VPN configuración
29
CONFIGURACIÓN SERVIDOR Cómo instalar y configurar un servidor de red privada virtual en Windows Server 2003 Ver los productos a los que se aplica este artículo Id. de artículo : 323441 Última revisión : lunes, 03 de diciembre de 2007 Versión : 8.3 Este artículo se publicó anteriormente con el número E323441 En esta página Resumen Introducción a las VPN Componentes de una VPN Cómo instalar y activar un servidor VPN Cómo configurar el servidor VPN Cómo configurar el servidor de acceso remoto como enrutador Cómo modificar el número de conexiones simultáneas Cómo administrar direcciones y servidores de nombres Cómo administrar el acceso Acceso mediante cuentas de usuario Acceso mediante la pertenencia a grupos Cómo configurar una conexión VPN desde un equipo cliente Solucionar problemas Solucionar problemas de VPN de acceso remoto Resumen En este artículo paso a paso se describe cómo instalar una red privada virtual (VPN) y cómo crear una nueva conexión VPN en servidores que ejecutan Windows Server 2003. Con una red privada virtual puede conectar componentes de red a través de otra red, por ejemplo Internet. Puede convertir un equipo basado en Windows Server 2003 en un servidor de acceso remoto de forma que otros usuarios puedan conectarse a él mediante VPN y, a continuación, puedan iniciar sesión en la red y tener acceso a los recursos compartidos. Las VPN implementan "túneles" a través de Internet o de otra red pública de manera que proporcionan la misma seguridad y funcionalidad que una red privada. Los datos se envían a través de la red pública utilizando su infraestructura de enrutamiento, pero para el usuario parece como si los datos se enviaran a través de un vínculo privado dedicado. Volver al principio Introducción a las VPN Una red privada virtual es una forma de conectarse a una red privada (por ejemplo, la red de su oficina) mediante una red pública (como Internet). Una VPN combina las ventajas de una conexión de acceso telefónico a un servidor con la facilidad y flexibilidad de una conexión a Internet. Mediante la conexión a Internet, puede viajar por todo el mundo y aún así, en la mayoría de los sitios, se podrá conectar con su oficina mediante una llamada local al número de teléfono de acceso a Internet más próximo. Si dispone de una conexión a Internet de alta
Transcript of VPN configuración
CONFIGURACIÓN SERVIDORCómo instalar y configurar un servidor de red privada virtual en Windows Server 2003Ver los productos a los que se aplica este artículo
Id. de artículo
: 323441
Última revisión : lunes, 03 de diciembre de 2007
Versión : 8.3
Este artículo se publicó anteriormente con el número E323441En esta página
Resumen Introducción a las VPN Componentes de una VPN Cómo instalar y activar un servidor VPN Cómo configurar el servidor VPN Cómo configurar el servidor de acceso remoto como enrutador Cómo modificar el número de conexiones simultáneas Cómo administrar direcciones y servidores de nombres Cómo administrar el acceso Acceso mediante cuentas de usuario Acceso mediante la pertenencia a grupos Cómo configurar una conexión VPN desde un equipo cliente Solucionar problemas Solucionar problemas de VPN de acceso remoto
Resumen
En este artículo paso a paso se describe cómo instalar una red privada virtual (VPN) y cómo crear una nueva conexión VPN en servidores que ejecutan Windows Server 2003.
Con una red privada virtual puede conectar componentes de red a través de otra red, por ejemplo Internet. Puede convertir un equipo basado en Windows Server 2003 en un servidor de acceso remoto de forma que otros usuarios puedan conectarse a él mediante VPN y, a continuación, puedan iniciar sesión en la red y tener acceso a los recursos compartidos. Las VPN implementan "túneles" a través de Internet o de otra red pública de manera que proporcionan la misma seguridad y funcionalidad que una red privada. Los datos se envían a través de la red pública utilizando su infraestructura de enrutamiento, pero para el usuario parece como si los datos se enviaran a través de un vínculo privado dedicado.
Volver al principio
Introducción a las VPN
Una red privada virtual es una forma de conectarse a una red privada (por ejemplo, la red de su oficina) mediante una red pública (como Internet). Una VPN combina las ventajas de una conexión de acceso telefónico a un servidor con la facilidad y flexibilidad de una conexión a Internet. Mediante la conexión a Internet, puede viajar por todo el mundo y aún así, en la mayoría de los sitios, se podrá conectar con su oficina mediante una llamada local al número de teléfono de acceso a Internet más próximo. Si dispone de una conexión a Internet de alta velocidad (por ejemplo, por cable o DSL) en su equipo (y en su oficina), podrá comunicarse con su oficina a la velocidad máxima de Internet, lo cual resulta mucho más rápido que cualquier conexión de acceso telefónico que utilice un módem analógico. Esta tecnología permite a una empresa conectar con sus sucursales o con otras compañías a través de una red pública al tiempo que mantiene unas comunicaciones seguras. La conexión VPN a través de Internet funciona de manera lógica como un vínculo dedicado de red de área extensa (WAN).
Las redes privadas virtuales utilizan vínculos autenticados para asegurarse de que sólo los usuarios autorizados pueden conectarse a la red. Para asegurarse de que los datos están seguros mientras viajan a través de la red pública, una conexión VPN utiliza el Protocolo de túnel punto a punto (PPTP) o el Protocolo de túnel de capa 2 (L2TP) para cifrar los datos.
Volver al principio
Componentes de una VPN
Una VPN en servidores que ejecutan Windows Server 2003 consiste en un servidor VPN, un cliente VPN, una conexión VPN (la parte de la conexión en la que los datos están cifrados) y el túnel (la parte de la conexión en la que los datos están encapsulados). Los túneles se realizan a través de uno de los protocolos de túnel que se incluyen con los servidores que ejecutan Windows Server 2003, los cuales se instalan con el servicio Enrutamiento y acceso remoto. El servicio Enrutamiento y acceso remoto se instala automáticamente durante la instalación de Windows Server 2003. Sin embargo, de forma predeterminada, el servicio Enrutamiento y acceso remoto está desactivado.Los dos protocolos de túnel que se incluyen con Windows son: • Protocolo de túnel punto a punto (PPTP): proporciona cifrado de datos mediante el Cifrado
punto a punto de Microsoft.• Protocolo de túnel de capa 2 (L2TP): proporciona cifrado de datos, autenticación e
integridad mediante IPSec.La conexión a Internet debe utilizar una línea dedicada como T1, T1 fraccional o Frame Relay. El adaptador WAN debe estar configurado con la dirección IP y la máscara de subred asignadas al dominio o proporcionadas por un proveedor de servicios Internet (ISP). El adaptador WAN también debe estar configurado como puerta de enlace predeterminada del enrutador del ISP.
NOTA: para activar la VPN, debe haber iniciado sesión con una cuenta que tenga derechos administrativos.
Volver al principio
Cómo instalar y activar un servidor VPN
Para instalar y activar un servidor VPN, siga estos pasos: 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y
acceso remoto.2. Haga clic en el icono de servidor correspondiente al nombre del servidor local en el panel
izquierdo de la consola. Si el icono tiene un círculo de color rojo en la esquina inferior izquierda, el servicio Enrutamiento y acceso remoto no está activado. Si el icono tiene una flecha de color verde que señala hacia arriba en la esquina inferior izquierda, el servicio Enrutamiento y acceso remoto está activado. Si el servicio Enrutamiento y acceso remoto se activó previamente, quizás desee volver a configurar el servidor. Para reconfigurar el servidor: a. Haga clic con el botón secundario del mouse (ratón) en el objeto servidor y, después, haga
clic en Deshabilitar el enrutamiento y el acceso remoto. Haga clic en Sí para continuar cuando aparezca un mensaje informativo.
b. Haga clic con el botón secundario del mouse en el icono del servidor y, después, haga clic en Configurar y habilitar Enrutamiento y acceso remoto para iniciar el Asistente para instalación del servidor de enrutamiento y acceso remoto. Haga clic en Siguiente para continuar.
c. Haga clic en Acceso remoto (acceso telefónico o red privada virtual) para activar los equipos remotos de forma que puedan marcar o conectarse a esta red a través de Internet. Haga clic en Siguiente para continuar.
3. Active VPN o Acceso telefónico, dependiendo de la función que vaya a asignar a este servidor.4. En la ventana Conexión VPN, haga clic en la interfaz de red conectada a Internet y, después,
haga clic en Siguiente.5. En la ventana Asignación de direcciones IP, haga clic en Automáticamente si se va a utilizar
un servidor DHCP para asignar direcciones a clientes remotos o haga clic en De un intervalo de direcciones especificado si los clientes remotos sólo deben recibir direcciones de un conjunto predefinido. En la mayoría de los casos, la opción DHCP es más fácil de administrar. Sin embargo, si DHCP no está disponible, debe especificar un intervalo de direcciones estáticas. Haga clic en Siguiente para continuar.
6. Si hizo clic en De un intervalo de direcciones especificado, se abrirá el cuadro de diálogo Asignación de intervalo de direcciones. Haga clic en Nuevo. Escriba la primera dirección IP del intervalo de direcciones que desee utilizar en el cuadro Dirección IP inicial. Escriba la última dirección IP del intervalo en el cuadro Dirección IP final. Windows calcula automáticamente el número de direcciones. Haga clic en Aceptar para volver a la ventana Asignación de intervalo de direcciones. Haga clic en Siguiente para continuar.
7. Acepte la opción predeterminada No, usar Enrutamiento y acceso remoto para autenticar las solicitudes de conexión y haga clic en Siguiente para continuar. Haga clic en Finalizar para activar el servicio Enrutamiento y acceso remoto, y para configurar el servidor como servidor de acceso remoto.
Volver al principio
Cómo configurar el servidor VPN
Para seguir configurando el servidor VPN como sea necesario, siga estos pasos.
Cómo configurar el servidor de acceso remoto como enrutador
Para que el servidor de acceso remoto reenvíe el tráfico correctamente dentro de la red, debe configurarlo como un enrutador con rutas estáticas o con protocolos de enrutamiento de forma que se pueda llegar a todas las ubicaciones de la intranet desde él.
Para configurar el servidor como un enrutador: 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y
acceso remoto.2. Haga clic con el botón secundario del mouse en el nombre del servidor y, a continuación, haga
clic en Propiedades.3. Haga clic en la ficha General y, a continuación, active Enrutador bajo Habilitar este equipo
como.4. Haga clic en Enrutamiento LAN y de marcado a petición y, después, haga clic en Aceptar
para cerrar el cuadro de diálogo Propiedades.
Cómo modificar el número de conexiones simultáneas
El número de conexiones de módem de acceso telefónico depende del número de módems que se instalan en el servidor. Por ejemplo, si sólo hay un módem instalado en el servidor, sólo se dispone de una conexión por módem cada vez.
El número de conexiones VPN de acceso telefónico depende del número de usuarios simultáneos que desee permitir. De manera predeterminada, al ejecutar el procedimiento descrito en este artículo se permiten 128 conexiones. Para cambiar el número de conexiones simultáneas, siga estos pasos: 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y
acceso remoto.2. Haga doble clic en el objeto de servidor, haga clic con el botón secundario del mouse en Puertos
y, después, haga clic en Propiedades.3. En el cuadro de diálogo Propiedades de Puertos, haga clic en Minipuerto WAN (PPTP) y,
después, haga clic en Configurar.4. En el cuadro Número máximo de puertos, escriba el número de conexiones VPN que desea
permitir.5. Haga clic en Aceptar, haga clic de nuevo en Aceptar, y cierre Enrutamiento y acceso remoto.
Cómo administrar direcciones y servidores de nombres
El servidor VPN debe tener disponibles las direcciones IP que asignará a la interfaz del servidor virtual VPN y a los clientes VPN durante la fase de negociación del proceso de conexión del Protocolo de control de IP (IPCP). La dirección IP asignada al cliente VPN se asigna a la interfaz virtual del mismo.
Para los servidores VPN basados en Windows Server 2003, las direcciones IP asignadas a clientes VPN se obtienen de manera predeterminada mediante DHPC. Asimismo, puede configurar un conjunto de direcciones IP estáticas. El servidor VPN también debe estar configurado con servidores de resolución de nombres, generalmente direcciones de servidores DNS y WINS, para asignar al cliente VPN durante la negociación de IPCP.
Cómo administrar el acceso
Configure las propiedades de acceso telefónico en las cuentas de usuario y en las directivas de acceso remoto para administrar el acceso a las conexiones de acceso telefónico y a las conexiones VPN.
NOTA: de manera predeterminada, se deniega a los usuarios el acceso telefónico a redes.
Acceso mediante cuentas de usuario
Para conceder acceso telefónico a una cuenta de usuario si está administrando el acceso remoto de cada uno de los usuarios, siga estos pasos: 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Usuarios y
equipos de Active Directory.
2. Haga clic con el botón secundario del mouse en la cuenta del usuario y, a continuación, haga clic en Propiedades.
3. Haga clic en la ficha Marcado.4. Haga clic en Permitir acceso para conceder al usuario permiso de marcado. Haga clic en
Aceptar.
Acceso mediante la pertenencia a grupos
Si administra el acceso remoto basándose en grupos, siga estos pasos: 1. Cree un grupo que contenga los miembros a los que se les permite crear conexiones VPN.2. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y
acceso remoto.3. En el árbol de consola, expanda Enrutamiento y acceso remoto, expanda el nombre del
servidor y haga clic en Directivas de acceso remoto.4. Haga clic con el botón secundario del mouse en cualquier lugar del panel de la derecha,
seleccione Nuevo y haga clic en Directiva de acceso remoto.5. Haga clic en Siguiente, escriba el nombre de la directiva y haga clic en Siguiente.6. Haga clic en VPN para el método de acceso a una red privada virtual o en Marcado para el
acceso telefónico y, después, haga clic en Siguiente.7. Haga clic en Agregar, escriba el nombre del grupo que ha creado en el paso 1 y haga clic en
Siguiente.8. Siga las instrucciones que aparecerán en la pantalla para finalizar el asistente.
Si el servidor VPN ya permite los servicios de acceso telefónico a redes remoto, no elimine la directiva predeterminada. En lugar de ello, muévala de forma que sea la última directiva en evaluarse.
Volver al principio
Cómo configurar una conexión VPN desde un equipo cliente
Para configurar una conexión con una VPN, siga estos pasos. Para configurar un cliente para acceso a una red privada virtual, siga estos pasos en la estación de trabajo cliente:
NOTA: para poder seguir estos pasos, debe haber iniciado sesión como miembro del grupo Administradores.
NOTA: como hay varias versiones de Microsoft Windows, los pasos siguientes pueden ser diferentes en su equipo. Si es así, consulte la documentación del producto para completarlos.1. En el equipo cliente, confirme que la conexión a Internet está configurada correctamente.2. Haga clic sucesivamente en Inicio, Panel de control y Conexiones de red. En Tareas de
red, haga clic en Crear una conexión nueva y, a continuación, haga clic en Siguiente.3. Haga clic en Conectarse a la red de mi lugar de trabajo para crear la conexión de acceso
telefónico. Haga clic en Siguiente para continuar.4. Haga clic en Conexión de red privada virtual y, después, haga clic en Siguiente.5. Escriba un nombre descriptivo para esta conexión en el cuadro de diálogo Nombre de la
organización y haga clic en Siguiente.6. Si el equipo está conectado a Internet de forma permanente, haga clic en No usar la
conexión inicial. Si el equipo se conecta a Internet a través de un proveedor de servicios Internet (ISP), haga clic en Usar automáticamente esta conexión inicial y, después, haga clic en el nombre de la conexión con el ISP. Haga clic en Siguiente.
7. Escriba la dirección IP o el nombre de host del equipo servidor VPN (por ejemplo, ServidorVPN.DominioDeEjemplo.com).
8. Si desea permitir que cualquier usuario que inicie sesión en la estación de trabajo tenga acceso a esta conexión telefónica, haga clic en El uso de cualquier persona. Si desea que la conexión sólo esté disponible para el usuario que ha iniciado sesión actualmente, haga clic en Sólo para mi uso. Haga clic en Siguiente.
9. Haga clic en Finalizar para guardar la conexión.10. Haga clic sucesivamente en Inicio, Panel de control y Conexiones de red.11. Haga doble clic en la nueva conexión.12. Haga clic en Propiedades para seguir configurando opciones para la conexión. Para
seguir configurando opciones para la conexión, siga estos pasos:• Si se va a conectar a un dominio, haga clic en la ficha Opciones y active la casilla de
verificación Incluir el dominio de inicio de sesión de Windows para especificar si se va a solicitar información de dominio de inicio de sesión de Windows Server 2003 antes de intentar la conexión.
• Si desea que se vuelva a marcar en caso de que la conexión se interrumpa, haga clic en la ficha Opciones y active la casilla de verificación Volver a marcar si se interrumpe la línea.
Para utilizar la conexión, siga estos pasos:
1. Haga clic en Inicio, seleccione Conectar a y haga clic en la nueva conexión.2. Si actualmente no está conectado a Internet, Windows le ofrece la posibilidad de conectarse.3. Una vez realizada la conexión a Internet, el servidor VPN le pide su nombre de usuario y su
contraseña. Escriba su nombre de usuario y su contraseña; a continuación, haga clic en Conectar.Sus recursos de red deben estar disponibles de la misma manera que cuando se conecta directamente a la red.NOTA: para desconectarse de la VPN, haga clic con el botón secundario del mouse en el icono de la conexión y, a continuación, haga clic en Desconectar.
Volver al principio
Solucionar problemas
Solucionar problemas de VPN de acceso remoto
No se puede establecer una conexión VPN de acceso remoto • Causa: el nombre del equipo cliente es igual que el nombre de otro equipo de la red.
Solución: compruebe que todos los equipos de la red y los equipos que se conectan a la red utilizan nombres de equipo únicos.
• Causa: el servicio Enrutamiento y acceso remoto no se inició en el servidor VPN.
Solución: compruebe el estado del servicio Enrutamiento y acceso remoto en el servidor VPN.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo controlar el servicio Enrutamiento y acceso remoto, y cómo iniciar y detener dicho servicio. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el acceso remoto no está activado en el servidor VPN.
Solución: active el acceso remoto en el servidor VPN.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo activar el servidor de acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: los puertos PPTP o L2TP no están activados para las solicitudes entrantes de acceso remoto.
Solución: active los puertos PPTP, L2TP o ambos, para las solicitudes entrantes de acceso remoto.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo configurar los puertos para acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: los protocolos LAN que utilizan los clientes VPN no están activados para el acceso remoto en el servidor VPN.
Solución: active los protocolos LAN que utilizan los clientes VPN para el acceso remoto en el servidor VPN.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo ver las propiedades del servidor de acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: todos los puertos PPTP o L2TP del servidor VPN ya están siendo utilizados por clientes de acceso remoto conectados o por enrutadores de marcado a petición.
Solución: compruebe que todos los puertos PPTP o L2TP del servidor VPN ya se están utilizando. Para ello, haga clic en Puertos en Enrutamiento y acceso remoto. Si el número de puertos PPTP o L2TP permitidos no es suficientemente alto, cámbielo para permitir más conexiones simultáneas.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo agregar puertos PPTP o L2TP. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el servidor VPN no admite el protocolo de túnel del cliente VPN.
De manera predeterminada, los clientes VPN de acceso remoto de Windows Server 2003 utilizan la opción de tipo de servidor Automático, lo que significa que intentarán establecer primero una conexión VPN basada en L2TP sobre IPSec y, a continuación, intentarán una conexión VPN basada en PPTP. Si los clientes VPN utilizan la opción de tipo de servidor Protocolo de túnel punto a punto (PPTP) o Protocolo de túnel de capa 2 (L2TP), compruebe que el servidor VPN admite el protocolo de túnel seleccionado.
De manera predeterminada, un equipo que ejecute Windows Server 2003 y el servicio Enrutamiento y acceso remoto es un servidor PPTP y L2TP con cinco puertos L2TP y cinco puertos PPTP. Para crear un servidor que sea sólo PPTP, establezca el número de puertos L2TP en cero. Para crear un servidor que sea sólo L2TP, establezca el número de puertos PPTP en cero.
Solución: compruebe que se ha configurado el número apropiado de puertos PPTP o L2TP.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo agregar puertos PPTP o L2TP. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el cliente VPN y el servidor VPN junto con una directiva de acceso remoto no están configurados para utilizar al menos un método de autenticación común.
Solución: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para utilizar al menos un método de autenticación común.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo configurar la autenticación. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el cliente VPN y el servidor VPN junto con una directiva de acceso remoto no están configurados para utilizar al menos un método de cifrado común.
Solución: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para utilizar al menos un método de cifrado común.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo configurar el cifrado. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: la conexión VPN no tiene los permisos apropiados mediante las propiedades de acceso telefónico de la cuenta de usuario y las directivas de acceso remoto.
Solución: compruebe que la conexión VPN tiene los permisos apropiados a través de las propiedades de acceso telefónico de la cuenta de usuario y las directivas de acceso remoto. Para que se establezca la conexión, la configuración del intento de conexión debe: • Cumplir todas las condiciones de al menos una directiva de acceso remoto.• Obtener el permiso de acceso remoto a través de la cuenta de usuario (establecido como
Permitir acceso) o a través de la cuenta de usuario (establecido como Controlar acceso a través de la directiva de acceso remoto) y el permiso de acceso remoto de la directiva de acceso remoto coincidente (establecido como Conceder permiso de acceso remoto).
• Coincidir con todas las opciones de configuración del perfil. • Coincidir con la configuración de las propiedades de acceso telefónico de la cuenta de
usuario.Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener una introducción a las directivas de acceso remoto y más información acerca de cómo aceptar un intento de conexión. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: la configuración del perfil de la directiva de acceso remoto entra en conflicto con las propiedades del servidor VPN.
Las propiedades del perfil de la directiva de acceso remoto y las propiedades del servidor VNP contienen opciones de configuración para: • Multivínculo.• Protocolo de asignación de ancho de banda (BAP).• Protocolos de autenticación.
Si la configuración del perfil de la directiva de acceso remoto coincidente entra en conflicto con la configuración del servidor VPN, se rechaza el intento de conexión. Por ejemplo, si el perfil de directiva de acceso remoto coincidente especifica que debe utilizarse el Protocolo de autenticación extensible Seguridad de nivel de transporte (EAP-TLS, Extensible Authentication Protocol - Transport Level Security) y EAP no está habilitado en el servidor VPN, se rechaza el intento de conexión.
Solución: compruebe que la configuración del perfil de la directiva de acceso remoto no entra en conflicto con las propiedades del servidor VPN.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca del multivínculo, BAP y los protocolos de autenticación. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el enrutador de respuesta no puede validar las credenciales del enrutador de llamada (nombre de usuario, contraseña y nombre de dominio).
Solución: compruebe que las credenciales del cliente VPN (nombre de usuario, contraseña y nombre de dominio) son correctas y pueden ser validadas por el servidor VPN.
• Causa: no hay suficientes direcciones en el conjunto de direcciones IP estáticas.
Solución: si el servidor VPN está configurado con un conjunto de direcciones IP estáticas, compruebe que hay suficientes direcciones en el conjunto. Si todas las direcciones del conjunto estático se han asignado a clientes VPN conectados, el servidor VPN no puede asignar una dirección IP y el intento de conexión se rechaza. Si se han asignado todas las direcciones del conjunto estático, modifique el conjunto. Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de TCP/IP y el acceso remoto, y acerca de cómo crear un conjunto de direcciones IP estáticas. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el cliente VPN está configurado para solicitar su propio número de nodo IPX y el servidor VPN no está configurado para permitir que los clientes IPX soliciten su propio número de nodo IPX.
Solución: configure el servidor VPN para permitir que los clientes IPX soliciten su propio número de nodo IPX.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de IPX y el acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el servidor VPN está configurado con un intervalo de números de red IPX que se están utilizando en otro lugar de la red IPX.
Solución: configure el servidor VPN con un intervalo de números de red IPX que sea único en la red IPX.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de IPX y el acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el proveedor de autenticación del servidor VNP no está configurado correctamente.
Solución: compruebe la configuración del proveedor de autenticación. Puede configurar el servidor VPN para utilizar Windows Server 2003 o el Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) para autenticar las credenciales del cliente VPN.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de los proveedores de autenticación y de cuentas, y acerca de cómo utilizar la autenticación RADIUS. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el servidor VPN no puede tener acceso a Active Directory.
Solución: en el caso de un servidor VPN que sea servidor miembro de un dominio de Windows Server 2003 en modo mixto o en modo nativo que esté configurado para la autenticación de Windows Server 2003, compruebe lo siguiente: • Existe el grupo de seguridad Servidores RAS e IAS. Si no existe, cree el grupo y
establezca su tipo como Seguridad y su ámbito como Dominio local.• El grupo de seguridad Servidores RAS e IAS tiene permiso de lectura para el objeto
Comprobación de acceso a servidores RAS e IAS.• La cuenta del equipo servidor VPN es miembro del grupo de seguridad Servidores RAS e
IAS. Puede usar el comando netsh ras show registeredserver para ver el registro actual. Utilice el comando netsh ras add registeredserver para registrar el servidor en un dominio específico.
Si agrega el equipo servidor VPN al grupo de seguridad Servidores RAS e IAS o lo quita, el cambio no surtirá efecto inmediatamente (debido a la manera en la que Windows Server 2003 almacena en caché la información de Active Directory). Para que el cambio surta efecto inmediatamente, reinicie el equipo servidor VPN.
• El servidor VPN es miembro del dominio.Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo agregar un grupo, cómo comprobar los permisos para el grupo de seguridad RAS e IAS y acerca de los comandos netsh para acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: un servidor VPN basado en Windows NT 4.0 no puede validar las solicitudes de conexión.
Solución: si los clientes VPN llaman a un servidor VPN con Windows NT 4.0 que es miembro de un dominio en modo mixto de Windows Server 2003, compruebe que el grupo Todos se ha agregado al grupo Acceso compatible con versiones anteriores de Windows 2000 mediante el comando siguiente: "net localgroup "Acceso compatible con versiones anteriores de Windows 2000""Si no se ha agregado, escriba el comando siguiente en el símbolo del sistema de un equipo controlador de dominio y reinicie el equipo controlador de dominio: net localgroup "Acceso compatible con versiones anteriores de Windows 2000" everyone /addConsulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca del servidor de acceso remoto de Windows NT 4.0 en un dominio de Windows Server 2003. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el servidor VPN no puede comunicar con el servidor RADIUS configurado.
Solución: si sólo puede llegar al servidor RADIUS a través de la interfaz de Internet, siga uno de estos procedimientos: • Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP
1812 (basado en RFC 2138, "Servicio de usuario de acceso telefónico de autenticación remota (RADIUS)"). O bien
• Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1645 (en el caso de servidores RADIUS antiguos), para autenticación RADIUS y el puerto UDP 1813 (basado en RFC 2139, "Administración de cuentas RADIUS"). O bien
• Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1646 (en el caso de servidores RADIUS antiguos) para la administración de cuentas RADIUS.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo agregar un filtro de paquetes. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: no se puede conectar con el servidor VPN a través de Internet mediante la utilidad Ping.exe.
Solución: debido al filtrado de paquetes de PPTP y L2TP sobre IPSec configurado en la interfaz de Internet del servidor VPN, se filtran los paquetes del Protocolo de mensajes de control de Internet (ICMP) utilizados por el comando ping. Para activar el servidor VPN de forma que responda a los paquetes ICMP (ping), agregue un filtro de entrada y un filtro de salida que permitan el tráfico para el protocolo IP 1 (tráfico ICMP).
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo agregar un filtro de paquetes. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
No se puede enviar o recibir datos • Causa: no se ha agregado la interfaz de marcado a petición apropiada al protocolo que se está
enrutando.
Solución: agregue la interfaz de marcado a petición apropiada al protocolo que se está enrutando.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo agregar una interfaz de enrutamiento. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: no existen rutas en ninguno de los dos lados de la conexión VPN de enrutador a enrutador que permitan el intercambio de tráfico en los dos sentidos.
Solución: a diferencia de las conexiones VPN de acceso remoto, una conexión VPN de enrutador a enrutador no crea automáticamente una ruta predeterminada. Debe crear rutas en ambos lados de la conexión VPN de enrutador a enrutador para que se pueda enrutar el tráfico hacia y desde el otro lado de la conexión VPN de enrutador a enrutador.
Puede agregar rutas estáticas a la tabla de enrutamiento manualmente o puede agregarlas mediante protocolos de enrutamiento. Para conexiones VPN persistentes, puede activar Abrir primero la ruta de acceso más corta (OSPF, Open Shortest Path First o el Protocolo de información de enrutamiento (RIP, Routing Information Protocol) en la conexión VPN. En el caso de las conexiones VPN a petición, puede actualizar las rutas automáticamente mediante una actualización RIP autoestática. Vea la Ayuda en pantalla de Windows Server 2003 para obtener más información acerca de cómo agregar un protocolo de enrutamiento IP, cómo agregar una ruta estática y cómo realizar actualizaciones autoestáticas. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el enrutador que responde, que se ha iniciado en dos sentidos como conexión de acceso remoto, está interpretando una conexión VPN de enrutador a enrutador.
Solución: si el nombre de usuario de las credenciales del enrutador que llama aparece bajo Clientes de marcado en Enrutamiento y acceso remoto, el enrutador que responde puede interpretar que el enrutador que llama es un cliente de acceso remoto. Compruebe que el nombre de usuario de las credenciales del enrutador que llama coincide con el nombre de una interfaz de marcado a petición del enrutador que responde. Si el elemento que realiza la llamada entrante es un enrutador, el puerto en el que se recibió la llamada muestra el estado Activo y la interfaz de marcado a petición correspondiente tiene el estado Conectado.
Vea la Ayuda en pantalla de Windows Server 2003 para obtener más información acerca de cómo comprobar el estado del puerto en el enrutador que responde y de la interfaz de marcado a petición. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: los filtros de paquetes de las interfaces de marcado a petición del enrutador que llama y del que responde impiden el flujo de tráfico.
Solución: compruebe que en las interfaces de marcado a petición del enrutador que llama y del que responde no hay filtros de paquetes que impidan enviar o recibir tráfico. Puede configurar cada interfaz de marcado a petición con filtros de entrada y de salida IP e IPX para controlar la naturaleza exacta del tráfico TCP/IP e IPX al que se permite entrar y salir de la interfaz de marcado a petición.
Vea la Ayuda en pantalla de Windows Server 2003 para obtener más información acerca de cómo administrar los filtros de paquetes. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: los filtros de paquetes del perfil de la directiva de acceso remoto impiden el flujo del tráfico IP.
Solución: compruebe que no hay filtros de paquetes TCP/IP configurados en las propiedades del perfil de las directivas de acceso remoto en el servidor VPN (o el servidor RADIUS si se usa el Servicio de autenticación Internet) que impidan el envío o la recepción del trafico TCP/IP. Puede utilizar directivas de acceso remoto para configurar filtros de paquetes TCP/IP de entrada y salida que controlen la naturaleza exacta del tráfico TCPIP permitido en la conexión VPN. Compruebe que los filtros de paquetes TCP/IP del perfil no impiden el flujo de tráfico.
Vea la Ayuda en pantalla de Windows Server 2003 para obtener más información acerca de cómo configurar las opciones IP. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
Como crear una red privada virtual (VPN) en Windows XPAlejandro Dobarro Ansede, Manuel Lagos Torres
IntroducciónCada vez es más habitual moverse en escenarios en donde se requiere el acceso a recursos remotos desde cualquier lugar, incluso recursos que no están disponibles directamente en Internet, pero sí en nuestra intranet. Mediante una VPN podemos acceder de forma segura a todos los recursos de nuestra intranet usando una conexión pública como Internet y trabajabo como si estuviésemos en la red local.
¿Qué aborda este artículo?En este artículo abordaremos el tema de las VPN's domésticas, es decir, veremos como con Windows 2000 y XP es posible crear rápidamente redes privadas que nos permiten compartir nuestros recursos con otros usuarios de forma segura.
¿Qué no encontrarás en este artículo?No analizaremos las VPN's a fondo, simplemente abordamos una solución sencilla para usuarios domésticos. No trabajaremos con ningún servidor VPN ni de acceso remoto. Ese es tema para otro artículo.
¿Qué es una VPN?En pocas palabras una VPN es una red virtual que se crea "dentro" de otra red, como por ejemplo Internet. Generalmente las redes privadas se crean en redes públicas, en las que se quiere crear un entorno confidencial y privado. La VPN nos permitirá trabajar como si estuviésemos en la red local, es totalmente transparente para el usuario.
Una vez establecida la conexión de la red privada virtual los datos viajan encriptados de forma que sólo el emisor y el receptor son capaces de leerlos.
Para poder realizar una VPN se necesita un servidor (o host) que espera conexiones entrantes, y uno o varios clientes, que se conectan al servidor para formar la red privada.
¿Qué podemos hacer con una VPN?Al permitirnos establecer conexiones seguras entre otros equipos podremos acceder a los recursos del otro equipo de forma segura y confidencial, por ejemplo a impresoras, documentos, servidores de base de datos, aplicaciones específicas, etc.
¿Cómo funciona una VPN?Como ya se ha dicho anteriormente se trata de un proceso totalmente transparente para el usuario y para la mayoría de las aplicaciones. Funciona exactamente igual que cualquier otra conexión de red, es decir, dentro de la VPN cada equipo tendrá una IP, todas las conexiones usando esa IP estarán funcionando dentro de la VPN y serán encriptadas, el usuario simplemente tendrá que usar las IPs de la VPN, y no preocuparse de nada más, el resto ya lo hace el cliente VPN y el servidor VPN.
Cultura general sobre VPN'sAntes de comenzar a trabajar con VPN's es bueno poseer unas nociones básicas del mundo en el que nos estamos metiendo.Son dos las tecnologías más utilizadas para crear VPN's, en realidad son diferentes protocolos o conjuntos de protocolos, PPTP y L2TP.
PPTP: Point to Point Tunneling ProtocolPPTP es un protocolo desarrollado por Microsoft y disponible en todas las plataformas Windows. Es sencillo y fácil de implementar pero ofrece menor seguridad que L2TP.En este artículo implementaremos una conexión VPN mediante PPTP usando MS-CHAP v2. También es posible usar PPTP con EAP-TLS para soportar certificados de seguridad.
L2TP: Layer Two Tunneling ProtocolSe trata de un estándar abierto y disponible en la mayoría de plataformas Windows, Linux, Mac, etc. Se implementa sobre IPSec y proporciona altos niveles de seguridad. Se pueden usar certificados de seguridad de clave pública para cifrar los datos y garantizar la identidad de los usuarios de la VPN.
Comparativa entre PPTP y L2TP Con PPTP, el cifrado de datos comienza después de que la conexión se procese (y, por
supuesto, después de la autentificación PPP). Con L2TP/IPSec, el cifrado de datos empieza antes de la conexión PPP negociando una asociación de seguridad IPSec.
Las conexiones PPTP usan MPPE, un método de cifrado basado en el algoritmo de encriptación Rivest-Shamir-Aldeman (RSA) RC-4, y usa llaves de 40, 56 o 128 bits. Las conexiones L2TP/IPSec usan Data Encryption Standard (DES), con llaves de 56 bits para
DES o tres llaves de 56 bits para 3-DES. Los datos se cifran en bloques (bloques de 64 bits para el caso de DES).
Las conexiones PPTP requieren sólo autentificación a nivel de usuario a través de un protocolo de autentificación basado en PPP. Las conexiones L2TP/IPSec requieren el mismo nivel de autentificación a nivel de usuario y, además nivel de autentificación de máquina usando certificados digitales.
Existen más diferencias, pero hacer un estudio más pormenorizado se saldría de la idea inicial de este artículo por lo que lo dejaremos en estas tres diferencias fundamentales.
Caso prácticoLa mejor forma de entender y ver como funciona es implementándolo, y eso es lo que haremos a continuación.
Escenario: Dos (o más) equipos distantes y conectados a Internet quieren compartir sus recursos (ficheros, impresoras, etc.) entre ellos de forma privada y sencilla.
Software: Windows XP o 2000, también es posible realizar la conexión con equipos con Windows 98 y 95 descargando los ficheros de actualización de la web de Microsoft.
Solución: Montar una VPN a través de Internet entre estos equipos.
Necesitamos establecer un equipo como servidor, éste será el encargado de la autenticación, el resto de equipos establecerán la conexión con él.
Servidor VPN
Vamos al Panel de control, y abrimos la carpeta de "Conexiones de red" y en el menú Archivo seleccionamos "Nueva conexión".
Ahora estamos en el "Asistente para conexión nueva". Pulsamos en el botón "Siguiente" para continuar.
Entre las opciones disponibles seleccionamos "Configurar una conexión avanzada", y pulsamos en "Siguiente".
Ahora seleccionamos "Aceptar conexiones entrantes" y pulsamos "Siguiente" para continuar.
En la pantalla "Dispositivos de conexiones entrantes" no seleccionamos ninguno, pues no queremos que se conecten a este equipo haciendo una llamada o usando el puerto paralelo. Pulsamos en "Siguiente".
En la pantalla "Conexión de red privada virtual (VPN) entrante" debemos seleccionar "Permitir conexiones virtuales privadas". Pulsamos en "Siguiente".
En la pantalla "Permisos de usuarios" seleccionamos los usuarios que podrán conectarse a nuestro equipo usando la VPN. Desde esta misma pantalla podremos crear nuevos usuarios. Pulsamos en "Siguiente".
Ahora debemos seleccionar los protocolos que habilitaremos en la VPN. Como queremos compartir ficheros e impresoras marcaremos "Protocolo Internet (TCP/IP)", "Compartir impresoras y archivos para redes Microsoft". Podremos agregar los protocolos que queramos usando el botón Instalar. Seleccionamos el protocolo "Protocolo Internet (TCP/IP)" y pulsamos en el botón Propiedades para proceder a configurarlo.
Ahora podemos configurar las propiedades del protocolo TCP/IP. Si queremos que los clientes que se conectan a nosotros puedan acceder a la red local en la que tenemos nuestro servidor deberemos activar la primera casilla. Además podemos dejar que el servidor asigne las IPs de los clientes o establecer un intervalo de IPs, o incluso permitir que los clientes especifiquen su IP.
Guardamos la configuración de TCP/IP y pulsamos en el botón siguiente del asistente y ya habremos terminado. En este momento tendremos una nueva conexión en la carpeta de Conexiones de red. Seleccionando la nueva conexión podremos ver el estado de ésta, los clientes conectados, cambiar las opciones de configuración, etc.
Ahora ya tenemos configurado el servidor VPN y ya está listo para aceptar clientes VPN.A continuación configuraremos una conexión VPN para que se conecte al servidor.
Cliente VPN
Abrimos la carpeta de "Conexiones de red" y en el menú Archivo seleccionamos "Nueva conexión". En el asistente para conexión nueva seleccionamos "Conectarse a la red de mi lugar de trabajo", y pulsamos siguiente.
Seleccionamos "Conexión de red privada virtual", y pulsamos siguiente.
En la siguiente ventana, marcaremos la opción "no usar conexion inicial" a menos que queramos que con la vpn se utilice otra de nuestras conexiones a internet, si indicamos que al activar esta conexión se active antes otra conexión, por ejemplo una conexión telefónica, se conectará primero a Internet y luego se establecerá la VPN. Si disponemos de cable o ADSL no es necesario activar ninguna de estas conexiones. Tampoco lo es si estamos conectados a Internet cuando activamos la conexión VPN o no queremos que ésta marque ninguna conexión. Por último indicamos la dirección IP del servidor VPN, esta es la dirección IP pública, es decir, la que tiene en Internet en el momento de establecer la conexión entre los clientes y el servidor.
Al finalizar el asistente ya tendremos la conexión lista para activarse. Ahora debemos indicar el usuario y las password que hemos activado en el servidor y ya podremos conectarnos con el servidor.Si el servidor VPN se conecta a Internet usando un modem o Cable la IP puede cambiar (IPs dinámicas) por lo que será necesario indicarle la IP que tiene en cada momento.
Ya tenemos la conexión VPN lista para funcionar.Si trabajamos con conexiones lentas (móden o similar) la VPN también irá lenta. Es recomendable disponer de conexiones de banda ancha para sacarle todo el rendimiento a este tipo de conexiones.
Para realizar las comunicaciones usando la VPN deberemos usar las IPs de la VPN. Es decir, además de la IP de Internet que tiene el servidor y los clientes se han generado otras IPs internas de la VPN, pues esas deberemos usar para comunicarnos con los equipos de la VPN, estas se obtendrán como las habituales, pero en el icono de la nueva conexión que aparece en la barra de notificación (junto al reloj).
En conexiones lentas, el Explorador de Windows no será capaz de mostrar los otros equipos de la red, o le llevará mucho tiempo, en ese caso, podremos acceder a ellos escribiendo en la barra de direcciones del Explorardor de Windows "\\ip_en_la_VPN" o "\\nombre_maquina" de la máquina a la que queremos acceder, por ejemplo, si la IP (en la VPN) de la otra máquina es 169.254.3.117 pondremos \\169.254.3.117 en la barra de direcciones del Explorador de Windows y de esta forma ya tendremos acceso a los ficheros e impresoras de la máquina indicada. Para usar otros recursos, como servidores de base de datos, etc. simplemente usamos la IP en la VPN de la máquina destino.
Además, si los equipos no tienen realizada la configuración de red adecuadamente, o tienen mal asignados los permisos puede ocurrir que no se pueda acceder a recursos. Esto no es un problema de la VPN sino de cómo se tienen establecidos los permisos en cada ordenador, al igual que pasa en una red local.
Por último, y como recomendación final, es aconsejable mantener el equipo actualizado e instalar los parches y services packs que va publicando Microsoft. Al tratarse de un servicio de red es muy vulnerable a ser atacado y si no está convenientemente actualizado podemos ser víctimas de ataques, o nuestros datos quizás no viajen lo suficientemente seguros como esperábamos.
PUERTOS A REDIRIGIR EN EL ROUTER
Para PPTP hay que redirigir los puertos TCP 1723 y UDP 47 al servidor que gestiona las VPN.
Para L2TP hay que abrir el puerto TCP 1701; si se va a utilizar además IPSec, se debe abir el puerto UDP 500 y los protocolos de Id. (UDP?) 50 (IPSec ESP) y 51 (IPSec AH).
También habrá que permitir esos puertos en el Firewall del servidor.
CONFIGURACIÓN CLIENTES
Esta configuración es válida para los sistemas operativos Windows 2000, XP y Vista; el resto necesitarán clientes VPN con IPSec (los de los fabricantes u otros)
La configuración de la VPN es la siguiente:
1.- Desde INICIO > CONFIGURACION pulsamos doble clic sobre conexiones de red.
.En la pantalla anterior pulsamos siguiente.
En la pantalla de arriba seleccionamos “Conectarse a la red de mi lugar de trabajo” y pulsamos siguiente.
En el campo de arriba tecleamos la descripción de la conexión de red. Este campo solo es descriptivo.
Seleccionamos “Conexión de red privada virtual” y pulsamos siguiente.
Seleccionamos la opción “No usar conexión inicial” y pulsamos siguiente.
Arriba tecleamos la dirección IP pública del router o el nombre DNS.
Seleccionamos si queremos que cualquier usuario que inicie sesión en el pc tenga la conexión VPN o solo nuestro usuario.
Hemos terminado la configuración de la conexión VPN. Si seleccionamos el ‘check botton’ se agregará la conexión al escritorio.
Una vez que ejecutemos la conexión la primera vez aparece la pantalla anterior donde escribimos el usuario y contraseña y si queremos guardarla para las siguientes ocasiones.
Podremos configurar las opciones de la conexión VPN a través del botón propiedades, por ejemplo:
- Para poder conectar a internet mientras se está conectado a la VPN es necesario desmarcar la casilla “Usar la puerta de enlace predeterminada de la red remota” en Funciones de red – Protocolo TCP/IP – Opciones avanzadas – General
- Para que se conecte a la VPN de forma automática sin tener que confirmar hay que desmarcar la casilla “Pedir el nombre y contraseña” en la pestaña Opciones. Si queremos que se conecte nada más arrancar tendremos que incluir el acceso directo en el menú inicio.
