Windows Server 2019: Soluciones de

acceso remoto
Trabaja en remoto con Windows Server 2019
Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo

Como administrador de sistemas, debes proveer de soluciones e infraestructuras que permitan

dotar de la mayor flexibilidad, seguridad y confiabilidad a los usuarios, en ocasiones, incluso,
dotándolos de un entorno donde ni siquiera sea relevante el lugar de trabajo. En este curso de
LinkedIn Learning aprenderás los conceptos generales sobre el enrutamiento y acceso remoto en
Windows Server 2019 y serás capaz de crear y configurar redes privadas virtuales o VPN con
diferentes tecnologías, como DirectAccess o VPN Always On, por supuesto, sin dejar de lado, la
securización de todo tu nuevo entorno. Soy Miguel Llorca y cuento con más de 20 años de
experiencia en el sector, ayudando a las empresas en su transformación digital. ¿Qué te parece si
empezamos a desplegar nuestras soluciones de acceso remoto en Windows Server 2019?

Traducción de direcciones de red o NAT

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo

Vamos a hablar sobre la traducción de direcciones de red o NAT. En 1981 se introdujo el Protocolo
de Internet (IPv4) bajo la RFC 791. En teoría, podría servir 4.000 millones de direcciones en la red
pública, Internet. En aquel momento parecía mucho, pero la explosión de Internet resultó mucho
mayor de lo esperado. Considerando que la población mundial puede rondar los 7.000 millones, y
puesto que compensamos las desigualdades para el acceso a la tecnología con una gran parte del
mundo que cuenta con más de un dispositivo, es obvio que no existen suficientes direcciones en
esta red pública para todos. La solución a esta limitación fue la creación de redes privadas. Si
teníamos 20 dispositivos en casa o 200 en el trabajo, podríamos agruparlos detrás de algún tipo de
enrutador, de tal modo que se compartiera una única dirección en la red pública. La tecnología
que hace esto posible es la traducción de direcciones de red o NAT, del inglés Network Address
Translation. NAT no requiere gran cosa para funcionar, de hecho, es la función principal de los
routers de gama básica que solemos instalar en casa para navegar por Internet con nuestra
compañía de teléfono. Volviendo al gráfico anterior, veremos que el funcionamiento es bastante
sencillo. Por un lado, tenemos una direccón IP pública que nos facilita nuestro operador de
Internet y que será la única visible en el exterior para nuestros dispositivos. Y, por otro lado, el
router tiene una interfaz con una dirección IP perteneciente a una red privada con una rango de
direcciones específicos para este propósito, como veremos a continuación. Vamos a revisar los
rangos de direcciones que debemos usar en nuestras redes privadas de cara a evitar potenciales
conflictos con direcciones IP públicas. El organismo que regula esto es el Internet Assigned
Numbers Authority, IANA, que ha asignado varios rangos de direcciones para utilizar con las redes
privadas. Los rangos de direcciones que podemos usar son los siguientes: el de clase A,
perteneciente al 10, el de clase B, perteneciente al 172, y el de clase C, perteneciente al 192. Una
dirección IP dentro de estos rangos se considera, por lo tanto, no direccionable, debido a que no
es exclusiva. Cualquier red privada que necesite utilizar direcciones IP de forma interna puede
utilizar cualquier dirección dentro de estos rangos sin tener que coordinarse con el IANA o un
registro de Internet. Las direcciones dentro de este espacio de direcciones son solo exclusivas
dentro de una determinada red privada. Y, por lo tanto, todas las direcciones fuera de estos
rangos se consideran públicas. Uno de los beneficios fundamentales del NAT es, como hemos
podido ver, superar la escasez de direcciones públicas, ya que tenemos una dirección IP pública
frente a los múltiples dispositivos que tengamos en nuestra red privada. Pero, por otro lado,
obviamente la seguridad, puesto que podemos segregar el tráfico de nuestra red privada de
Internet, de tal modo que no queda expuesto.

Preparación de NAT en Windows Server 2019

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo

Ya hemos visto cómo funciona la traducción de direcciones de red, por lo tanto, si queremos
implementar NAT en nuestra red, debemos contar al menos con dos adaptadores en nuestro
servidor que actuará como enrutador. Por lo tanto, lo que vamos a hacer es venir a nuestra
máquina y vamos a ir al apartado de Servidor local. Una vez aquí vamos a comprobar que,
efectivamente, tenemos al menos, dos adaptadores, como en nuestro caos. Vamos a navegar a la
configuración de estos adaptadores y vamos a comprobar en qué estado se encuentran. Aquí
podemos ver que tenemos este primer adaptador que está conectado a internet. Con lo cual,
claramente, este sería el adaptador externo. Por lo tanto, para no llevar a confusión lo que vamos
a hacer es renombrarlo, y este otro de aquí vamos a comprobar su estado y vemos que no tiene
conectividad. Como vemos, está con una IP dinámica sin asignar. Por lo tanto, vamos a
modificarlo, vamos a asignarle, en nuestro caso, una dirección IP fija. Por ejemplo, el rango 172. Le
pondremos la 1. Siempre es una buena práctica recomendada el usar la primera dirección para el
enrutador y no es necesario que establezcamos una puerta de enlace. Vamos a darle Aceptar. Y lo
que haremos a continuación será renombrar este adaptador. Vamos a cambiar el nombre y le
pondremos Interna. Ahora ya sí tenemos preparada la infraestructura para poder llevar a cabo la
implementación del NAT.

Implementar NAT y los roles de enrutamiento y acceso remoto

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo

Vamos a ver cómo podemos llevar a cabo la implementación del rol de acceso remoto en
Windows Server 2019. Una vez instalado, haremos una configuración básica del mismo poniendo
en marcha el NAT. Por lo tanto, lo que vamos a hacer es venir a nuestra máquina y nos iremos,
dentro del Administrador del servidor, a Administrar > Agregar roles y características. Nos lanzará
el siguiente asistente, daremos a Siguiente, y en el Tipo de instalación, debemos escoger la
Instalación basada en características o en roles. Vamos a dar a Siguiente y seleccionaremos
nuestro servidor. Una vez aquí, nos muestra el listado con los diferentes roles que tenemos
disponibles. Debemos escoger el rol de Acceso remoto. Como podemos ver, ya ha incorporarado
aquí nuevos pasos que luego configuraremos. Vamos a darle a Siguiente. Aquí tenemos las
características adicionales, algunas de ellas las marca con la selección del rol puesto que son
dependientes, y le daremos a Siguiente. Una breve explicación del rol, y aquí tenemos los
diferentes servicios del rol. En nuestro caso, lo que vamos a seleccionar es el Enrutamiento, que
es, justamente, lo que queremos configurar. Vamos a agregar las características asociadas a este
servicio, y le daremos a Siguiente. Aquí está toda la configuración de IIS, la dejaremos por defecto,
y vamos a confirmar. En unos minutos, tendremos lista la instalación. Ya ha concluido, y desde
aquí, tenemos la posibilidad de abrir el asistente para configurarlo, pero en nuestro caso, lo que
haremos será ir directamente a la herramienta de administración. Por lo tanto, vamos a cerrar
aquí y nos vendremos a Herramientas y aquí encontramos Enrutamiento y acceso remoto. Vamos
a maximizar la ventana, y como podemos ver, el servicio no está en ejecución. Por lo tanto, lo que
debemos hacer es habilitarlo. Para ello, haremos clic derecho y seleccionaremos la acción de
Configurar y habilitar enrutamiento y acceso remoto. Esto nos va a lanzar el siguiente asistente. Si
le damos a Siguiente, vamos a encontrar las distintas opciones de configuración. Aquí podemos
seleccionar, por ejemplo, la configuración de acceso remoto, la de traducción de direcciones de
red o NAT, que es la que usaremos, también podemos configurar la VPN junto con NAT, también
hacer una conexión sitio a sitio o llevar a cabo una configuración personalizada. En nuestro caso,
seleccionaremos NAT. Ahora nos va a solicitar que indiquemos cuál es el interfaz que se conecta a
Internet. En este caso, el externo. Como podemos ver, aquí tenemos una descripción y los detalles
de este adaptador. Podemos ver que tenemos una dirección IP dinámica. Mi recomendación,
siempre, cuando usamos el enrutador, es que establezcamos una dirección IP estática, puesto que,
por ejemplo, cuando configuramos la VPN, vamos a necesitar redireccionar tráfico a esta
dirección. Por lo tanto, lo que voy a hacer es cancelar rápidamente y vamos a hacer este cambio
sobre la marcha. Venimos a las Propiedades del adaptador, vamos a cambiar la dirección, le vamos
a poner una estática. Ahora sí, vamos a cerrar, cerramos aquí, y vamos a darle de nuevo al
asistente, seleccionamos NAT, seleccionamos nuestro adaptador, donde ya vemos que nos
aparece la IP estática, vamos a darle a Siguiente, y aquí encontramos dos posibilidades. Podemos
hacer que nuestro enrutador sirva de DNS y también de DHCP o podemos hacer uso de estos
servicios de forma externa, con lo cual, vamos a seleccionar Configurar más adelante los servicios
de nombres y direcciones. De forma externa me refiero, por ejemplo, a hacer uso de estos
servicios a través de Active Directory. En nuestro caso, esta máquina no está unida al dominio,
pero sí que tenemos un directorio activo implementado, con lo cual, voy a seleccionar esta
posibilidad para luego pasar el parámetro a nuestros clientes. Vamos a darle a Finalizar y ya
tenemos el servicio levantado. Quedaría pendiente de darle un reinicio a la máquina puesto que,
por ejemplo, aquí vemos que no aparecen las opciones de NAT todavía. Una vez que hemos
reiniciado, lo que haremos será venir, nuevamente, a Herramientas, a Enrutamiento y acceso
remoto, y aquí ya podemos ver que tenemos el servicio levantado y funcionando. Ahora sí,
podemos comprobar que tenemos todas las opciones disponibles y también, si hacemos clic
derecho y vamos a Propiedades, sobre nuestro servidor encontramos toda la configuración, que
podemos, por supuesto, modificar.

Redes privadas virtuales (VPN) para usuarios

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo

Vamos a hacer una aproximación a las redes privadas virtuales desde la perspectiva de los
usuarios. Ya hemos hablado de la separación de la red pública y la red privada y hemos
mencionado brevemente las ventajas de seguridad de mantener ambas separadas. Dentro de
nuestro centro de datos, el NAT nos ayuda a trabajar con la información de la empresa, imprimir
documentos, etc., lejos de posibles miradas indiscretas del exterior al separar nuestro tráfico.
Ahora es el momento de considerar necesidades de negocio diferentes. Es cada vez más
frecuente, por no decir, lo habitual, que los usuarios requieran de acceso a la red privada cuando
están fuera de la oficina. Una solución clásica y ya completamente obsoleta, aunque aún es
funcional, sería realizar una conexión telefónica. En este caso, el equipo fuera de la oficina usaría
una línea analógica en lugar de la conexión de red para conectarla a la red privada. Como he dicho,
funcionar, funciona, pero es ridículamente lento, poco práctico y además, caro. Las redes privadas
virtuales usan el mismo concepto de diseño, pero en lugar de usar la red telefónica usaremos
internet, es decir, reemplazaremos esta línea de teléfono y lo que haremos será crear túneles a
través de internet. Para que esto funcione, una puerta de enlace en la oficina debe tener una
conexión que escuche constantemente las solicitudes entrantes. Cuando un usuario marca en esa
interfaz se autentica y el canal está asegurado. Por lo general, este canal lo encriptaremos y el
túnel se convierte en la conexión del equipo remoto a la red privada. El equipo remoto debe tener
una aplicación cliente que sepa cómo negociar el túnel con la puerta de enlace. Si estamos
utilizando una solución de VPN de terceros, probablemente hay una aplicación que debamos
instalar en nuestros clientes remotos. Si estamos utilizando la función de acceso remoto en un
servidor de Windows para nuestra de puerta de enlace, nuestras estaciones de trabajo de
Windows tendrán al cliente integrado a su sistema operativo. Luego pueden funcionar como si
estuvieran directamente conectados a la red de la oficina, acceder a archivos desde servidores,
imprimir en la oficina y realizar cualquier cantidad de tareas que de otro modo restringiríamos a
los equipos que residen físicamente en nuestra oficina. Esta es una configuración muy útil si
tenemos usuarios que teletrabajan, viajan, o simplemente, están desplazados en las oficinas de
cliente.

Conexiones VPN a la nube

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo

Vamos a hablar sobre las conexiones VPN a la nube. Los proveedores de la nube como Azure,
Google Cloud o Amazon se están volviendo cada vez más populares en un mundo donde las
empresas crecen y cambian más rápido que su capacidad de escalar los recursos de TI. También se
están volviendo cada vez más útiles, ya que, incluso, las pequeñas empresas se encuentran en la
necesidad de conectarse a los datos de sus empresas en todo el mundo. Todos tenemos ejemplos
de empresas que necesitan cubrir estas necesidades. Incluso con pocos empleados existen
compañías con múltiples oficinas en diferentes países y continentes. Una solución para guardar
este escenario anterior podría ser configurar una VPN de sitio a sitio entre las ubicaciones
principales, y las VPN de acceso remoto para los usuarios. Todo estaría direccionado a la oficina
principal. Y, por supuesto, conlleva una serie de desventajas. El escenario es un poco más
complejo. Esto podría tener problemas en ciertos países y, además, se crea un único punto de fallo
ubicado justo en la oficina principal. Un centro de datos o una colección de servidores podríamos
alojarla en uno de los proveedores de la nube como un sitio completamente separado para
nuestro negocio. Nuestras sucursales podrían configurar VPN punto a punto para el centro de
datos en la nube. Esto tiene una ventaja sobre el alojamiento de los servidores en un sitio en
nuestras instalaciones porque estos proveedores de la nube pueden escalar rápida y fácilmente el
ancho de banda y la potencia del servidor necesario según sea conveniente. En muchos casos, el
enrutador en el perímetro de nuestros centros de datos en la nube es una aplicación o un rol de
servidor como el de enrutamiento y acceso remoto que hemos estado viendo. Y esto abre un
mundo completamente nuevo de redes definidas por software o SDN. La puerta de enlace a la
mayoría de los proveedores de la nube tendrá muchas más opciones para el equilibrio de carga, la
seguridad de la conexión, la seguridad de los datos y más. El túnel hacia un centro de datos basado
en la nube probablemente usará protocolos comunes de redes privadas virtuales. Usando el
intercambio de claves de Internet o IKE como método de autenticación en el sitio. Esto realiza la
misma función que un usuario que se autentica con una contraseña o certificado. El túnel se
asegurará usando los mismos tipos de opciones en cualquier otro VPN o acceso remoto punto a
punto. Hay muchos protocolos diferentes que hacen que todo esto funcione.

Protocolos usados por el enrutamiento y acceso remoto

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo

Hablaremos a continuación de los protocolos utilizados en el enrutamiento y acceso remoto.

Cuando comenzamos a configurar un VPN, veremos que hay varios tipos de protocolos que
usaremos. Cuando consideramos que un VPN está superponiendo la comunicación privada dentro
de una red pública, no debe sorprendernos que haya protocolos o conjuntos de reglas en cada
capa. Además de los protocolos de transporte, que llevan los datos de un extremo a otro, también
hay protocolos de conexión y seguridad para asegurarnos de que se realiza correctamente. El
protocolo más común para conectar ordenadores a través de internet es el protocolo punto a
punto o PPP. El primer protocolo de conexión utilizado para hacer túneles a través de conexiones
PPP fue el protocolo de túnel punto a punto o PPTP, de Point-to-Point Tunneling Protocol. Y
cuando se introdujo, en 1995, la mayoría de las conexiones a internet se realizaban a través de
líneas telefónicas. Eran extremadamente lentos, por lo que era importante utilizar ese
rendimiento de manera eficiente. PPTP no agregó mucho al proceso, por lo que funcionó bien; el
problema es que tampoco se añadió mucha más seguridad, y esta protección fue hackeada hace
mucho tiempo. PPTP sigue siendo una opción muy rápida, pero no es segura. Han surgido un par
de protocolos de conexión más nuevos que proporcionan buenas conexiones, pero en sí mismos
no contienen ningún cifrado o característica de seguridad; el protocolo de túnel de capa 2 o L2TP,
del inglés Layer 2 Tunneling Protocol, y el intercambio de claves de internet, IKE, del inglés
Internet Key Exchange, fueron creados por Microsoft con la ayuda de Cisco. L2TP se usó
principalmente para VPN de acceso remoto con estaciones de trabajo tradicionales. Y la versión
actual de IKE es más popular con VPN y conexiones de sitio a sitio desde dispositivos móviles.
Debido a que estos dos protocolos no tienen seguridad más allá de autenticar la conexión,
generalmente están emparejados con protocolos de encriptación para proteger los datos mientras
atraviesan internet. Una cosa es requerir una contraseña para acceder y otra completamente
distinta es proteger los datos de miradas indiscretas una vez que una solicitud aprobada comience
a transmitirse a través de una red pública. La seguridad IP o IPSec, del inglés Internet Protocol
Security, es el protocolo de encriptación más común para proporcionar esta protección. Y hay otro
protocolo que se ha vuelto popular en los últimos años. Microsoft creó el protocolo de túnel de
sockets seguros o SSTP, del inglés Security Socket Tunneling Protocol, en Windows Vista y en todas
las versiones de Windows desde entonces. SSTP aprovecha las propiedades de cifrado y
autenticación de los certificados SSL y las muchas formas en que los certificados están disponibles.
Para las VPN de acceso remoto, SSTP se puede configurar para ver un certificado en la tarjeta
inteligente de un usuario. Y en otros escenarios, podemos hacer referencia a un certificado que se
ha instalado en el almacén personal de un equipo o al perfil de un dispositivo móvil. Cada uno de
estos protocolos tiene sus propias fortalezas y debilidades. La elección correcta para nuestro VPN
comienza sabiendo qué tipo de tráfico deseamos proteger.

https://www.linkedin.com/learning/windows-server-2019-soluciones-de-acceso-remoto/quiz/
urn:li:learningApiAssessment:1236433?autoplay=true&resume=false