Configurar y optimizar VPN en Windows

Server 2016 y Server 2019

Tutorial para crear VPN Windows Server 2016 o Server 2019 y Configurar VPN Windows
Server 2016 o Server 2019.

Apartados del Tutorial

1 Crear VPN Windows Server 2016, 2019

2 Configurar VPN Windows Server 2016, 2019

3 Configurar NPS en Windows Server 2016, 2019

4 Conectar desde el cliente al servidor con VPN

5 Optimizar conexión VPN en Windows Server 2016, 2019

6 Deshabilitar puerto PPPT Windows Server 2016, 2019

7 Configurar protocolo SSTP Windows Server 2016, 2019

¿Cuándo usar VPN?

Podemos crear VPN Windows Server en los siguientes casos:

 Acceder a una red de trabajo o de hogar cuando no estamos en el lugar físico.

 Proteger los datos de navegación actuales.

 Acceder a sitios con bloqueo geográfico.

 Evitar censura en Internet, entre muchas otras razones.

Hoy analizaremos cómo podemos implementar un servidor VPN en Windows Server 2016
y de esta manera extender las capacidades y beneficios de nuestros servidores Windows
Server 2016. Algunas de las razones por las cuales podemos crear VPN Windows Server
2016 son las siguientes:

 
Ventajas de VPN en Windows Server

 Baja reducción de costes

 Administración centralizada

 Implementación y configuración sencilla

A continuación, veremos paso a paso como crear VPN Windows Server 2016 y configurar
VPN Windows Server 2016.

Crear VPN Windows Server 2016, Windows Server 2019

Paso 1

Para iniciar el proceso accederemos a el Administrador del servidor y allí seleccionamos la

opción Agregar roles y características.

En las ventanas iniciales debemos seleccionar la opción Instalación basada en roles y

características, posteriormente seleccionar el servidor y en la ventana siguiente
seleccionaremos el rol Acceso remoto.

 
 

Paso 2

Pulsamos Siguiente y en la ventana de Características no debemos añadir ninguna.

Pulsamos Siguiente y veremos una descripción del rol a instalar en Windows Server 2016.

 
 

Paso 3

Pulsamos de nuevo en Siguiente y veremos la siguiente ventana donde debemos elegir el

tipo de servicio que será implementado con el rol, tenemos las siguientes opciones:

DirectAccess y VPN (RAS)

Con esta opción podemos obtener acceso desde redes externas usando la tecnología
DirectAccess o VPN.

Enrutamiento

Esta opción permite que el servidor con Windows Server 2016 cumpla la función de un
router.

 
Proxy de aplicación web

Esta opción cumple la función de publicar aplicaciones basadas en la web.

En este caso seleccionamos la opción DirectAccess y en el mensaje desplegado acerca de
las características que serán añadidas pulsamos en la opción Agregar características.

Paso 4

Pulsamos Siguiente y en la ventana desplegada debemos seleccionar la opción Instalar para

iniciar el proceso de instalación del rol.

 
 

Paso 5

Comenzará el proceso de instalación del rol de Acceso Remoto en Windows Server 2016.

 
 

Paso 6

Una vez la instalación del rol haya concluido podremos ver en la pantalla principal de
Administrador del servidor una advertencia, la cual debemos seleccionar, para configurar
los parámetros de DirectAccess y VPN.

 
 

Nota

El proceso de implementación del rol de VPN podemos ejecutarlo a través de Windows

PowerShell usando el siguiente cmdlet:

Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools

Configurar VPN Windows Server 2016, Windows Server 2019

Paso 1

Pulsamos en la línea Abrir el asistente para introducción y se desplegará el siguiente

asistente.

 
 

Allí debemos definir qué tipo de acceso hemos de implementar, contamos con las
siguientes opciones:

Implementar DirectAccess y VPN

Esta opción nos permite establecer los parámetros tanto a nivel de DirectAccess como de
VPN en el servidor.

Implementar solo DirectAccess

Usando esta opción podemos configurar los valores de DirectAccess en el servidor.

Implementar solo VPN

Con esta opción configuraremos el VPN en el servidor únicamente.

 

Paso 2

En este caso seleccionamos la opción Implementar DirectAccess y VPN y el sistema

iniciará el análisis de requisitos previos.

Paso 3

Una vez se hayan comprobado los requisitos mínimos para la correcta implementación de
VPN y DirectAccess veremos la siguiente ventana.

 
 

Paso 4

Allí contamos con las siguientes opciones de tipología:

Perimetral

Es aquella donde el servidor cuenta con dos tarjetas de red físicas, una para las conexiones
externas y otra para las conexiones internas.

Detrás de un dispositivo perimetral (con dos adaptadores de red)

Esta tipología es similar a la anterior con la única diferencia que una de las tarjetas no está
conectada a la red pública sino a una DMZ.

 
Tras un dispositivo perimetral

Con esta tipología solamente contamos con un servidor el cual está protegido por el
Firewall. Adicionalmente indicaremos el nombre o la dirección IP del equipo que tendrá los
roles de VPN.
En este caso seleccionamos la tercera opción y una vez definida la dirección IP pulsamos
Siguiente y veremos lo siguiente.

Paso 5

Si deseamos validar todos los parámetros de la configuración podemos pulsar sobre el

botón aquí ubicado en la parte superior. Pulsamos Finalizar para salir del asistente. Para
acceder a esta consola iremos a la siguiente ruta:
 

 Administrador del servidor

 Herramientas

 Administración de acceso remoto

 
 

Paso 6

Allí daremos clic sobre la opción Abrir administración de RRAS ubicada en el panel
derecho. Veremos lo siguiente.

Paso 7

Allí daremos clic derecho sobre el nombre del servidor y seleccionamos la opción
Configurar y habilitar Enrutamiento y acceso remoto.

 
 

Paso 8

Veremos el siguiente asistente.

 
 

Paso 9

Pulsamos Siguiente y en la ventana desplegada seleccionaremos la primera opción Acceso

remoto.

 
 

Paso 10

Pulsamos nuevamente Siguiente y en la ventana siguiente debemos activar la casilla VPN.

 
 

Paso 11

Pulsamos de nuevo Siguiente y debemos seleccionar la tarjeta de red que tiene salida a
Internet y pulsamos de nuevo Siguiente.

 
 

Nota

Debemos asegurarnos que la opción Habilitar seguridad en la interfaz esté activa.

Paso 12

A continuación, definimos cómo se otorgarán las direcciones IP a los equipos cliente, en

este caso seleccionamos la opción Automáticamente.

 
 

Paso 13

Al pulsar Siguiente debemos definir si el servidor trabajará con el estándar RADIUS.

 
 

Paso 14

Pulsamos Siguiente y veremos que ha finalizado el proceso de configuración.

 
 

Paso 15

Pulsamos Finalizar para salir del asistente. Veremos que se han establecido los diversos
parámetros del Acceso remoto.

 
3

Configurar NPS en Windows Server 2016, Windows Server 2019

Una vez establecidos estos valores debemos hacer los ajustes de NPS el cual nos permitirá
configurar el servidor de directivas de redes.

Paso 1

Daremos clic derecho en la línea Directivas y registro de acceso remoto y seleccionamos la

opción Iniciar NPS.

 
 

Paso 2

En la ventana desplegada daremos clic derecho sobre Directivas de red y seleccionamos la

opción Nuevo.

 
 

Paso 3

Especificamos un nombre a la directiva y del campo Tipo de servidor de acceso a la red

seleccionamos la opción Servidor de acceso remoto (VPN o acceso telefónico).

 
 

Paso 4

Pulsamos Siguiente y en la ventana llamada Especificar condiciones pulsamos en Agregar y

seleccionamos la opción Grupos de Windows. Pulsamos Agregar.

 
 

Paso 5

Posteriormente veremos la ventana Grupos y allí pulsaremos en la opción Agregar grupos y

adicionaremos los grupos que cuentan con permiso para el acceso vía VPN.

 
 

Paso 6

Pulsamos Aceptar para agregar el grupo, pulsamos Siguiente y en la ventana desplegada

debemos especificar el tipo de permiso a asignar, en este caso seleccionamos Acceso
concedido.

 
Paso 7

Al pulsar nuevamente Siguiente debemos definir el tipo de EAP el cual permitirá definir el
método de autenticación, por defecto no viene ninguno establecido. Daremos clic en
Agregar y de la lista desplegada seleccionamos la opción Microsoft: Contraseña segura
(EAP-MSCHAP v2).

Paso 8

Pulsamos de nuevo Siguiente y debemos configurar los niveles de restricción que tendrán
las conexiones VPN al servidor.

 
 

Paso 9

Definimos las que consideremos necesarias y pulsamos Siguiente para ver un resumen de la
nueva directiva. Pulsamos en Finalizar para salir del asistente.

 
4

Conectar desde el cliente al servidor vía VPN en Windows Server 2016

Con todos estos valores definidos nos resta hacer la respectiva configuración parea la
conexión a través de VPN al servidor, en este caso haremos la conexión desde Windows
10.

Paso 1

Para ello vamos al menú Configuración y seleccionaremos la opción Red e Internet en la

ventana desplegada.
 

Paso 2

A continuación, pulsaremos VPN y seleccionaremos la opción Agregar una conexión VPN.

 
 

Paso 3

En la ventana desplegada debemos configurar los valores según lo hayamos configurado.

 
 

Paso 4

Pulsamos en Guardar para definir esta conexión. Veremos nuestra nueva VPN creada de
forma correcta.

 
 

Paso 5

Para conectarnos seleccionamos la VPN y en los botones desplegados elegimos Conectar.

 
 

Paso 6

Al pulsar Conectar iniciará el proceso de conexión y veremos la ventana donde debemos

agregar las credenciales de acceso al servidor.

 
 

Paso 7

Pulsamos en Aceptar para continuar la conexión. Veremos que nos hemos conectado de
forma correcta.

 
5

Optimizar conexión VPN Windows Server 2016, Windows Server 2019

Por defecto los protocolos que soporta Windows Server 2016 en sus conexiones VPN son
los siguientes.

PPPT

Protocolo de Túneles de Punto a Punto.

L2TP

Protocolo de Túnel Capa 2

SSTP

Protocolo de Túneles de Seguridad en Sockets.

IKEv2

Llave de Internet Exchange versión 2

Por razones de seguridad vamos a configurar estos puertos para optimizar el rendimiento y
seguridad de las conexiones VPN en Windows Server 2016.

Deshabilitar puerto PPPT en Windows Server 2016, Windows Server 2019

Paso 1

Para esto vamos a la opción Puertos, damos clic derecho y seleccionamos la opción
Propiedades.

 
 

Paso 2

Seleccionamos el puerto PPTP y pulsamos en Configurar.

 
 

Paso 3

En la ventana desplegada desmarcamos las casillas:

 Conexiones de acceso remoto (solo de entrada)

 Conexiones de enrutamiento de marcado a petición (de entrada y salida)

 Pulsamos Aceptar para guardar los cambios.

 
 

Configurar protocolo SSTP Windows Server 2016, Windows Server 2019

Para esta configuración debemos dar clic derecho sobre el nombre del servidor VPN y
seleccionar la opción Propiedades y allí vamos a la pestaña Seguridad y en la parte inferior
debemos elegir el certificado de nuestro servidor.

 
 

Realizando estos pequeños ajustes mejoraremos de forma notable la seguridad y

conectividad de las conexiones VPN entrantes en Windows Server 2016. Usando estos
métodos tendremos un servidor VPN seguro, accesible y con grandes beneficios a nivel de
gestión para nuestras tareas como personal de soporte y gestión IT.

Aprovechemos al máximo todos los beneficios de VPN Windows Server 2016. Si quieres
continuar sacándole partido a tu Windows Server con los servidores, aquí aprenderás a
cómo instalar y configurar un servidor VPN en Windows Server 2016 o Windows Server
2019.