Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 2 de 5]

Continuando la nota anterior “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 1 de 5]” y ya teniendo toda la infraestructura hecha, en esta nota vamos a comenzar la configuración

Específicamente en esta ocasión veremos la configuración RTR1, dejando la de RTR2 para la próxima. Quizás alguien se pregunte el motivo de esto, lo hago así pues la configuración es muy parecida, y justamente por ese motivo es que muchas veces se producen inconvenientes, son parecidas pero no iguales

Además, en esta ya crearemos la conexión VPN utilizando PPTP

Para recordar pongo la figura de la infraestructura utilizada. Para esta parte necesitaremos solamente la máquina RTR1

De la nota anterior recordemos que está ya instalada la funcionalidad en RTR1, ahora debemos configurarla, para esto debemos abrir la consola “Routing and Remote Access”

Y con botón derecho sobre RTR1 comenzaremos el asistente de configuración

Voy mostrando las pantallas, aclarando sólo cuando es necesario

Seleccionaremos justamente la opción que deseamos, poder interconectar dos redes privadas, separadas por una red pública/insegura, como es el caso de Internet

Las conexiones de tipo VPN Windows las toma como si fueran de discado, en realidad son conexiones que se pueden conectar o desconectar en forma dinámica

Como no tenemos DHCP, y tampoco queremos que se use APIPA (169.254.0.0/16) seleccionaré un rango específico para la conexión

Podríamos utilizar cualquier rango de red válido, inclusive el mismo que tiene la red interna, pero personalmente siempre prefiero utilizar uno diferente, ya que esto permitiría eventualmente hacer un filtrado por direcciones IP
Otro tema a considerar es la cantidad de direcciones, recordemos que se necesita una para el servidor VPN y otra por cada uno que se conecte. Si es sólo un sitio remoto como en este caso, y por seguridad, creo sólo dos direcciones. Si tuvieran por ejemplo que se van a conectar desde cuatro sitios diferentes debería seleccionar por lo menos cinco direcciones

¿Saben de dónde viene este “relojito? es desde que era Windows NT 😀

Y ahora comienza el asistente para la creación de la conexión a demanda

Ahora a tener cuidado con lo que sigue. Estamos en RTR1 que está en el sitio Central, y lo que haremos es crear una conexión hacia RTR2 que está en el sitio Delegación, por lo tanto el nombre de la interfaz debe llamarse exactamente igual a una cuenta de usuario que se creará en RTR2. Solamente que uso en todos los casos de configuración vocales no acentuadas para evitar posibles problemas, y la interfaz que llamará a la “Delegación” se llamará “Delegacion”

Seleccionemos PPTP ya que no tenemos la configuración necesaria para otro protocolo y si lo dejáramos en Automático simplemente demoraría probando otros protocolos más seguros primero

Ingresamos la dirección IP EXTERNA de RTR2, que es hacia dónde se hará el llamado

Una aclaración importante, si deseamos que la comunicación se pueda iniciar desde cualquiera de los sitios, debemos indicar que se cree localmente una cuenta de usuario para cuando inician la llamada desde otro sitio. Así que debemos marcar la opción “Add a user account …”

Aunque el sistema nos pide que ingresemos cuál es la red remota a la que va a conectarse, luego hay que crear a mano la correspondiente ruta estática
Ingresaremos el rango de IPs del sitio “Delegación”

Mucha atención al siguiente cuadro, está preguntando por las credenciales de “Dial-In”, esta es la credencial que utilizará RTR2 cuando inicie la conexión desde el sitio “Delegación”
Observen que el nombre ya está seleccionado y no es posible cambiarlo, sólo debemos establecer la contraseña de la cuenta “Delegación”
El nombre de la interfaz saliente, debe coincidir con el de la credencial de la entrante. Esto es uno de los puntos que más confunde al que tiene poca experiencia con este tema
Esta cuenta de usuario, se creará localmente en forma automática en RTR1 con los privilegios necesarios para poder ingresar remotamente, y algo más como ya veremos más adelante

Ahora nos pregunta las credenciales de “Dial-Out”, o sea las de la conexión saliente, las que utilizará RTR1 cuando llame a RTR2. Análogamente al caso anterior este nombre debe coincidir con una cuenta que se creará luego en RTR2

Y finalizamos

En las propiedades de la interfaz virtual creada podemos hacer algunos cambios en la configuración, por ejemplo los que muestro, ya que al no ser una conexión telefónica no tiene sentido que se corte cuando no hay tráfico

Podemos mejorar la seguridad de los protocolos de autentificación permitidos, sólo MS-CHAPv2

Y finalmente con botón derecho sobre “Static Routes” debemos indicar que se utilice la interfaz “Delegacion” para acceder a la red de la “Delegación” (192.168.2.0/24)

Ya tenemos preparado RTR1

 

No lo he comentado ni mostrado, pero una medida mínima de seguridad es que las interfaces externas de RTR1 y RTR2 tengan marcado sólamente TCP/IPv4, ningún otro, que no registre nombres en DNS, y además que esté deshabilitado NetBIOS sobre TCP/IP. Estas configuraciones están todas en las propiedades de la interfaz externa

 

En la próxima nota “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 3 de 5]” configuraremos RTR2 y haremos las conexiones entre los sitios usando PPTP

By Guillermo Delprato, on 16 junio, 2015 at 9:57, under Conectividad de Red, How To - Step-by-step - Paso a paso, Servicios de Red, Windows Server, Windows Server 2012, Windows Server 2012 R2. Tags: , , , , , , . No hay comentarios
Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *