Windows Server 2012 (R2): Configurar Servidor VPN con “Network Policies”

En la nota anterior (“Windows Server 2012 (R2): Configurar Servidor VPN”) hemos visto cómo configurar el servicio VPN (Virtual Private Networks) para permitir las conexiones remotas a la red de la forma más simple posible, aunque no la mejor para todos los casos, como es la autorización de acceso remoto usuario por usuario, y sin ningún tipo de restricción prácticamente

En esta ocasión, y usando la misma estructura creada, veremos la utilización de Network Policy Server (NPS) como servidor RADIUS, para facilitar y eventualmente limitar posibles restricciones. En este ejemplo desarrollaré la autorización mediante grupos de Active Directory, y mostraré algunas de las otras posibilidades

Recuerdo la infraestructura ya creada, y que hemos dejado en funcionamiento de la nota anterior

Para poder demostrar la autorización de acceso por grupos, he creado en el Dominio tres usuarios (u2, u3 y u4), y un grupo llamado “Acceso por VPN”, donde he incluido solamente a los dos primeros (u2 y u3). El objetivo es demostrar que sólo podrán acceder los que pertenecen al grupo en cuestión

Además, los usuarios creados han quedado con las propiedades por omisión, esto es, que el acceso será determinado por la “Network Policy”

Para alcanzar el objetivo propuesto en la nota necesitamos instalar en la red una nueva funcionalidad como es “Network Policy Server”, que se podría instalar en DC1, aunque para claridad y como conveniente lo haré en SRV1

Comenzamos instalando el rol en la forma habitual, como muestran las siguientes pantallas

Seleccionamos “Network Policy and Access Services” y agregamos las funcionalidades necesarias

Ya tenemos disponible la consola para configurar el servicio

Lo primero ha hacer es registrar al servidor en el Dominio. Lo que hace esto en realidad es incluir la cuenta de máquina en el grupo de Dominio “RAS and IAS Servers”, el que tiene permisos de leer la ficha “Dial-in” de los usuarios, a efectos de evaluar la autorización de acceso remoto

El sistema deberá reiniciar el servicio

Usaremos el asistente de configuración, ya que simplifica el proceso, elijiendo la opción que necesitamos

Y seguimos el asistente

Atención con la siguiente pantalla. Con el botón “Add” debemos especificar qué máquina será el “RADIUS Client”, y además especificar una contraseña que será usada luego en el servidor VPN cuando identifiquemos qué máquina será el “RADIUS Server”. No la olviden, esto es como una "presentación", al RADIUS Server le tenemos que informar cuál es el RADIUS cliente, y viceversa

Y seguimos con el asistente

Podemos observar que actualmente todos los clientes pueden usar MS-CHAPv2 y dejarlo así

En esta pantalla podemos ingresar el grupo que hemos creado específicamente para autorizar el acceso remoto

Y seguimos el asistente

Observen la siguiente pantalla que puede tener configuraciones útiles de ser necesarias, porque puedo configurar filtros de entrada y salida. Esto permitiría por ejemplo limitar a qué máquinas se pueden conectar cuando ingresan por VPN

Podemos elegir la opción más segura

No tenemos en esta nota nada con Unix/Linux así que seguimos adelante

Y finalizamos

Podremos observar que el sistema ha creado una “Network Policy” llamada “Virtual Private Network (VPN) Connections”. Para nuestro caso es importante que sea la primera listada (la de más arriba)

Es interesante ver las propiedades de las misma. Les recomiendo revisar cada una de las fichas que se muestran a continuación, y ver cuántas opciones tenemos disponibles, para configurar y limitar las conexiones VPN. Explorenlas 🙂

Hasta ahora hemos configurado el “NPS Server” (SRV1) como servidor RADIUS y le hemos indicado quién será el cliente de RADIUS (VPN).
Lo que está faltando, es al cliente de RADIUS (VPN) configurarlo para que use RADIUS, y qué equipo es el servidor de RADIUS

Así que vamos a VPN, a la consola de Enrutamiento y Acceso Remoto e ingresemos a las propiedades del servidor

En la ficha “Security” debemos configurarlo para que:

  • Utilice RADIUS en lugar de “Windows Authentication”
  • Indicarle qué máquina es el servidor RADIUS
  • Incluir la misma contraseña que ingresamos en el RADIUS Server

Por seguridad es conveniente, que también configuremos el tipo de autenticación admitida

El sistema nos avisa que se debe reiniciar el servicio para que los cambios tengan efecto

Y ahora llegó el momento de ir a CL1 y probar cada uno de los usuarios creados y su posibilidad de conectarse o no por VPN

Recordemos que u2 y u3 deben poder conectarse, mientras que u4 no debería poder

Así que comencemos con u2

Vemos que u2 se ha conectado exitosamente

Desconectamos con u2

Y procedemos con u3

Que también puede conectarse

Desconectamos u3, e intentamos con u4

Que como es lo esperado no puede, pues no está autorizado para acceso remoto

De todas formas, observen que el mensaje de error mostrado, no es exactamente claro respecto al problema, que por supuesto conocemos: no está autorizado

Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *