Windows Server 2012 (R2): Configurar Servidor 

VPN
En esta nota veremos la configuración de un servidor para permitir la conexión de clientes
desde ubicaciones remotas, con el método de uso más común como son las conexiones
VPN

En esta primera nota sobre el tema desarrollaré el ejemplo más simple: autorización por
usuario y protocolo PPTP. De acuerdo a la cantidad de visitas veré de complementarla con
otras opciones, como ser: autorización por grupos u otras condiciones, y con otros
protocolos

El tema lo he tratado con anterioridad, pero sobre Windows Server 2008 R2, y en esta nota
lo actualizamos a Windows Server 2012 R2, que aunque conceptualmente es igual, hay
cambios en la interfaz

La estructura que utilizaremos es simple, y aún se podría simplificar más, por ejemplo la
carpeta compartida de prueba podría estar en DC1, y no se necesita la máquina SRV1, que
yo he usado para que sea más completa la demostración

Como vemos en la figura anterior es muy sencilla la infraestructura necesaria de la que

partiré: un Controlador de Dominio (DC1), un Cliente (CL1), y dos servidores miembros
del Dominio (SRV1 y VPN), uno con dos interfaces de red, que simulan la red interna y la
conexión a Internet. Al cliente lo conectaremos a esta simulada Internet para verificar la
conexión.
Las configuración de IP se pueden ver en la figura, y el Dominio que estoy usando es el
mismo de todas las notas “ad.guillermod.com.ar”

En el Dominio he creado un usuario de prueba (“User Uno”, “AD\u1”), y en SRV1 he

creado una carpeta compartida accesible a este usuario
Comenzaremos trabajando sobre el servidor VPN, que es donde haremos toda la
configuración, salvo la demostración de conexión del usuario

Observen en la siguiente figura que he renombrados las interfaces de red, una llamada
“Interna” y otra “Externa”, esto es muy importante para evitar confusiones
Además, por más que tengamos el servidor protegido por cortafuegos es importante
deshabilitar algunas cosas en la interfaz “Externa”: todo salvo TCP/IPv4 y por supuesto
NetBIOS

Comenzaremos añadiendo la funcionalidad en la forma habitual, y siguiendo el asistente

como muestran las siguientes figuras
Seleccionamos “Remote Access”
Observen los componentes adicionales que instalará, por ejemplo “Web server” (IIS) pues
el sistema erróneamente supone que utilizaremos DirectAccess. Lamentablemente aunque
no usemos ni configuremos DirectAccess, no se podrá remover este componente pues
removerá también el acceso remoto por VPN

A mi entender es un problema ya que afecta y aumenta nuestra superficie de ataque en un

servidor que seguramente estará expuesto casi directamente a Internet
Debemos iniciar el asistente, que demora unos segundos en arrancar, de otra forma
aparecerá luego
Y comenzamos con la configuración
Es importante que hayamos renombrado las interfaces de red para así estar seguros cuál
marcaremos como “Externa”, ya que además que será la única donde recibirá las
conexiones entrantes, configurará el cortafuegos interno de Enrutamiento y Acceso Remoto
para permitir *únicamente* los protocolos de VPN

Para seleccionar el rango de direcciones que se utilizará para VPN elijo especificar un
rango ya que además de no tener servicio DHCP, prefiero un rango de direciones IP
diferente al de la red interna. De esa forma es mucho más controlable el tráfico desde el
cliente a la red interna, si necesitara hacerlo a futuro
Elijo diez direcciones de la red 172.16.0.0/16, pueden usar cualquier rango privado, y
tengan en cuenta que podrán conectarse simultáneamente tantos clientes como direcciones
IP menos una (para el servidor) como tengamos
Para esta demostración no utilizaremos RADIUS
Como es “histórico” nos dará el mensaje del “DHCP Relay Agent” que no necesitamos
pues no hemos seleccionado DHCP (asignación automática)

¿¿¿Y esto???
Evidentemente se trata de que expiró un “time-out” pero no preocuparse, en cuanto
miramos la consola vemos que el servicio ha arrancado. Quizás se deba sólo por el
ambiente que estoy usando (todo virtualizado)
Vamos a IPv4 / General y observamos que la interfaz está creada
Si vamos a las propiedades de esta interfaz externa, podremos ver los filtros de IP creados,
que como comentamos más arriba, permiten tanto de entrada como de salida *solamente*
los protocolos de VPN
Esto seguramente muchos tendrán que modificarlo, pues al ser estos protocolos los únicos
permitidos no tendrá ni siquiera posibilidad de navegar por Internet desde el servidor

Si el único protolo de VPN que vamos a utilizar, como en esta demostración, es PPTP,
podemos eliminar todas las entradas salvo las referidas a TCP-1723 y protocolo GRE (ID
47)

Ahora comencemos a configurar el cliente. Lo muevo a la red que simula Internet, y le

pongo una configuración IP adecuada a esta “Internet simulada”
Debemos crear la interfaz de la VPN para que el cliente se conecte a la red interna. A partir
de Windows 8 hay varias formas de llegar a configurar una interfaz VPN, pero me
mantengo con los pasos de Windows 7 (No me gusta y no me gusta la interfaz “Modern
UI” y trato de evitarla todo lo que pueda)
¿Por qué Microsoft supone que una conexión VPN se puede hacer sólo al lugar de
trabajo? :-)
Hace tiempo, cuando todavía no existía la virtualización, recuerdo haber hecho conexiones
VPN entre la red de mi casa, y la de un amigo; básicamente para poder hacer experiencias
con más equipos
Ingresamos la dirección IP externa de nuestro servidor VPN, y un nombre para la conexión
Ya está creada

La selección de qué protocolo de VPN se utilizará para esta conexión está fijada en
automático, lo cual hará que demore bastante en conectarse. Como con la configuración
que hemos hecho anteriormente es sin ningún tipo de certificados, sólo podremos usar
PPTP, así que conviene configurarlo directamente en las propiedades de la conexión
Con botón derecho elejimos conectarnos
Y tuvo que aparecer :-)

Bueno, pulsamos la entrada y aparecerá el botón para conectarse

Ingresamos las credenciales del usuario de prueba
Y como era esperable recibimos el mensaje de error pues no hemos autorizado al usuario a
ingresar en forma remota. Cabe aclarar que aún a la cuenta original de administrador hay
que autorizarla para acceso remoto

Así que vamos al Controlador de Dominio, y en las propiedades del usuario, ficha “Dial-in”
le asignamos la posibilidad de acceso remoto
Ejecutamos nuevamente el proceso de conexión, y veremos que ahora sí, ya se conecta
Si ejecutamos “IPCONFIG” veremos que tenemos dos direcciones IP, una correspondiente
a la conexión a Internet, y la otra correspondiente a la VPN y que fue asignada por el
servidor VPN

También podemos verificar que nos podemos conectar desde el cliente a los recursos
compartidos de otros servidores (SRV1) que están en la red interna
Y además en el servidor VPN, podemos ver al cliente que está conectado
Por supuesto, en forma análoga a como hicimos para conectarnos, podemos desconectarnos
Hasta aquí hemos visto el procedimiento más simple: autorización por usuario y protocolo
PPTP

Veré si a futuro hago la nota sobre autorización por condiciones específicas, por grupo por
ejemplo, o con otros protocolos más seguros que PPTP pero más difíciles de implementar

Si alguien quiere ver cómo se puede hacer por L2TP+IPSec o SSTP o IKEv2 puede ver la
siguentes notas, que aunque están hechas sobre Windows Server 2008 R2 el procedimiento
es totalmente similar, sólo cambia la interfaz