Post on 09-Jan-2016
o
Windows Server 2012 (R2): Configurar Servidor VPN
En esta nota veremos la configuracin de un servidor para permitir la conexin de
clientes desde ubicaciones remotas, con el mtodo de uso ms comn como son las
conexiones VPN
En esta primera nota sobre el tema desarrollar el ejemplo ms simple: autorizacin por
usuario y protocolo PPTP. De acuerdo a la cantidad de visitas ver de complementarla
con otras opciones, como ser: autorizacin por grupos u otras condiciones, y con otros
protocolos
El tema lo he tratado con anterioridad, pero sobre Windows Server 2008 R2, y en esta
nota lo actualizamos a Windows Server 2012 R2, que aunque conceptualmente es igual,
hay cambios en la interfaz
La estructura que utilizaremos es simple, y an se podra simplificar ms, por ejemplo
la carpeta compartida de prueba podra estar en DC1, y no se necesita la mquina
SRV1, que yo he usado para que sea ms completa la demostracin
Como vemos en la figura anterior es muy sencilla la infraestructura necesaria de la que
partir: un Controlador de Dominio (DC1), un Cliente (CL1), y dos servidores
miembros del Dominio (SRV1 y VPN), uno con dos interfaces de red, que simulan la
red interna y la conexin a Internet. Al cliente lo conectaremos a esta simulada Internet
para verificar la conexin.
Las configuracin de IP se pueden ver en la figura, y el Dominio que estoy usando es el
mismo de todas las notas ad.guillermod.com.ar
En el Dominio he creado un usuario de prueba (User Uno, AD\u1), y en SRV1 he creado una carpeta compartida accesible a este usuario
Comenzaremos trabajando sobre el servidor VPN, que es donde haremos toda la
configuracin, salvo la demostracin de conexin del usuario
Observen en la siguiente figura que he renombrados las interfaces de red, una llamada
Interna y otra Externa, esto es muy importante para evitar confusiones Adems, por ms que tengamos el servidor protegido por cortafuegos es importante
deshabilitar algunas cosas en la interfaz Externa: todo salvo TCP/IPv4 y por supuesto NetBIOS
Comenzaremos aadiendo la funcionalidad en la forma habitual, y siguiendo el asistente
como muestran las siguientes figuras
Seleccionamos Remote Access
Observen los componentes adicionales que instalar, por ejemplo Web server (IIS) pues el sistema errneamente supone que utilizaremos DirectAccess. Lamentablemente
aunque no usemos ni configuremos DirectAccess, no se podr remover este componente
pues remover tambin el acceso remoto por VPN
A mi entender es un problema ya que afecta y aumenta nuestra superficie de ataque en
un servidor que seguramente estar expuesto casi directamente a Internet
Debemos iniciar el asistente, que demora unos segundos en arrancar, de otra forma
aparecer luego
Y comenzamos con la configuracin
Es importante que hayamos renombrado las interfaces de red para as estar seguros cul
marcaremos como Externa, ya que adems que ser la nica donde recibir las conexiones entrantes, configurar el cortafuegos interno de Enrutamiento y Acceso
Remoto para permitir *nicamente* los protocolos de VPN
Para seleccionar el rango de direcciones que se utilizar para VPN elijo especificar un
rango ya que adems de no tener servicio DHCP, prefiero un rango de direciones IP
diferente al de la red interna. De esa forma es mucho ms controlable el trfico desde el
cliente a la red interna, si necesitara hacerlo a futuro
Elijo diez direcciones de la red 172.16.0.0/16, pueden usar cualquier rango privado, y
tengan en cuenta que podrn conectarse simultneamente tantos clientes como
direcciones IP menos una (para el servidor) como tengamos
Para esta demostracin no utilizaremos RADIUS
Como es histrico nos dar el mensaje del DHCP Relay Agent que no necesitamos pues no hemos seleccionado DHCP (asignacin automtica)
Y esto???
Evidentemente se trata de que expir un time-out pero no preocuparse, en cuanto miramos la consola vemos que el servicio ha arrancado. Quizs se deba slo por el
ambiente que estoy usando (todo virtualizado)
Vamos a IPv4 / General y observamos que la interfaz est creada
Si vamos a las propiedades de esta interfaz externa, podremos ver los filtros de IP
creados, que como comentamos ms arriba, permiten tanto de entrada como de salida
*solamente* los protocolos de VPN
Esto seguramente muchos tendrn que modificarlo, pues al ser estos protocolos los
nicos permitidos no tendr ni siquiera posibilidad de navegar por Internet desde el
servidor
Si el nico protolo de VPN que vamos a utilizar, como en esta demostracin, es PPTP,
podemos eliminar todas las entradas salvo las referidas a TCP-1723 y protocolo GRE
(ID 47)
Ahora comencemos a configurar el cliente. Lo muevo a la red que simula Internet, y le
pongo una configuracin IP adecuada a esta Internet simulada
Debemos crear la interfaz de la VPN para que el cliente se conecte a la red interna. A
partir de Windows 8 hay varias formas de llegar a configurar una interfaz VPN, pero me
mantengo con los pasos de Windows 7 (No me gusta y no me gusta la interfaz Modern UI y trato de evitarla todo lo que pueda)
Por qu Microsoft supone que una conexin VPN se puede hacer slo al lugar de
trabajo? :-)
Hace tiempo, cuando todava no exista la virtualizacin, recuerdo haber hecho
conexiones VPN entre la red de mi casa, y la de un amigo; bsicamente para poder
hacer experiencias con ms equipos
Ingresamos la direccin IP externa de nuestro servidor VPN, y un nombre para la
conexin
Ya est creada
La seleccin de qu protocolo de VPN se utilizar para esta conexin est fijada en
automtico, lo cual har que demore bastante en conectarse. Como con la configuracin
que hemos hecho anteriormente es sin ningn tipo de certificados, slo podremos usar
PPTP, as que conviene configurarlo directamente en las propiedades de la conexin
Con botn derecho elejimos conectarnos
Y tuvo que aparecer :-)
Bueno, pulsamos la entrada y aparecer el botn para conectarse
Ingresamos las credenciales del usuario de prueba
Y como era esperable recibimos el mensaje de error pues no hemos autorizado al
usuario a ingresar en forma remota. Cabe aclarar que an a la cuenta original de
administrador hay que autorizarla para acceso remoto
As que vamos al Controlador de Dominio, y en las propiedades del usuario, ficha
Dial-in le asignamos la posibilidad de acceso remoto
Ejecutamos nuevamente el proceso de conexin, y veremos que ahora s, ya se conecta
Si ejecutamos IPCONFIG veremos que tenemos dos direcciones IP, una correspondiente a la conexin a Internet, y la otra correspondiente a la VPN y que fue
asignada por el servidor VPN
Tambin podemos verificar que nos podemos conectar desde el cliente a los recursos
compartidos de otros servidores (SRV1) que estn en la red interna
Y adems en el servidor VPN, podemos ver al cliente que est conectado
Por supuesto, en forma anloga a como hicimos para conectarnos, podemos
desconectarnos
Hasta aqu hemos visto el procedimiento ms simple: autorizacin por usuario y
protocolo PPTP
Ver si a futuro hago la nota sobre autorizacin por condiciones especficas, por grupo
por ejemplo, o con otros protocolos ms seguros que PPTP pero ms difciles de
implementar
Si alguien quiere ver cmo se puede hacer por L2TP+IPSec o SSTP o IKEv2 puede ver
la siguentes notas, que aunque estn hechas sobre Windows Server 2008 R2 el
procedimiento es totalmente similar, slo cambia la interfaz