Conectando Sitios con VPN (RRAS e ISA )

En esta práctica se configurará en un ambiente de grupo de trabajo la interconexión entre dos redes separadas por una tercera, por medio de una VPN. Aplica igualmente para el caso de ambiente de dominio Active Directory.

El objetivo es simular una conexión entre dos redes separadas a través de Internet, usando tres diferentes alternativas:

  • VPN por PPTP utilizando Routing and Remote Access (RRAS)
  • VPN por PPTP utilizando ISA Server 2006
  • VPN por L2TP+IPSec utilizando ISA Server 2006

Se dispone originalmente de cuatro máquinas Windows Server 2003 R2 de acuerdo a la figura siguiente

Configuración Instalada
La configuración ya instalada consiste en cuatro máquinas Windows Server 2003 R2 Enterprise Edition, en grupo de trabajo, como muestra la figura anterior

Procedimientos Iniciales de Preparación

Máquina SRV1

  • Instalación del servicio WWW para obtención de certificado por web
  • Instalación de autoridad certificadora

Máquina ISA1
Configuración como servidor VPN para permitir la conexión de ISA2 a la red de la autoridad certificadora

  • Instalación y configuración de RRAS como servidor VPN
  • Instalación de ISA Server 2006
  • Configuración de ISA Server 2006 para conexión VPN entre redes utilizando:
  • Protocolo PPTP
  • Protocolo L2TP+IPSec

Máquina ISA2
Conexión a la red de la autoridad certificadora y obtención de certificado de máquina a usar en la conexión L2TP+IPSec

  • Conexión por VPN para obtención de certificados digitales
  • Instalación de ISA Server 2006
  • Configuración de ISA Server 2006 para conexión VPN entre redes utilizando
  • Protocolo PPTP
  • Protocolo L2TP+IPSec

Procedimientos de Preparación

Los objetivos a demostrar son:

  • Creación de una conexión entre redes utilizando protocolo PPTP por RRAS y por ISA
  • Creación de una conexión entre redes utilizando protocolo L2TP+IPSec por ISA

Desarrollo de Procedimientos Conexión PPTP por RRAS

Máquina SRV1

  • Instalar el componente World Wide Web
    • Application Server / Internet Information Services (IIS) / World Wide Web Service
    • Instalar el componente Certificate Services
      • Stand-alone root CA
      • Nombre: Test CA

Máquina ISA1

  • Obtención de certificados
    • Conectarse a http://srv1/certsrv
      • Instalar el certificado de la autoridad certificadora: Download a CA certificate, certificate chain or CRL / Install this CA certificate chain
  • Volver a conectarse a http://srv1/certsrv
    • Solicitar certificado para ISA1
      • Request a certificate / Advanced Certificate Request / Create and submit a certificate request to this CA
      • Nombre: ISA1
      • Type of certificate: IPSec certificate
      • Marcar: Store certificate in the local computer certificate store
  • En Máquina SRV1
    • Certification Authority
      • Otorgar el certificado solicitado por ISA1
  • En Máquina ISA1
  • Volver a conectarse a http://srv1/certsrv
    • View the status of a pending certificate request / Click sobre el certificado / Install this certificate
    • Otorgar permiso de Dial-in al usuario Administrator
      • Computer Management / Users / Administrator / Ficha Dial-in / Allow access
  • Configurar servidor VPN
    • Routing and Remote Access
      • Utilizar el asistente para configurar el equipo como servidor VPN, asignando a los clientes el rango 192.168.100.1 a 192.168.100.2; no utilizar RADIUS

Máquina ISA2

  • Crear una conexión VPN a ISA1 (131.107.0.1)
    • Conectarse utilizando el usuario Administrator, que tiene permiso de Dial-in
    • Con esto queda demostrada la conexión por PPTP al servidor con RRAS
    • Conectarse a http://192.168.1.1/certsrv/
      • Instalar el certificado de la autoridad certificadora: Download a CA certificate, certificate chain or CRL / Install this CA certificate chain
      • Volver a conectarse a http://192.168.1.1/certsrv/
        • Solicitar certificado para ISA2
          • Request a certificate / Advanced Certificate Request / Create and submit a certificate request to this CA
          • Nombre: ISA2
          • Type of certificate: IPSec certificate
          • Marcar: Store certificate in the local computer certificate store
  • En Máquina SRV1
    • Certification Authority
      • Otorgar el certificado solicitado por ISA1
  • En Máquina ISA2
  • Volver a conectarse a http://192.168.1.1/certsrv
    • View the status of a pending certificate request / Click sobre el certificado / Install this certificate
    • Desconectar

1 – Desarrollo Conexión Entre Redes por PPTP

Para este caso, no son necesarios los certificados digitales de máquinas

Máquina ISA1

  • Deshabilitar el servicio RRAS
    • Disable Routing and Remote Access
    • Hacer instalación Typical de ISA Server 2006
      • Agregar la conexión de red Interna 1 como interna
      • ISA Server Management
        • Virtual Private Networks (VPN)
        • Ficha Remote Sites
        • Create VPN Site-to-Site Connection
        • Site-to-Site network name: Sucursal
        • VPN Protocol: Point-to-Point Tunneling Protocol (PPTP)
        • Local Network VPN Settings:
          • Agregar rango estático 172.16.1.1 a 172.16.1.2
      • Remote site Gateway: 131.107.0.2
      • Remote Authentication:
        • User name: Central
        • Domain: ISA2
        • Password: Pwd(Central)
      • Network Addresses:
        • Add range: 192.168.2.0 a 192.168.2.255
      • Site-to-Site Network Rule: next
      • Site-to-Site Network Access Rule: All outbound traffic
      • Aplicar la configuración
      • Computer Management
        • Crear un usuario local llamado Sucursal
          • Contraseña: Pwd(Sucursal)
          • Desmarcar: User must change password at next logon
          • Marcar: Password never expires
          • Ficha Dial-in: Allow access

Máquina ISA2

  • Hacer instalación Typical de ISA Server 2006
    • Agregar la conexión de red Interna 2 como interna
    • ISA Server Management
      • Virtual Private Networks (VPN)
      • Ficha Remote Sites
      • Create VPN Site-to-Site Connection
      • Site-to-Site network name: Central
      • VPN Protocol: Point-to-Point Tunneling Protocol (PPTP)
      • Local Network VPN Settings:
        • Agregar rango estático 172.17.1.1 a 172.17.1.2
    • Remote site Gateway: 131.107.0.1
    • Remote Authentication:
      • User name: Sucursal
      • Domain: ISA1
      • Password: Pwd(Sucursal)
    • Network Addresses:
      • Add range: 192.168.1.0 a 192.168.1.255
    • Site-to-Site Network Rule: next
    • Site-to-Site Network Access Rule: All outbound traffic
    • Aplicar la configuración
    • Computer Management
      • Crear un usuario local llamado Central
        • Contraseña: Pwd(Central)
        • Desmarcar: User must change password at next logon
        • Marcar: Password never expires
        • Ficha Dial-in: Allow access

Demostración VPN por PPTP

Máquina SRV2

  • Ejecutar: PING –t 192.168.1.1
  • Verificar que se comunica

Máquinas ISA1 e ISA2

  • Routing and Remote Access 
    • Network Interfaces: 
      • Verificar que Central y/o Sucursal se muestran Connected 
      • Propiedades de la interfaz / Ficha Networking 
      • Verificar que es: PPTP VPN 
      • ISA Management
        • Virtual Private Networks (VPN) / Remote Sites
          • Observar las propiedades de Central y/o Sucursal

2 – Desarrollo Conexión Entre Redes por  L2TP+IPSec

Para este caso, son necesarios certificados digitales de máquinas.

En este caso el proceso es simple pues hemos puesto con anterioridad los certificados digitales de máquina, y además porque ya tenemos la conexión con PPTP, por lo que simplemente cambiaremos de PPTP a L2TP+IPSec

Máquinas ISA1

  • ISA Management
    • Virtual Private Networks (VPN) / Remote Sites
    • Propiedades de Sucursal
    • Ficha Protocol
      • Cambiar a: L2TP/IPSec (provides a highly secure connection method)

Máquina ISA2

  • ISA Management
    • Virtual Private Networks (VPN) / Remote Sites
    • Propiedades de Central
    • Ficha Protocol
      • Cambiar a: L2TP/IPSec (provides a highly secure connection method)

Demostración VPN por L2TP+IPSec

Máquina SRV2

  • Ejecutar: PING –t 192.168.1.1
  • Verificar que se comunica

Máquinas ISA2 e ISA2

  • Botón derecho sobre Central y/o Sucursal / Site-to-Site Summary
  • Observar Authentication Method
  • Routing and Remote Access
    • Network Interfaces:
      • Verificar que Central y/o Sucursal se muestran Connected
      • Propiedades de la interfaz / Ficha Networking
      • Verificar que es: L2TP IPSec VPN

 

En el caso de L2TP+IPSec se producen dos autenticaciones

  • Autenticación de usuario, utilizando MS-CHAPv2
  • Autenticación de máquinas utilizando certificados digitales
Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • RMorales  On 14/02/2014 at 10:40

    Hola,

    Aunque la pregunta que tengo no corresponde exactamente con este artículo no encuentro otro que se aproxime más.

    Resulta que tenemos unos routers Linux y Cisco con el enrutamiento OSPF habilitado, y queremos añadir a este esquema de red un equipo Windows Server 2008 que también comunique sus rutas.

    He leído que Windows Server 2008 ha eliminado el soporte para enrutamiento OSPF, pero se que es posible resolverlo de alguna manera, pero no encuentro ninguna información en Internet.

    ¿Tendría alguna idea al respecto de cómo podría resolverlo?

    Gracias.

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: