Y siguiendo con esta serie de notas, teniendo ya configurado RTR1 de la nota anterior “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 2 de 5]” en esta veremos la configuración complementaria que debemos hacer en RTR2
Y además por supuesto haremos y demostraremos la conexión por PPTP
Recuerdo la infraestructura utilizada
Para esta parte no necesitamos todavía a la máquina SERVER, haremos la configuración necesaria en RTR2, y luego probaremos la conexión entre SRV y DC1
Ya está la funcionalidad instalada en RTR2, así que comencemos con su configuración
Es todo muy similar a lo ya hecho en RTR1, pero en realidad es complementaria, en RTR1 fue hecha para que éste se conecte a RTR2, y en este caso será para que RTR2 se conecte a RTR1.
No explicaré cada una de las pantallas, ya que es lo mismo que lo anterior, aunque haré notar las diferencias específicas para que sea complementaria
Observen que he seleccionado otra red diferente. Para la “ida” era 172.16.0.0/16, y para esta, la “vuelta”, he utilizado 172.17.0.0/16
En la nota anterior, para que RTR1 llame a RTR2, usamos “Delegacion”, ahora como estamos en RTR2 y para que llame a RTR1, el nombre debe ser “Central”
Como estamos en RTR2, debemos hacer la conexión a la dirección IP de la interfaz externa de RTR1
Análogamente a lo hecho en RTR1, se debe crear la cuenta de usuario para cuando llame RTR2
Ahora debemos indicar cuál es la red que está en el sitio “Central”
E indicar la contraseña de la cuenta que utilizará RTR1 para conectarse a este equipo (RTR2)
Análogamente debemos indicar la cuenta que utilizará RTR2 para conectarse a RTR1. Cuidado con el nombre 😉
De igual forma que hicimos en RTR1, ahora cambiaremos la configuración de la interfaz virtual en RTR2
Y no olvidarse de hacer la entrada para la ruta estática que conducirá desde “Delegación” hacia “Central”
Vamos a deternos un poco y observar las cuentas que automáticamente ha creado el asistente, tanto en RTR1 como en RTR2
En RTR2, indicamos que la credencial de salida (Dial-Out) se llama igual que la interfaz “Delegación”, así que vamos a RTR1 y veamos las propiedades de esta cuenta, que se ha creado cuando ejecutamos el asistente en RTR1
Podemos observar que se ha creado una cuenta llamada “Delegación” con la configuración que la contraseña nunca expire
Además tiene privilegio para conectarse remotamente
Y análogamente en RTR2 con la cuenta “Central”
Inclusive observen que estas cuentas ni siquiera pertenecen al grupo “Users” y por lo tanto no podrán usarse por ejemplo para inicio interactivo desde teclado
Bueno, pero al final de todo esto ¿funcionarán las VPNs?
A probar
Un poco de suspenso
Por si alguien tenía dudas 🙂
E igual en RTR2
Y podemos comprobar la conectividad entre SRV y DC1
Si las VPNs no estuvieran conectadas, puede ser que el primer “echo reply” muestre un “timeout”, esto es debido al tiempo necesario para hacer las conexiones. Pero una vez que están levantadas no hay demora
Otro tema a observar es que el TTL mostrado es 126, es justamente 128 menos los dos saltos (Routers) por los que ha pasado la información
Teniendo todo funcionando es buen momento para apagar y crear los “snapshots” tanto en RTR1 como en RTR2. Las demás no han tenido cambios de configuración
Cuando estaba haciendo la nota que sigue conectando por L2TP, me quedó una duda ¿cómo demuestro que estamos usando L2TP+IPSec y no PPTP?
Solucioné fácil gracias a los “snapshots”, creé otro “snapshot” para no perder el trabajo realizado con L2TP, volví a este que estaba con PPTP e instalé un “Sniffer” (el viejo Network Monitor) y capturé la información de red que les muestro a continuación
Se puede ver claramente como se hace la sesión TCP con destino al puerto 1723 (PPTP) y luego el desarrollo de la misma
En la próxima nota “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 4 de 5]” haremos los cambios necesarios para pasar de PPTP a L2TP pero sólo con “Shared Secret”
Recién en la última veremos la misma configuración pero utilizando certificados de máquina
