En la nota anterior (“Windows Server 2012 (R2): Configurar Servidor VPN”) hemos visto cómo configurar el servicio VPN (Virtual Private Networks) para permitir las conexiones remotas a la red de la forma más simple posible, aunque no la mejor para todos los casos, como es la autorización de acceso remoto usuario por usuario, y sin ningún tipo de restricción prácticamente
En esta ocasión, y usando la misma estructura creada, veremos la utilización de Network Policy Server (NPS) como servidor RADIUS, para facilitar y eventualmente limitar posibles restricciones. En este ejemplo desarrollaré la autorización mediante grupos de Active Directory, y mostraré algunas de las otras posibilidades
Recuerdo la infraestructura ya creada, y que hemos dejado en funcionamiento de la nota anterior
Para poder demostrar la autorización de acceso por grupos, he creado en el Dominio tres usuarios (u2, u3 y u4), y un grupo llamado “Acceso por VPN”, donde he incluido solamente a los dos primeros (u2 y u3). El objetivo es demostrar que sólo podrán acceder los que pertenecen al grupo en cuestión
Además, los usuarios creados han quedado con las propiedades por omisión, esto es, que el acceso será determinado por la “Network Policy”
Para alcanzar el objetivo propuesto en la nota necesitamos instalar en la red una nueva funcionalidad como es “Network Policy Server”, que se podría instalar en DC1, aunque para claridad y como conveniente lo haré en SRV1
Comenzamos instalando el rol en la forma habitual, como muestran las siguientes pantallas
Seleccionamos “Network Policy and Access Services” y agregamos las funcionalidades necesarias
Ya tenemos disponible la consola para configurar el servicio
Lo primero ha hacer es registrar al servidor en el Dominio. Lo que hace esto en realidad es incluir la cuenta de máquina en el grupo de Dominio “RAS and IAS Servers”, el que tiene permisos de leer la ficha “Dial-in” de los usuarios, a efectos de evaluar la autorización de acceso remoto
El sistema deberá reiniciar el servicio
Usaremos el asistente de configuración, ya que simplifica el proceso, elijiendo la opción que necesitamos
Y seguimos el asistente
Atención con la siguiente pantalla. Con el botón “Add” debemos especificar qué máquina será el “RADIUS Client”, y además especificar una contraseña que será usada luego en el servidor VPN cuando identifiquemos qué máquina será el “RADIUS Server”. No la olviden, esto es como una "presentación", al RADIUS Server le tenemos que informar cuál es el RADIUS cliente, y viceversa
Y seguimos con el asistente
Podemos observar que actualmente todos los clientes pueden usar MS-CHAPv2 y dejarlo así
En esta pantalla podemos ingresar el grupo que hemos creado específicamente para autorizar el acceso remoto
Y seguimos el asistente
Observen la siguiente pantalla que puede tener configuraciones útiles de ser necesarias, porque puedo configurar filtros de entrada y salida. Esto permitiría por ejemplo limitar a qué máquinas se pueden conectar cuando ingresan por VPN
Podemos elegir la opción más segura
No tenemos en esta nota nada con Unix/Linux así que seguimos adelante
Y finalizamos
Podremos observar que el sistema ha creado una “Network Policy” llamada “Virtual Private Network (VPN) Connections”. Para nuestro caso es importante que sea la primera listada (la de más arriba)
Es interesante ver las propiedades de las misma. Les recomiendo revisar cada una de las fichas que se muestran a continuación, y ver cuántas opciones tenemos disponibles, para configurar y limitar las conexiones VPN. Explorenlas 🙂
Hasta ahora hemos configurado el “NPS Server” (SRV1) como servidor RADIUS y le hemos indicado quién será el cliente de RADIUS (VPN).
Lo que está faltando, es al cliente de RADIUS (VPN) configurarlo para que use RADIUS, y qué equipo es el servidor de RADIUS
Así que vamos a VPN, a la consola de Enrutamiento y Acceso Remoto e ingresemos a las propiedades del servidor
En la ficha “Security” debemos configurarlo para que:
- Utilice RADIUS en lugar de “Windows Authentication”
- Indicarle qué máquina es el servidor RADIUS
- Incluir la misma contraseña que ingresamos en el RADIUS Server
Por seguridad es conveniente, que también configuremos el tipo de autenticación admitida
El sistema nos avisa que se debe reiniciar el servicio para que los cambios tengan efecto
Y ahora llegó el momento de ir a CL1 y probar cada uno de los usuarios creados y su posibilidad de conectarse o no por VPN
Recordemos que u2 y u3 deben poder conectarse, mientras que u4 no debería poder
Así que comencemos con u2
Vemos que u2 se ha conectado exitosamente
Desconectamos con u2
Y procedemos con u3
Que también puede conectarse
Desconectamos u3, e intentamos con u4
Que como es lo esperado no puede, pues no está autorizado para acceso remoto
De todas formas, observen que el mensaje de error mostrado, no es exactamente claro respecto al problema, que por supuesto conocemos: no está autorizado