Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 1 de 5]

Hace tiempo hice dos notas sobre el tema de conectar sitios geográficos utillizando una conexión VPN, primero fue con Windows Server 2008, y luego con Windows Server 2012 no R2

Son pocas las diferencias entre W2012 y W2012R2, pero lo que me ha motivado a hacer esta nota es porque el objetivo es demostrar primero PPTP, luego L2TP con “Shared Secret”, y finalmente L2TP con IPSec

Otro objetivo de esta nota, y aprovechando que hemos visto ya varias sobre VMware Workstation, donde preparo todas estas demostraciones, es ver algunas de las configuraciones muy útiles que provee para este tipo de pruebas

El tema lo desarrollaré a lo largo de cinco notas, tanto para que no sea tan largo de escribir, como además para que el que lo quiera realizar tenga separados cada uno de los pasos necesarios

Las máquinas que utilizaré y cómo están interconectadas se pueden observar en la siguiente figura

[NOTA] Hay un error en el diagrama, la dirección IP de la máquina SERVER es 131.107.0.3/16 (¡Gracias Roberto!)

La nota será demostrar la conectividad entre SRV que está en el sitio Delegación, y DC1 que está en el Central, iniciándose las VPNs automáticamente en caso de ser necesario

Todas las máquinas serán virtuales, ejecutándose en VMware Workstation conectada cada una a su o sus correspondientes redes tipo “Custom”, o sea que tendrán conectividad únicamente entre las que estén en la misma red

Es muy importante que esta infraestructura inicial esté correctamente creada, por lo cual mostraré detalles de cada una, tanto de la configuración de la máquina en sí, como también a qué VMnet está conectada

Todas las máquinas están en grupo de trabajo, salvo DC1 que es un Controlador de Dominio sólo porque ya estaba la máquina así, pero no es en absoluto necesario

 

DC1
Dirección IP: 192.168.1.201/24 (conectada a VMnet2)
Puerta de Enlace: 192.168.1.254 (la IP interna de RTR1)
Servidor DNS: 127.0.0.1 (por ser Controlador de Dominio)

 

RTR1
Interfaces renombradas por claridad: Interna y Externa
Dirección IP Interna: 192.168.1.254/24 (Conectada a VMnet2)
Dirección IP Externa: 131.107.0.1/16 (Conectada a VMnet3)
Ninguna tiene configurado DNS, salvo el multicast de IPv6 automático
Ninguna tiene configurada Puerta de Enlace, aunque en ambiente real debería ser indicación del ISP en la interfaz Externa solamente

 

RTR2
Interfaces renombradas por claridad: Interna y Externa
Dirección IP Interna: 192.168.2.254/24 (Conectada a VMnet4)
Dirección IP Externa: 131.107.0.2/16 (Conectada a VMnet3)
Ninguna tiene configurado DNS, salvo el multicast de IPv6 automático
Ninguna tiene configurada Puerta de Enlace, aunque en ambiente real debería ser indicación del ISP en la interfaz Externa solamente

 

SRV
Dirección IP: 192.168.2.101/24 (conectada a VMnet4)
Puerta de Enlace: 192.168.2.254 (la IP interna de RTR2)
No tiene configurado DNS, salvo el multicast de IPv6 automático

 

SERVER (ISP)
Esta máquina será utilizada como Autoridad Certificadora para los certificados de L2TP+IPSec, y será también utilizada como servidor DNS. Estas dos funcionalidades son necesarias para L2TP+IPSec, tanto para obtener los certificados digitales de máquina, como para la resolución de los nombres de las máquinas
Dirección IP: 131.107.0.3/16 (conectada a VMnet3)
No tiene Puerta de Enlace
Aunque no es necesesario podría usar como DNS a sí mismo
La aparición de una dirección 6TO4 es automática por tener una IPv4 de tipo pública (131.107.0.3/16)

 

Llegados a este punto es muy IMPORTANTE que verifiquen que la conectividad sea correcta, de ser necesario bajen momentáneamente los cortafuegos

Yo para probarla he utilizado PING <DirIP> entre cada máquina que esté sobre la misma red, para nombrar sólo algunos DC1->IPInterna de RTR1, RTR1->IPExterna de RTR2, etc.
Por supuesto, si desean prueben que entre DC1 y SERVER no hay conectividad, lo mismo entre estos y SRV (ISP)

Para dejar completa esta primera nota, lo que haremos es instalar la funcionalidad necesaria tanto en RTR1, como en RTR2, que luego configuraremos

Entonces tanto en RTR1 como en RTR2 debemos instalar el rol “Remote Access” como muestan las siguentes pantallas

 

En esta nota llegaremos hasta acá, la preparación de la infraestructura. Aprovechando una de las ventajas de VMware Workstation, luego de apagar cada uno de los equipos crearemos un “Snapshot” en cada uno.
En caso de producirse algún inconveniente y quisiéramos comenzar todo de nuevo nos ahorraremos bastante trabajo

En mi caso, verán que no es “Snapshot 1”, sino “Snapshot 3” simplemente porque una de las virtuales ya tenía “snapshots” de otra demostración, y para facilitar la recuperación siempre hago que para un estado específico de un conjunto de máquinas tengan el mismo “Snapshot x”

Entonces, en todas las máquinas, apagar, y “snapshot”

 

Continuaremos en la próxima nota con la configuración de RTR1 para conexión “Site To Site” con PPTP

By Guillermo Delprato, on 16 junio, 2015 at 9:55, under Conectividad de Red, How To - Step-by-step - Paso a paso, Servicios de Red, Windows Server, Windows Server 2012. Tags: , , , , , . No hay comentarios
Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *