UT03: Implantación de técnicas de acceso

remoto. Seguridad perimetral – 6 - A)

Servidor VPN L2TP/IPSEC.

Nombre: Francisco Jesús García – Uceda Díaz - Albo

Curso: 2º ASIR.

Índice

Introducción .................................................................................................................................. 2
6. VPN sobre red local ................................................................................................................... 2
a) Protocolo L2TP/PPTP. Instalación de un servidor VPN en Windows. Acceso desde cliente. . 2
- ¿Qué es L2TP? ................................................................................................................... 2
- Configuración de un servidor VPN l2TP/IPSEC en Windows Server 2016 .......................... 2
Conclusión ................................................................................................................................... 18

P á g i n a 1 | 18
Introducción

En esta práctica aprenderemos a configurar un servidor VPN L2TP/IPSEC, para ello, lo

realizaremos en Windows Server 2016. Aprenderemos sobre este protocolo y sus grandes
diferencias con PPPTP.

6. VPN sobre red local

a) Protocolo L2TP/PPTP. Instalación de un servidor VPN en Windows. Acceso desde

cliente.

- ¿Qué es L2TP?

El Protocolo de Layer 2 Tunneling Protocol (L2TP) es un protocolo de túnel utilizado para soportar
la red virtual privada (VPN) o como parte de un servicio de entrega por ISPs. No provee ningún
servicio de encriptación o confidencialidad por sí mismo. Se basa en un protocolo de encriptación
(como IPSec) que pasa a través del túnel para proveer privacidad.

Internet Protocol Security (IPSec) es una suite de protocolos tecnológicos para asegurar las
comunicaciones IP, autentifica y encripta cada uno de los paquetes IP de una sesión de
comunicación. IPSec también incluye protocolos para establecer procesos de autentificación
mutua entre los agentes al comienzo de cada sesión y la negociación de claves criptográficas para
ser usadas durante la sesión.

- Configuración de un servidor VPN l2TP/IPSEC en Windows Server 2016

Vamos al Administrador de servicios y pulsamos en Agregar roles y características.

P á g i n a 2 | 18
Se nos abrirá el asistente.

Dejamos la opción por defecto y pulsamos en siguiente.

Escogemos el servidor donde lo queremos instalar.

P á g i n a 3 | 18
MUY IMPORTANTE. En los roles instalaremos el de Acceso remoto.

No instalamos ninguna característica y pulsamos en Siguiente.

P á g i n a 4 | 18
En los servicios de rol de acceso remoto marcaremos los 3 disponibles.

Dejamos los roles de IIS como están y pulsamos en siguiente.

P á g i n a 5 | 18
Instalamos todo y esperamos a que se instale.

Con esto conseguimos activar el servicio remoto y de Nat, para acceder desde el exterior.

Ahora toca crear usuarios, para ello, abrimos la herramienta "Usuarios y equipos de Active
Directory" que se encuentra en el menú "Herramientas" de la ventana de "Administrador del
servidor". O bién lo buscaremos en el menú Inicio.

Una vez abierta dicha ventana, haremos clic sobre el servidor (1), luego en Users (2) y finalmente
en el icono de crear nuevo usuario (3). Antes de crear el nuevo usuario, podemos crear una nueva
unidad administrativa para organizar el tipo de usuarios.

P á g i n a 6 | 18
Rellenamos los datos del usuario y le ponemos una contraseña.

Podemos ver el usuario nuevo creado.

P á g i n a 7 | 18
Lo siguiente es seleccionar el usuario que acabamos de crear, hacemos clic derecho y elegimos
"Propiedades". En esta nueva ventana, seleccionamos la pestaña "Marcado" y dentro del primer
bloque "Permiso de acceso a redes" elegimos la primera opción (Permitir acceso). Con esto, el
usuario VPN tiene posibilidad de acceder remotamente al servidor.

La siguiente parte es configurar el acceso remoto. Abrimos "Administración de acceso remoto"

en las "Herramientas" del Administrador del servidor o búscandolo en el menú Inicio. Al abrirlo
es posible que nos salga directamente el asistente de configuración, pero en caso contrario
debemos hacer clic sobre la opción "DirectAccess y VPN" hubicado en el lado izquierdo superior,
y luego darle a "Ejecutar el Asistente para introducción.

P á g i n a 8 | 18
Seleccionamos la última opción (Implementar solo VPN).

En la nueva ventana, tenemos que hacer clic derecho sobre el nombre de nuestro servidor y luego
escoger "Configurar y habilitar Enrutamiento y acceso remoto".

En el asistente que nos abre pulsaremos en Siguiente y luego nos saldrá una ventana en la que
nos permite elegir el tipo. Este dependerá de si tenemos un servidor de enrutamiento o si esta
máquina es la que lo hará todo. En este ejemplo escogemos la opción "Personalizar" ya que
escogeremos en función de lo que necesitemos.

P á g i n a 9 | 18
Seleccionamos “Acceso a VPN”.

Finalizamos e iniciamos el servicio.

P á g i n a 10 | 18
Podemos ver como esta activo.

Desde este momento, ya tenemos configurado el acceso por VPN al servidor mediante PPTP. Lo
podemos probar con una red externa mediante la IP pública, o bien mediante la IP privada del
servidor estando dentro de la misma red. Como lo que queremos es configurar L2TP/IPSEC
seguimos configurando.

En el panel de Enrutamiento y acceso remoto hacemos clic derecho sobre el nombre del servidor
y elegimos "Propiedades".

En la ventana que nos aparece le damos a la pestaña "Seguridad". Marcamos la opción "Permitir
la directiva IPsec personalizada para la conexión L2TP/IKEv2" y luego escribimos una clave de paso
en "Clave previamente compartida:".

P á g i n a 11 | 18
Por último, configuraremos un rango de IPv4 en la red para otorgar a los clientes que se conecten.

Aceptamos y ahora tenemos que reiniciar. Para ello, hacemos clic en la barra superior sobre
"Acción > Todas las tareas > Reiniciar". Ya tendríamos configurado el servidor VPN por L2TP.

P á g i n a 12 | 18
Como última configuración deberemos saber que si el servidor VPN está detrás de un NAT y el
cliente VPN está detrás de un NAT, esto podría causar un problema porque aparentemente "por
defecto Windows no admite asociaciones de seguridad de la traducción de direcciones de red
IPSec (NAT) (NAT-T) a servidores que están ubicados detrás de un dispositivo NAT " , y esto
también se aplica a Windows 10.

El consejo de Microsoft que nos da es el siguiente "si tiene que poner un servidor detrás de un
dispositivo NAT y luego usar un entorno IPsec NAT-T, puede habilitar la comunicación cambiando
un valor de registro en la computadora cliente VPN y el servidor VPN ".

Para realizar esto, abriremos Powershell como Administrador e introduciremos el siguiente

comando en el cliente para poder conectarnos.

## -- Add registry key to support for L2TP communications via double

NAT
Set-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Services\PolicyAgent" -
Name "AssumeUDPEncapsulationContextOnSendRule" -Type DWORD -Value 2 –Force;

En caso de querer borrar la directiva simplemente deberemos poner este comando en Powershell
como Administrador.
## -- Remove registry key for L2TP communications support via double NAT

Remove-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Services\PolicyAgent" -Name

"AssumeUDPEncapsulationContextOnSendRule" –Force;

Lo probaremos desde la red interna primeramente, accedemos por la IP interna del equipo.

P á g i n a 13 | 18
Introducimos el usuario y contraseña que configuramos.

Vemos que se conecta correctamente y nos proporciona el rango correcto configurado.

Lo siguiente que haremos es configurar en el router los puertos necesarios para que se pueda
acceder a la VPN desde Internet.

P á g i n a 14 | 18
Ahora para probarlo desde fuera de la red, le mando los datos a mi compañero Alex Valdepeñas
para que pueda acceder desde su casa a la VPN mediante L2TP. Vemos como accede
correctamente por el móvil.

Le pido también a mi compañero Carlos que se conecte por el móvil también. Vemos que se
conecta exitosamente.

Por último, le pido de nuevo a Alex Valdepeñas que pruebe desde su equipo personal Windows
10 a entrar a mi VPN para hacer más verificaciones.

P á g i n a 15 | 18
Me pasa captura de la configuración que realizo. Ponemos un nombre, la IP del servidor, clave
compartida, usuario y por supuesto protocolo L2TP/IPSec con clave precompartida.

Prueba a conectarse y se conecta exitosamente.

Le pido que haga un IPConfig para comprobar que realmente le da la una IP del rango que
configure y, efectivamente, le da correctamente una IP de ese rango. (Si, en mi casa uso también
la 192.168.70.X).

P á g i n a 16 | 18
Desde el servidor VPN le puedo controlar, vemos su conexión entrante con el cliente VPN en
estado conectado. Podemos ver su dirección pública y el protocolo en el que se ha conectado
(L2TP),

Si hacemos doble clic en el podemos ver información detallada de la conexión. Podemos ver que
este activo, la IP que le da o el método de autenticación.

Podemos ver como se conecta por L2TP, su IP pública o el nombre de usuario utilizado.

P á g i n a 17 | 18
Conclusión

La práctica ha costado a todos en general. No es que sea difícil configurarlo (y en internet hay
mucha información), pero Windows en general no le gusta que se use IPSec y nos hemos
encontrado con diversos problemas que, aunque con la práctica parezca que esto se hace en 2h
(y se puede hacer en 2h con la práctica) nosotros hemos tardado unos pocos días. En general lo
aprendido en esta práctica es muy necesario y útil saber realizarlo. A pesar de todos los fallos,
creo que todos disfrutamos al final al ver como funcionaba.

P á g i n a 18 | 18