticas: funciona :) jeje. Lo malo es si cuando el cliente se conecte te cambiase la IP (ergo la puerta de enlaze) pero eso lo puedes fijar en el servidor de openvpn por el nombre del certificado digital.
  10. Una vez funciona, probamos de utilizar el servicio OpenVPN para que arranque el túnel automáticamente cuando se reinicie.

Comentarios

Publicar un comentario