Documentos de Académico
Documentos de Profesional
Documentos de Cultura
VPN
En esta nota veremos la configuración de un servidor para permitir la conexión de clientes
desde ubicaciones remotas, con el método de uso más común como son las conexiones
VPN
En esta primera nota sobre el tema desarrollaré el ejemplo más simple: autorización por
usuario y protocolo PPTP. De acuerdo a la cantidad de visitas veré de complementarla con
otras opciones, como ser: autorización por grupos u otras condiciones, y con otros
protocolos
El tema lo he tratado con anterioridad, pero sobre Windows Server 2008 R2, y en esta nota
lo actualizamos a Windows Server 2012 R2, que aunque conceptualmente es igual, hay
cambios en la interfaz
La estructura que utilizaremos es simple, y aún se podría simplificar más, por ejemplo la
carpeta compartida de prueba podría estar en DC1, y no se necesita la máquina SRV1, que
yo he usado para que sea más completa la demostración
Observen en la siguiente figura que he renombrados las interfaces de red, una llamada
“Interna” y otra “Externa”, esto es muy importante para evitar confusiones
Además, por más que tengamos el servidor protegido por cortafuegos es importante
deshabilitar algunas cosas en la interfaz “Externa”: todo salvo TCP/IPv4 y por supuesto
NetBIOS
Para seleccionar el rango de direcciones que se utilizará para VPN elijo especificar un
rango ya que además de no tener servicio DHCP, prefiero un rango de direciones IP
diferente al de la red interna. De esa forma es mucho más controlable el tráfico desde el
cliente a la red interna, si necesitara hacerlo a futuro
Elijo diez direcciones de la red 172.16.0.0/16, pueden usar cualquier rango privado, y
tengan en cuenta que podrán conectarse simultáneamente tantos clientes como direcciones
IP menos una (para el servidor) como tengamos
Para esta demostración no utilizaremos RADIUS
Como es “histórico” nos dará el mensaje del “DHCP Relay Agent” que no necesitamos
pues no hemos seleccionado DHCP (asignación automática)
¿¿¿Y esto???
Evidentemente se trata de que expiró un “time-out” pero no preocuparse, en cuanto
miramos la consola vemos que el servicio ha arrancado. Quizás se deba sólo por el
ambiente que estoy usando (todo virtualizado)
Vamos a IPv4 / General y observamos que la interfaz está creada
Si vamos a las propiedades de esta interfaz externa, podremos ver los filtros de IP creados,
que como comentamos más arriba, permiten tanto de entrada como de salida *solamente*
los protocolos de VPN
Esto seguramente muchos tendrán que modificarlo, pues al ser estos protocolos los únicos
permitidos no tendrá ni siquiera posibilidad de navegar por Internet desde el servidor
Si el único protolo de VPN que vamos a utilizar, como en esta demostración, es PPTP,
podemos eliminar todas las entradas salvo las referidas a TCP-1723 y protocolo GRE (ID
47)
La selección de qué protocolo de VPN se utilizará para esta conexión está fijada en
automático, lo cual hará que demore bastante en conectarse. Como con la configuración
que hemos hecho anteriormente es sin ningún tipo de certificados, sólo podremos usar
PPTP, así que conviene configurarlo directamente en las propiedades de la conexión
Con botón derecho elejimos conectarnos
Y tuvo que aparecer :-)
Así que vamos al Controlador de Dominio, y en las propiedades del usuario, ficha “Dial-in”
le asignamos la posibilidad de acceso remoto
Ejecutamos nuevamente el proceso de conexión, y veremos que ahora sí, ya se conecta
Si ejecutamos “IPCONFIG” veremos que tenemos dos direcciones IP, una correspondiente
a la conexión a Internet, y la otra correspondiente a la VPN y que fue asignada por el
servidor VPN
También podemos verificar que nos podemos conectar desde el cliente a los recursos
compartidos de otros servidores (SRV1) que están en la red interna
Y además en el servidor VPN, podemos ver al cliente que está conectado
Por supuesto, en forma análoga a como hicimos para conectarnos, podemos desconectarnos
Hasta aquí hemos visto el procedimiento más simple: autorización por usuario y protocolo
PPTP
Veré si a futuro hago la nota sobre autorización por condiciones específicas, por grupo por
ejemplo, o con otros protocolos más seguros que PPTP pero más difíciles de implementar
Si alguien quiere ver cómo se puede hacer por L2TP+IPSec o SSTP o IKEv2 puede ver la
siguentes notas, que aunque están hechas sobre Windows Server 2008 R2 el procedimiento
es totalmente similar, sólo cambia la interfaz