Windows Server 2012 (R2): Configurar Servidor VPN

En esta nota veremos la configuración de un servidor para permitir la conexión de clientes desde ubicaciones remotas, con el método de uso más común como son las conexiones VPN

En esta primera nota sobre el tema desarrollaré el ejemplo más simple: autorización por usuario y protocolo PPTP. De acuerdo a la cantidad de visitas veré de complementarla con otras opciones, como ser: autorización por grupos u otras condiciones, y con otros protocolos

El tema lo he tratado con anterioridad, pero sobre Windows Server 2008 R2, y en esta nota lo actualizamos a Windows Server 2012 R2, que aunque conceptualmente es igual, hay cambios en la interfaz

La estructura que utilizaremos es simple, y aún se podría simplificar más, por ejemplo la carpeta compartida de prueba podría estar en DC1, y no se necesita la máquina SRV1, que yo he usado para que sea más completa la demostración

Como vemos en la figura anterior es muy sencilla la infraestructura necesaria de la que partiré: un Controlador de Dominio (DC1), un Cliente (CL1), y dos servidores miembros del Dominio (SRV1 y VPN), uno con dos interfaces de red, que simulan la red interna y la conexión a Internet. Al cliente lo conectaremos a esta simulada Internet para verificar la conexión.
Las configuración de IP se pueden ver en la figura, y el Dominio que estoy usando es el mismo de todas las notas “ad.guillermod.com.ar”

En el Dominio he creado un usuario de prueba (“User Uno”, “AD\u1”), y en SRV1 he creado una carpeta compartida accesible a este usuario

Comenzaremos trabajando sobre el servidor VPN, que es donde haremos toda la configuración, salvo la demostración de conexión del usuario

Observen en la siguiente figura que he renombrados las interfaces de red, una llamada “Interna” y otra “Externa”, esto es muy importante para evitar confusiones
Además, por más que tengamos el servidor protegido por cortafuegos es importante deshabilitar algunas cosas en la interfaz “Externa”: todo salvo TCP/IPv4 y por supuesto NetBIOS

Comenzaremos añadiendo la funcionalidad en la forma habitual, y siguiendo el asistente como muestran las siguientes figuras

Seleccionamos “Remote Access”

Observen los componentes adicionales que instalará, por ejemplo “Web server” (IIS) pues el sistema erróneamente supone que utilizaremos DirectAccess. Lamentablemente aunque no usemos ni configuremos DirectAccess, no se podrá remover este componente pues removerá también el acceso remoto por VPN

A mi entender es un problema ya que afecta y aumenta nuestra superficie de ataque en un servidor que seguramente estará expuesto casi directamente a Internet

Debemos iniciar el asistente, que demora unos segundos en arrancar, de otra forma aparecerá luego

Y comenzamos con la configuración

Es importante que hayamos renombrado las interfaces de red para así estar seguros cuál marcaremos como “Externa”, ya que además que será la única donde recibirá las conexiones entrantes, configurará el cortafuegos interno de Enrutamiento y Acceso Remoto para permitir *únicamente* los protocolos de VPN

Para seleccionar el rango de direcciones que se utilizará para VPN elijo especificar un rango ya que además de no tener servicio DHCP, prefiero un rango de direciones IP diferente al de la red interna. De esa forma es mucho más controlable el tráfico desde el cliente a la red interna, si necesitara hacerlo a futuro

Elijo diez direcciones de la red 172.16.0.0/16, pueden usar cualquier rango privado, y tengan en cuenta que podrán conectarse simultáneamente tantos clientes como direcciones IP menos una (para el servidor) como tengamos

Para esta demostración no utilizaremos RADIUS

Como es “histórico” nos dará el mensaje del “DHCP Relay Agent” que no necesitamos pues no hemos seleccionado DHCP (asignación automática)

¿¿¿Y esto???

Evidentemente se trata de que expiró un “time-out” pero no preocuparse, en cuanto miramos la consola vemos que el servicio ha arrancado. Quizás se deba sólo por el ambiente que estoy usando (todo virtualizado)

Vamos a IPv4 / General y observamos que la interfaz está creada

Si vamos a las propiedades de esta interfaz externa, podremos ver los filtros de IP creados, que como comentamos más arriba, permiten tanto de entrada como de salida *solamente* los protocolos de VPN
Esto seguramente muchos tendrán que modificarlo, pues al ser estos protocolos los únicos permitidos no tendrá ni siquiera posibilidad de navegar por Internet desde el servidor

Si el único protolo de VPN que vamos a utilizar, como en esta demostración, es PPTP, podemos eliminar todas las entradas salvo las referidas a TCP-1723 y protocolo GRE (ID 47)

Ahora comencemos a configurar el cliente. Lo muevo a la red que simula Internet, y le pongo una configuración IP adecuada a esta "Internet simulada"

Debemos crear la interfaz de la VPN para que el cliente se conecte a la red interna. A partir de Windows 8 hay varias formas de llegar a configurar una interfaz VPN, pero me mantengo con los pasos de Windows 7 (No me gusta y no me gusta la interfaz “Modern UI” y trato de evitarla todo lo que pueda)

¿Por qué Microsoft supone que una conexión VPN se puede hacer sólo al lugar de trabajo? 🙂
Hace tiempo, cuando todavía no existía la virtualización, recuerdo haber hecho conexiones VPN entre la red de mi casa, y la de un amigo; básicamente para poder hacer experiencias con más equipos

Ingresamos la dirección IP externa de nuestro servidor VPN, y un nombre para la conexión

Ya está creada

La selección de qué protocolo de VPN se utilizará para esta conexión está fijada en automático, lo cual hará que demore bastante en conectarse. Como con la configuración que hemos hecho anteriormente es sin ningún tipo de certificados, sólo podremos usar PPTP, así que conviene configurarlo directamente en las propiedades de la conexión

Con botón derecho elejimos conectarnos

Y tuvo que aparecer 🙂

Bueno, pulsamos la entrada y aparecerá el botón para conectarse

Ingresamos las credenciales del usuario de prueba

Y como era esperable recibimos el mensaje de error pues no hemos autorizado al usuario a ingresar en forma remota. Cabe aclarar que aún a la cuenta original de administrador hay que autorizarla para acceso remoto

Así que vamos al Controlador de Dominio, y en las propiedades del usuario, ficha “Dial-in” le asignamos la posibilidad de acceso remoto

Ejecutamos nuevamente el proceso de conexión, y veremos que ahora sí, ya se conecta

Si ejecutamos “IPCONFIG” veremos que tenemos dos direcciones IP, una correspondiente a la conexión a Internet, y la otra correspondiente a la VPN y que fue asignada por el servidor VPN

También podemos verificar que nos podemos conectar desde el cliente a los recursos compartidos de otros servidores (SRV1) que están en la red interna

Y además en el servidor VPN, podemos ver al cliente que está conectado

Por supuesto, en forma análoga a como hicimos para conectarnos, podemos desconectarnos

Hasta aquí hemos visto el procedimiento más simple: autorización por usuario y protocolo PPTP

Veré si a futuro hago la nota sobre autorización por condiciones específicas, por grupo por ejemplo, o con otros protocolos más seguros que PPTP pero más difíciles de implementar

Si alguien quiere ver cómo se puede hacer por L2TP+IPSec o SSTP o IKEv2 puede ver la siguentes notas, que aunque están hechas sobre Windows Server 2008 R2 el procedimiento es totalmente similar, sólo cambia la interfaz

Continuamos en la próxima nota "Windows Server 2012 (R2): Configurar Servidor VPN con “Network Policies”"

By Guillermo Delprato, on 14 abril, 2014 at 15:26, under Conectividad de Red, How To - Step-by-step - Paso a paso, Windows Server, Windows Server 2012, Windows Server 2012 R2. Tags: , , , , , . No hay comentarios
Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *