Configurar y optimizar VPN en Windows

Server 2016 / 2019

Quizás una de las formas más comunes y seguras con las que contamos para todo el tema de
conectividad entre equipos de manera remota es usando VPN (Virtual Private Network – Red
Privada Virtual). Una VPN nos permite establecer una conexión segura a otra red de forma práctica,
sencilla y segura de modo que todos los dispositivos que se conecten en esa red automáticamente
quedan vinculados a la red del equipo VPN. Podemos decir que una VPN es crear una especie de
extensión segura y privada para podernos conectar a Internet y así proteger nuestra información ya
que viaja de forma cifrada. Además, hay ocasiones que, si necesitamos saltar algún tipo de
restricción geográfica por IP, crear VPN Windows Server 2016 o Server 2019 nos solucionará el
problema.

Además toda la información que se distribuye en la misma quedará protegida gracias a los
protocolos de VPN. Una conexión VPN nos aporta un ahorro importante en cuanto a infraestructura
ya que usaremos la conexión a Internet para permitir conectar un servidor y un equipo fácilmente. El
uso de VPN nos aporta una conexión mucha más sencillas y una serie de ventajas cómo un nivel de
seguridad mucho más alto mejorando con ello nuestra privacidad. Por eso configurar VPN Windows
Server 2016 o Server 2019 nos puede ayudar en multitud de tareas.
¿Cuándo usar VPN?

Podemos crear VPN Windows Server en los siguientes casos:

 Acceder a una red de trabajo o de hogar cuando no estamos en el lugar físico.

 Proteger los datos de navegación actuales.
 Acceder a sitios con bloqueo geográfico.
 Evitar censura en Internet, entre muchas otras razones.

Analizaremos cómo podemos implementar un servidor VPN en Windows Server 2016 y de esta
manera extender las capacidades y beneficios de nuestros servidores Windows Server 2016.
Algunas de las razones por las cuales podemos crear VPN Windows Server 2016 son las
siguientes:
Ventajas de VPN en Windows Server

 Baja reducción de costes

 Administración centralizada
 Implementación y configuración sencilla

A continuación, veremos paso a paso como crear VPN Windows Server 2016 y configurar VPN
Windows Server 2016.

1 Crear VPN Windows Server 2016, Windows Server 2019

Paso 1
Para iniciar el proceso accederemos a el Administrador del servidor y allí seleccionamos la opción
Agregar roles y características.

En las ventanas iniciales debemos seleccionar la opción Instalación basada en roles y

características, posteriormente seleccionar el servidor y en la ventana siguiente seleccionaremos el
rol Acceso remoto.
Paso 2
Pulsamos Siguiente y en la ventana de Características no debemos añadir ninguna. Pulsamos
Siguiente y veremos una descripción del rol a instalar en Windows Server 2016.

Paso 3
Pulsamos de nuevo en Siguiente y veremos la siguiente ventana donde debemos elegir el tipo de
servicio que será implementado con el rol, tenemos las siguientes opciones:
DirectAccess y VPN (RAS)

Con esta opción podemos obtener acceso desde redes externas usando la tecnología DirectAccess
o VPN.
Enrutamiento

Esta opción permite que el servidor con Windows Server 2016 cumpla la función de un router.
Proxy de aplicación web
Esta opción cumple la función de publicar aplicaciones basadas en la web.
En este caso seleccionamos la opción DirectAccess y en el mensaje desplegado acerca de las
características que serán añadidas pulsamos en la opción Agregar características.
Paso 4
Pulsamos Siguiente y en la ventana desplegada debemos seleccionar la opción Instalar para iniciar
el proceso de instalación del rol.
Paso 5
Comenzará el proceso de instalación del rol de Acceso Remoto en Windows Server 2016.
Paso 6
Una vez la instalación del rol haya concluido podremos ver en la pantalla principal de Administrador
del servidor una advertencia, la cual debemos seleccionar, para configurar los parámetros de
DirectAccess y VPN.

Nota
El proceso de implementación del rol de VPN podemos ejecutarlo a través de Windows PowerShell
usando el siguiente cmdlet:

Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools

2 Configurar VPN Windows Server 2016, Windows Server 2019

Paso 1

Pulsamos en la línea Abrir el asistente para introducción y se desplegará el siguiente asistente.

Allí debemos definir qué tipo de acceso hemos de implementar, contamos con las siguientes
opciones:

Implementar DirectAccess y VPN

Esta opción nos permite establecer los parámetros tanto a nivel de DirectAccess como de VPN en
el servidor.

Implementar solo DirectAccess Usando esta opción podemos configurar los valores de
DirectAccess en el servidor.
Implementar solo VPN Con esta opción configuraremos el VPN en el servidor únicamente.
Paso 2
En este caso seleccionamos la opción Implementar DirectAccess y VPN y el sistema iniciará el
análisis de requisitos previos.
Paso 3
Una vez se hayan comprobado los requisitos mínimos para la correcta implementación de VPN y
DirectAccess veremos la siguiente ventana.

Paso 4

Allí contamos con las siguientes opciones de tipología:

Perimetral
Es aquella donde el servidor cuenta con dos tarjetas de red físicas, una para las conexiones
externas y otra para las conexiones internas.
Detrás de un dispositivo perimetral (con dos adaptadores de red)

Esta tipología es similar a la anterior con la única diferencia que una de las tarjetas no está
conectada a la red pública sino a una DMZ.
Tras un dispositivo perimetral

Con esta tipología solamente contamos con un servidor el cual está protegido por el Firewall.
Adicionalmente indicaremos el nombre o la dirección IP del equipo que tendrá los roles de VPN.
En este caso seleccionamos la tercera opción y una vez definida la dirección IP pulsamos Siguiente
y veremos lo siguiente.
Paso 5

Si deseamos validar todos los parámetros de la configuración podemos pulsar sobre el botón aquí
ubicado en la parte superior. Pulsamos Finalizar para salir del asistente. Para acceder a esta
consola iremos a la siguiente ruta:

 Administrador del servidor

 Herramientas
 Administración de acceso remoto
Paso 6
Allí daremos clic sobre la opción Abrir administración de RRAS ubicada en el panel derecho.
Veremos lo siguiente.
Paso 7
Allí daremos clic derecho sobre el nombre del servidor y seleccionamos la opción Configurar y
habilitar Enrutamiento y acceso remoto.
Paso 8
Veremos el siguiente asistente.
Paso 9
Pulsamos Siguiente y en la ventana desplegada seleccionaremos la primera opción Acceso remoto.
Paso 10
Pulsamos nuevamente Siguiente y en la ventana siguiente debemos activar la casilla VPN.
Paso 11
Pulsamos de nuevo Siguiente y debemos seleccionar la tarjeta de red que tiene salida a Internet y
pulsamos de nuevo Siguiente.

Nota
Debemos asegurarnos que la opción Habilitar seguridad en la interfaz esté activa.
Paso 12
A continuación, definimos cómo se otorgarán las direcciones IP a los equipos cliente, en este caso
seleccionamos la opción Automáticamente.
Paso 13
Al pulsar Siguiente debemos definir si el servidor trabajará con el estándar RADIUS.
Paso 14
Pulsamos Siguiente y veremos que ha finalizado el proceso de configuración.
Paso 15
Pulsamos Finalizar para salir del asistente. Veremos que se han establecido los diversos
parámetros del Acceso remoto.
3 Configurar NPS en Windows Server 2016, Windows Server 2019

Una vez establecidos estos valores debemos hacer los ajustes de NPS el cual nos permitirá
configurar el servidor de directivas de redes.

Paso 1

Daremos clic derecho en la línea Directivas y registro de acceso remoto y seleccionamos la opción
Iniciar NPS.
Paso 2
En la ventana desplegada daremos clic derecho sobre Directivas de red y seleccionamos la opción
Nuevo.
Paso 3
Especificamos un nombre a la directiva y del campo Tipo de servidor de acceso a la red
seleccionamos la opción Servidor de acceso remoto (VPN o acceso telefónico).
Paso 4
Pulsamos Siguiente y en la ventana llamada Especificar condiciones pulsamos en Agregar y
seleccionamos la opción Grupos de Windows. Pulsamos Agregar.
Paso 5
Posteriormente veremos la ventana Grupos y allí pulsaremos en la opción Agregar grupos y
adicionaremos los grupos que cuentan con permiso para el acceso vía VPN.

Paso 6
Pulsamos Aceptar para agregar el grupo, pulsamos Siguiente y en la ventana desplegada debemos
especificar el tipo de permiso a asignar, en este caso seleccionamos Acceso concedido.
Paso 7
Al pulsar nuevamente Siguiente debemos definir el tipo de EAP el cual permitirá definir el método de
autenticación, por defecto no viene ninguno establecido. Daremos clic en Agregar y de la lista
desplegada seleccionamos la opción Microsoft: Contraseña segura (EAP-MSCHAP v2).
Paso 8
Pulsamos de nuevo Siguiente y debemos configurar los niveles de restricción que tendrán las
conexiones VPN al servidor.
Paso 9
Definimos las que consideremos necesarias y pulsamos Siguiente para ver un resumen de la nueva
directiva. Pulsamos en Finalizar para salir del asistente.
4 Conectar desde el cliente al servidor vía VPN en Windows Server 2016

Con todos estos valores definidos nos resta hacer la respectiva configuración parea la conexión a
través de VPN al servidor, en este caso haremos la conexión desde Windows 10.
Paso 1
Para ello vamos al menú Configuración y seleccionaremos la opción Red e Internet en la ventana
desplegada.
Paso 2
A continuación, pulsaremos VPN y seleccionaremos la opción Agregar una conexión VPN.
Paso 3
En la ventana desplegada debemos configurar los valores según lo hayamos configurado.
Paso 4
Pulsamos en Guardar para definir esta conexión. Veremos nuestra nueva VPN creada de forma
correcta.
Paso 5
Para conectarnos seleccionamos la VPN y en los botones desplegados elegimos Conectar.
Paso 6
Al pulsar Conectar iniciará el proceso de conexión y veremos la ventana donde debemos agregar
las credenciales de acceso al servidor.

Paso 7

Pulsamos en Aceptar para continuar la conexión. Veremos que nos hemos conectado de forma
correcta.
5 Optimizar conexión VPN Windows Server 2016, Windows Server 2019

Por defecto los protocolos que soporta Windows Server 2016 en sus conexiones VPN son los
siguientes.
PPPT
Protocolo de Túneles de Punto a Punto.

L2TP
Protocolo de Túnel Capa 2
SSTP
Protocolo de Túneles de Seguridad en Sockets.

IKEv2
Llave de Internet Exchange versión 2

Por razones de seguridad vamos a configurar estos puertos para optimizar el rendimiento y
seguridad de las conexiones VPN en Windows Server 2016.
6 Deshabilitar puerto PPPT en Windows Server 2016, Windows Server 2019

Paso 1
Para esto vamos a la opción Puertos, damos clic derecho y seleccionamos la opción Propiedades.
Paso 2
Seleccionamos el puerto PPTP y pulsamos en Configurar.
Paso 3
En la ventana desplegada desmarcamos las casillas:

 Conexiones de acceso remoto (solo de entrada)

 Conexiones de enrutamiento de marcado a petición (de entrada y salida)
 Pulsamos Aceptar para guardar los cambios.
7 Configurar protocolo SSTP Windows Server 2016, Windows Server 2019

Para esta configuración debemos dar clic derecho sobre el nombre del servidor VPN y seleccionar
la opción Propiedades y allí vamos a la pestaña Seguridad y en la parte inferior debemos elegir el
certificado de nuestro servidor.

Realizando estos pequeños ajustes mejoraremos de forma notable la seguridad y conectividad de

las conexiones VPN entrantes en Windows Server 2016. Usando estos métodos tendremos un
servidor VPN seguro, accesible y con grandes beneficios a nivel de gestión para nuestras tareas
como personal de soporte y gestión IT.