Hacer una VPN con Teamviewer para poder trabajar con carpetas remotas desde Windows.

Hoy os dejamos otra opción para crear una VPN. Subrayo que no es la mejor opción, lo adecuado es crearla con OpenVPN (más seguridad) o por Windows (más rápido). Pero, en informática, a veces tenemos que solucionar cosas, aunque no sea de la mejor manera posible. Estos días, con la pandemia del coronavirus, se han dado casos así.

Cómo crear una VPN con Teamviewer.

Os dejamos los pasos. Obviamente tenemos que tener Teamviewer instalado en ambos ordenadores.
En ambos ordenadores tenemos que hacer el siguiente proceso.

  • Ir a Extras->Opciones->Avanzado->Mostrar opciones avanzadas
  • Bajar hasta Configuración de red avanzada.
  • Pinchar en Instalar controlador de VPN.

Una vez instalado el controlador de VPN en ambos ordenadores, verás que aparece una opción nueva en Teamviewer además de Control Remoto y Transferencia de archivos, la de VPN.

Sólo tenéis que poner el ID del otro equipo, marcar la opción de VPN, y pinchar en Conectar.

Aparecerá una nueva ventana con las opciones de la conexión, las IPs de ambos equipos y algunas acciones como Hacer Ping (para comprobar la conexión) o Compartir archivos a través de explorador .
Esta última opción abre una ventana con las carpetas remotas (que también puedes abrir con la dirección IP del equipo remoto.

Como decimos, no es la mejor opción, pero si funcional y, si algo te impide usar los métodos anteriores (por tiempo, costes o recursos), te saca de un apuro.

Cómo poder usar Internet con una VPN de Windows y acceder al servidor al mismo tiempo.

Estos días hemos tenido que configurar muchas VPN para clientes. Podemos hacerlo de varias maneras:

En Windows, algún cliente ha comprobado que, por defecto, al conectar la VPN se quedan sin Internet. Sobre todo porque la mayoría de las oficinas dejan el rango de red 192.168.1.X por defecto del proveedor, y es el mismo que el que tienen en sus casas.
Vamos a enseñaros cómo tener acceso a Internet y al servidor remoto al mismo tiempo.

Cómo tener acceso a Internet conectado a una VPN de Windows.

Para poder tener acceso a Internet mientras estamos conectados a la VPN tenemos que :

  • Ir a Centro de redes y recursos compartidos > Conexiones de red.
  • Pincha sobre la conexión de red con el botón derecho y haz clic en Propiedades.
  • Pinchar en la pestaña Funciones de red.
  • Hacer doble clic en Protocolo de internet Versión 4 (TCP/IP).
  • Pinchar en Opciones Avanzadas.
  • Hay que desmarcar la opción Usar puerta de enlace predeterminada de la red remota.
  • Dale aceptar a todo hasta que se cierren las ventanas.

Con eso tenéis Internet. PERO, veréis que habéis perdido conexión con el servidor si está en la misma red que la local.

Como tener acceso al servidor mientras tienens acceso a Internet por la VPN.

Lo que hay que hacer es enrutar el tráfico, es decir crear las rutas necesarias para que podáis acceder al servidor. Split Tunneling.

Si buscáis en Internet, la solución que más encontraréis será crear una ruta persistente con route add en windows (en CMD o Powershell con permisos de administrador):

route add -p 192.168.1.3 mask 255.255.255.0 10.0.0.10

Aquí he supuesto que la IP de tu servidor VPN es la 10.0.0.10. Para esto deberías haber configurado la VPN de manera que asigne unas IPs en ese rango. Y para saber la IP del servidor puedes hacer Ipconfig en el mismo y ver la IP del interfaz de VPN.
O en el cliente, cuando estaba marcada la opción anterior de la puerta de enlace, hacer un tracert hacia la IP del servidor para ver por dónde sale.

El problema de la ruta persistente es que hemos comprobado que no lo es del todo. Al apagar y volver a encender la VPN, o reiniciar Windows, la ruta persiste desde el punto de vista que para agregarla de nuevo tienes que quitarla y volver a ponerla, pero no funciona.

Otros recomiendan (que si funciona), crear un script para que active la conexión, quite la ruta (por si estaba creada) y la vuelva a poner. Es funcional, pero no muy “user friendly”.

La solución que si funciona es un comando de Powershell (con permisos de administrador) que lo que hace es crear la ruta cada vez que esa conexión de VPN se active. El comando es (a hacer en el cliente):

Add-VpnConnectionRoute -ConnectionName ‘NombredetuVPN’ -DestinationPrefix 192.168.1.3/31

Esto lo que hace es crear una ruta al servidor (192.168.1.3, cambiadlo por el vuestro) cada vez que se conecte la conexión VPN de nombre NombredetuVPN. Además lo bueno es que son persistentes, al reiniciar el ordenador el comando sigue activo.

Así que con ambos cambios, tendréis Internet y conexión al servidor con una VPN de Windows.

Teletrabajo: cómo implementarlo y realizarlo en tu empresa.

Con esta situación de pandemia, en la que muchas empresas están teniendo que cerrar, u optar por mandar a sus trabajadores a hacer teleworking, muchos clientes nos han preguntado cómo pueden hacerlo ellos. Cómo pueden implementar el teletrabajo en sus empresas y cómo tienen que conectarse los trabajadores.

Y es que parece mentira que haya tenido que ser un virus el que fuerce a las PYMES a implementar de verdad el teletrabajo. Al menos, cuando pase, tendremos todo ese trabajo informático hecho y estaremos más cerca de la conciliación laboral real.

Aunque es un tema muy abierto, y depende mucho de cada empresa, os hemos querido resumir las formas de implementar el teletrabajo en las empresas.

Como realizar teleworking en las empresas.

Básicamente hay 4 formas:

  • Soluciones Cloud (en la nube). Se trata de usar recursos en Internet de proveedores para guardar y sincronizar archivos con nuestros ordenadores. Los más famosos son Google Drive, Office 365, Dropbox…
    Requiere cierto grado de confianza al ceder la documentación importante a proveedores externo. Y en ocasiones (dependiendo de la cantidad de datos), implica un ligero coste.
    Pero tenemos una copia de seguridad en la nube, permite trabajo colaborativo (compartir documentos con los clientes y con compañeros) y sincronización desde la nube (sin tener que descargar los archivos en local).
    Básicamente es válido para guardar archivos, ni si tienes programas en un servidor.
  • Conexiones VPN. Lo más habitual en las empresas medias/grandes es crear conexiones privadas cifradas entre los clientes remotos y la oficina. Esto hace que, una vez conectado, el trabajador pueda acceder a los recursos de la empresa como si estuviera en la oficina. Todo seguro y privado.
    Implica una implementación técnica inicial:
    – Configuración del servidor VPN y sus certificados.
    – Configuración de los clientes VPN y sus certificados.
    – Abrir puerdos en el router de la oficina.
    – Seguramente adquirir y configurar un dominio dinámico.
    Pero una vez implementado funciona y permite una forma de teletrabajo óptima.
    Si usas programas especiales en un servidor, esta es la solución más adecuada.
  • Uso de escritorios remotos. En ciertos casos en los que se carezca de recursos se puede dejar un ordenador encendido en la empresa y conectarse con escritorios remotos como Teamviewer, AnyDesk o similar. No es la forma más recomendable, pero quizás la más rápida si no se dispone de los métodos anteriores. Sería algo temporal.
    A largo plazo yo la descartaría.

Esperamos que os ayude para empezar a realizar un plan de implementación. Podéis contactarnos para ayudaros.

Tipos de rack, dimensiones y unidades.

Como nos ha surgido la duda varias veces, y nos lo ha preguntado algún cliente, vamos a dedicar el vídeo de hoy a los tipos de armario rack que existen.

¿Qué es un armario rack?

Un rack es un tipo de armario que se usa para colocar y ordenar elementos informáticos, normalmente en una empresa (aunque podemos poner uno pequeño en casa). Tiene unas columnas especiales en las que se pueden colocar los diferentes elementos de un centro de datos (switch, routers, rack, paneles etc).
Obviamente, tiene unas medidas y unas unidades estándar que procedemos a explicar.

Tipos de Rack.

Por cómo se colocan están:

  • los rack tipo mural (se pueden colgar y quedan como una estantería o un pequeño armario colgado)
  • los rack de suelo (son aquellos que se colocan en el suelo como un armario).

Por sus dimensiones se clasifican por su anchura en pulgadas (1 pulgada son 2,54 centímetros). Tenemos entonces los de:

  • 10″ = 25,4 cm de ancho.
  • 13″ = 33,02 cm de ancho.
  • 19″ = 48,26 cm de ancho. Los más comunes.
  • 23″ = 58,42 cm de ancho.
  • Etc…

Las unidades U de rack.

Dentro de los rack se habla mucho de las U. Es una medida estándar que mide la cantidad de unidades (U) que se pueden colocar (una encima de la otra). Una U son 4.445 cm.

Por ejemplo un rack de 42U puede contener 42 unidades dentro (y son casi 2 metros de altura).

Es evidente que, cuando hablemos de U, tenemos que saber también de qué ancho estamos hablando (si son unidades de rack de 19″ o de 23″). De alto serán lo mismo (por las U) pero no de ancho.
Existen también unidades de medio rack con varias U, cuando queremos colocar algún elemento que no cubra todo el rack de ancho.

Existen armarios rack de 6U, 9U, 12U, 15U, 18U, 22U, 24U ,42 U…. Obviamente a mayor U mayor altura.

Cuando compres aparatos de rack, es importante saber sus U para saber cuánto vas a ocupar. Y cuando compres el rack…planea para el futuro.

Fondo.

La última dimensión tras el ancho (en pulgadas) y el alto (en U) es el fondo. Las más comunes son 45 cm y 60 cm.

El estándar que rige las unidades de rack es el EIA-310 .

iCACLS: listar los permisos de directorios en Windows y ver a qué carpetas puede acceder un usuario.

En Windows, en modo gráfico es bastante sencillo ver los permisos de un directorio.
El problema es cuando queremos:

  • Ver los permisos en terminal o Powershell.
  • Ver la lista de directorios a los que tiene acceso un usuario (por ejemplo para comprobar que no accede a lo que no necesita en un servidor).

En esos casos el comando iCACLS es un gran aliado. Obviamente necesitamos un terminal con permisos de administrador O el Powershell.

Cómo usar iCACLS para ver los usuarios que tienen acceso a una carpeta.

Este es el uso más sencillo de iCACLS. Sólo tenemos que poner lo siguiente:

icacls c:\nombre_de_directorio

Estamos suponiendo que está en C: , si no cambiar la unidad.

Cómo usar iCACLS para ver las carpetas a las que tiene acceso un usuario.

Esto es muy útil en caso de gestionar carpetas compartidas o servidores. Os dejo dos opciones.
El primero va carpeta por carpeta y da dónde puede y dónde no puede.

icacls c:\* /findsid nombredeusuario /t /c /l

Esto muestra sólo dónde puede acceder. El segundo comando lo envía a un fichero (permisos.txt) en el directorio en que estés para su análisis posterior.

icacls c:\* /findsid nombredeusuario /t /c /l 2>nul:

icacls c:\* /findsid nombredeusuario /t /c /l 2>nul: >permisos.txt

Copiar los permisos de un directorio a otro con iCACLS

También puedes copiar los permisos de un directorio a otro. Sólo tienes que salvarlos a un fichero y exportarlos al directorio destino.

icacls C:\DirectorioOrigen\* /save c:\temp\Permisos_DirectorioOrigen_ACLs.txt /t
icacls C:\DirectorioDestino /restore c:\temp\Permisos_DirectorioOrigen_ACLs.txt

Cambiar los permisos de un directorio con iCACLS.

Obviamente también puede usarse como chomd y chown en Linux. Los permisos son:

  • D  —  delete access;
  • F  —  full access;
  • N  —  no access;
  • M  —  modify access;
  • RX  —  read and eXecute access;
  • R  —  read-only access;
  • W  —  write-only access.

Os dejamos ejemplos.

  • Permisos para editar a Pepe:
    icacls C:\Directorio /grant  Pepe:M
  • Permisos para editar el grupo Secretaria del dominio en el directorio y todos los subdirectorios y ficheros
    icacls “C:\Directorio” /grant dominio\Secretaria:F /Q /C /T
  • Quitarle todos los permisos a Pepe
    icacls C:\Directorio /remove Pepe
  • Deshabilitar permisos heredados:
    icacls c:\Directorio /inheritance:d
  • Deshabilitar permisos heredados y quitar los que tiene:
    icacls c:\Directorio /inheritance:r
  • Habilitar permisos heredados:
    icacls c:\Directorio /inheritance:e
  • Cambiar el dueño de un directorio
    icacls c:\Directorio /setowner Pepe /T /C /L /Q

Obviamente todo esto y combinaciones se pueden hacer en scripts para automatizarlo.

Qué es el DHCP y para qué sirve

Nuestra serie de vídeos informativos sobre el mundo IT sirve tanto para que nosotros podamos usarlos para explicar términos a clientes de manera sencilla, como para que la gente interesada pueda encontrarlos e informarse. Están pensados para alguien que no sabe absolutamente nada o casi nada del sector.

Hoy explicamos qué es el protocolo DHCP y para qué sirve.

Qué es el DHCP y para qué sirve.

Cuando te conectas a una red (por wifi o por cable), tu dispositivo (PC, móvil, tablet…) solicita a la red una dirección IP (de esto hablaremos otro día) única y unos datos sobre la red (puerta de enlace, máscara etc). Necesita estos datos para funcionar en la red.

Existe la posibilidad de ponerlos a mano, lo que se llama IP fija (algo por ejemplo útil en servidores e impresoras en una oficina), pero es poco realista. Tened en cuenta la de redes que te conectas en un día con el móvil o con el trabajo (casa, oficina, cibercafé, clientes…). Tendrías que estar cambiando de configuración cada vez y preguntando los detalles de cada red.

Por eso se creo el DHCP= Dynamic Host Configuration Protocol. Es decir, una serie de pautas y directrices (protocolo) para asignar las direcciones IP (y puerta de enlace y máscara) automáticamente a los clientes.

Para tener DHCP necesitas asignar un servidor, que suele ser el router, el servidor empresarial o el punto de acceso, que tiene configurado este servicio.
También lo que se llama un pool (rango de direcciones) para asignar a los clientes. Básicamente tu tienes un límite de direcciones posibles. Algunas las vas a querer fijas para dispositivos claves de tu red, y dejas el resto para este pool de clientes. Lo importante es asegurarte que:
a) Tu pool de direcciones cubre el número de clientes que vas a tener (cuidado, el uso de móviles hace que se dupliquen las ips por usuario.
b) Las direcciones fijas no se solapen con el pool de direcciones. Es decir, que nadie coja automáticamente una dirección que ya tienes asignada, de manera manual, a un dispositivo de tu red.

Además, ya que el número de direcciones IP es limitado (como digo hablaremos de eso en otro artículo), vamos a asignar un tiempo de vida, un lease time. Durante este tiempo la dirección quedará reservada o marcada como asignada. Pero luego se liberará para el uso de la asignación automática. Esto hace que no se queden direcciones “asignadas” y nos vayamos quedando poco a poco rango para nuestros clientes. Si un cliente que tenía una asignada pasa del lease time, vuelve a solicitarla y se le da otra o la misma.

Esperamos que esté artículo y el vídeo que sigue donde lo explicamos sirva para entender un protocolo tan útil.

Instalar Windows sin usar cuenta de Microsoft, con cuenta local. Versión 2020.

Cuando vas a instalar Windows 10, si sigues los pasos, verás que llegas a un paso en que te pide una cuenta de Microsoft y no te deja avanzar. Si eres como yo, y quieres tener cuentas locales en tu ordenador, te explico cómo instalar Windows 10 con cuenta local.

Instalar Windows 10 sin cuenta de Microsoft.

Hay dos maneras, depende de si has introducido o no tus datos de red. El truco es que no puede pedirte cuenta de Microsoft durante la instalación si no tiene conexión a Internet.

  • No conectarlo a Internet durante la instalación. Aunque es un paso previo en la instalación, y lo habitual es darle los datos de tu wifi o conectarlo por cable, evita hacerlo. No pongas tus datos de Wifi y no conectes el cable. Sin conexión de Internet la instalación pasa directamente a pedirte una cuenta local.
  • Si has conectado tu ordenador a Internet durante la instalación: nosotros lo hacemos por defecto para que busque las últimas actualizaciones y active Windows. Pero entonces pasa a pedirte cuenta de Microsoft. Lo que puedes hacer es desactivar la wifi (o poner modo avión) y/o quitar el cable de red en el momento que pide la cuenta. Luego pinchas en Crear cuenta, el comprueba que no puede porque no hay conexión y pasa a pedirte una cuenta local.

Os lo mostramos en el vídeo.

Windows 7 no puede acceder a recursos compartidos de Windows Server 2019

Hoy hemos tenido una consulta de un cliente que tenía Windows Server 2019 y sus dispositivos con Windows 7 no podían acceder a los recursos compartidos en el servidor. Los veían, pero no podían acceder.
Os explicamos la solución.

Nota: esto también puede ocurrir con otro tipo de dispositivos y sistemas operativos. Básicamente la causa es que Windows 2019 incluye Samba 3.1.X (de hecho de Windows Server 2016 en adelante), con cifrado y no admite conexiones sin cifrar. Los dispositivos anteriores no pueden concetarse.

También puede pasar en Windows Server 2012 y 2016 donde hayáis habilitado el cifrado de los recursos compartidos.

Soluciones.

Os dejamos varias cosas a probar

Habilitar las conexiones sin cifrar.

Los dispositivos como Windows 7 no son compatibles con SMB 3, así que no pueden usar recursos cifrados.
Primero podéis probar a habilitar la opción de conectarse al recurso compartido sin cifrar (debería ser algo temporal hasta que actualices dichos dispositivos antiguos).

Abre un Power Shell en el servidor y pon el siguiente comando:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

El problema de esto es que se pueden realizar conexiones con SMB 1 que es muy inseguro. Así que si no tienes dispositivos que sólo tengan SMB 1 (y no deberías tenerlos, deberías actualizarlos al menos al 2), puedes deshabilitar SMB1 en el servidor (esto ya está hecho en Windows Server 2019 por defecto que sólo incluye el SMB 3).

Set-SmbServerConfiguration –EnableSMB1Protocol $false

Acceso como invitado deshabilitado den Windows Server 2019

Windows Server 2019 ha deshabilitado el acceso como invitado (sin identificarse). Si quieres una carpeta de este estilo tienes que cambiar la política (Group Policy) en:

Computer configuration\administrative templates\network\Lanman Workstation”Enable insecure guest logons”

Obviamente recuerda que estás reduciendo la seguridad de tu red.

Realizar una sincronización manual de Active Directory con Office 365

Muchas empresas tienen ahora una infraestructura híbrida entre Office 365 (para recursos de nube, correo, licencias de Office) y Active Directory (para cuentas de usuario, permisos de carpetas en servidor etc). Y obviamente lo lógico es sincronizar ambos sistemas.

Si lo tienes bien configurado, la sincronización por defecto entre Active Directory y Office 365 se hace cada 30 minutos.

Pero en ocasiones tienes que realizar cambios urgentes que quieres que sincronicen inmediatamente. O pruebas de las cuales quieres ver los resultados de manera inmediata. Para ello puedes realizar una sincronización manual. Os contamos cómo.

Realizar una sincronización manual entre Active Directory y Office 365.

Para poder realizar una sincronización manual, hay que abrir Power Shell en la maquina que estés usando de Directorio Activo. En ese Power Shell tienes que poner el siguiente comando.

Start-ADSyncSyncCycle -PolicyType Delta

También es válido poner Start-ADSyncSyncCycle Delta

Para ver cómo va la sincronización puedes abrir el Synchronization Service de Azure AD Connect.

Nota: recuerda que la sincronización manual NO sincroniza contraseñas. Estas se actualizan en la automática de 30 minutos.

Issabel: tamaño del disco lleno por los logs de Asterisx. Cómo reducir los logs de Asterisk.

En clientes que teníamos Issabel instalado con ciertas particiones, nos ha ocurrido varias veces que se llenaba la partición primaria. Se quedaba al 100% y no nos dejaba entrar vía web. Por culpa de los logs de Asterisk (lo podéis verificar con du –max-depth=1 -m -x por terminal).

La solución que aplicábamos era borrar los logs messages y full de la carpeta de logs de Asterisk. Pero al cabo del tiempo volvía a ocurrir.

Solución: configurar correctamente los logs de Asterisk.

El problema es que los logs de Asterisk tienen activados los modos Debug, Verbose, Warning (además de Error y Securiy) para todos los estados. Esto quiere decir que básicamente guardan registro de todo, lo que pasa, aunque no sea un error. Así que se llenan enseguida.

Para cambiar esta configuración tenemos que ir a
PBX > PBX Configuraton > Unembedded IssabelPBX > Settings > Asterisk Log Files

Nota: puede que no tengas permisos para acceder a Unembedded Issablel PBX y debas aplicar dichos permisos, pero te indica dónde ir ( Security >> Advanced Security Settings )

Como veis tiene puesto guardar todo en el registro.

Desactivad Debug, Verbose y Warning para todos.

Con esto el log debería mostrar sólo los errores y problemas de seguridad y crecer más lento.