Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 2 por L2TP-IPSec, SSTP y IKEv2

En esta segunda nota continuaremos con la configuración para conectar clientes a la red por VPN, completando los tres protocolos adicionales: L2TP+IPSec, SSTP y IKEv2.

Esta nota supone que está disponible y funcionando correctamente lo ya descripto en la primera parte Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 1 por PPTP

Además, considerando que para configurar los otros protocolos necesitamos una infraestructura que simula Internet, donde tendremos disponible el servicio DNS y una Autoridad Certificadora, antes de comenzar se deberán completar los procedimientos detallados en Preparación de simulación de Internet para Demostraciones

Recordemos lo que configuramos en la primera parte:

En la preparación de la simulación de Internet agregamos a la red marcada como Internet en la figura anterior, un servidor (inet-srv.isp.com) que tiene configurado:

  • Servidor DNS, con la zona correspondiente a guillermod.com.ar (representativa de la presencia en Internet de la empresa), con el registro A correspondiente a vpn.guillermod.com.ar que apunta a la interfaz externa de VPN1
  • Autoridad Certificadora de tipo Raíz llamada Comercial-CA

Dado que los protocolos que usan certificados necesitan resolución de nombres, debemos configurar en CL1 al servidor DNS que resolverá los nombres. En nuestro caso será 131.107.0.100 (inet-srv.isp.com)

De la nota anterior ya tenemos configurado el acceso por PPTP, en esta comenzaremos creando en el cliente tres conexiones más, usando cada uno de los tres protocolos restantes.

Comenzamos por crear la conexión que usará L2TP+IPSec

Para eso en el Network and Sharing Center, elegimos Setup a New Connection or Network, y seguimos el asistente usando como nombre un identificador del protocolo que usará, en este caso “Conexión L2TP+IPSec”

En las propiedades de la conexión específicamente marcamos que se usará L2TP+IPSec

Siguiendo el mismo procedimiento, crearemos dos conexiones más, pero especificando en una el protocolo SSTP, y en la otra IKEv2

Quedando finalmente la conexión de red local y las cuatro de VPN ya configuradas

Para que no tengamos dudas, que ninguna funcionará sin configuración adicional podemos probarlas

Visto lo anterior, podemos sacar la primera conclusión

CONCLUSIÓN 1: PPTP es la más fácil de implementar

Es fácil darnos cuenta que al usar protocolos que utilizan certificados, necesitaremos como primera medida obtener un certificado digital de máquina para el servidor VPN1

Como el asistente de configuración de VPN ha colocado filtros tanto de entrada como de salida en la interfaz externa, debemos momentáneamente permitir tráfico para poder acceder a solicitar e instalar el correspondiente certificado.
Para no hacer más compleja esta demostración, simplemente permitiré todo el tráfico tanto de entrada como de salida en la interfaz externa.

Para esto en VPN1, en Routing and Remote Access, vamos a las propiedades de esta interfaz, y agregamos permitir el tráfico a todos los protocolos. Las siguientes figuras muestran el procedimiento. Repetiremos el procedimiento tanto para Inbound Filters como para Outbound Filters.

Y por último reiniciamos el servicio para asegurarnos que tome la configuración

La última configuración preparatoria que haremos es agregar en la interfaz externa de VPN1 la dirección de nuestro servidor DNS de “Internet”

Los procesos que ejecutaremos a continuación, y que aparentemente complejizan esta demostración, están determinados por tres causas fundamentales:

  1. Las mejoras de seguridad de Internet Explorer
  2. El hecho de estar utilizando una Autoridad Certificadora propia, no comercial, que no forma parte del programa de Microsoft
  3. Las mejoras de seguridad en el manejo de certificados digitales, que se instalarán por usuario, aunque sean certificados de máquina

Así que dispongámonos a “trabajar” :-)

En VPN1, en la configuración de seguridad de Internet Explorer, agregaremos a nuestra autoridad certificadora, como parte de nuestra Local Intranet, y debemos bajar el nivel predeterminado de seguridad al mínimo.

Siguiente nos conectaremos por HTTP al sitio web de la Autoridad Certificadora (en adelante la CA) para descargar el certificado de la CA, que dejaré sobre el Desktop

De esta misma página descargamos además la última Base CRL que dejaremos también sobre el Desktop (Agregarle la extensión de archivo CRL a mano)

A continuación, crearemos una consola (MMC) donde cargaremos los complementos Certificates para “My user” y “Local Computer”

Importamos el certificado de la CA en Trusted Root Certification Authorities de la parte de máquina

Con botón derecho sobre el archivo CRL que dejamos sobre el Desktop elegimos “Install CRL”

Está CRL quedará instalada en Certificates – Current User / Intermediate Certification Authorities / Certificate Revocation List.
Con Copiar/Pegar la agregaremos en el mismo lugar pero en la parte de Certificates (Local Computer)

Por último, solicitaremos el certificado de máquina

Atención con la pantalla que sigue. Debemos especificar el nombre que utilizará el cliente para acceder a la máquina, independientemente del nombre que tenga localmente, en este caso “vpn.guillermod.com.ar”
También prestar especial atención que se trata de un certificado para Server Authentication, y que debemos marcar que se pueda exportar la clave privada

Al estar usando una CA de tipo stand-alone, debemos ir a la consola de administración de la misma en la máquina inet-srv.isp.com y otorgar el certificado solicitado.

Ahora nuevamente desde VPN1, vemos el estado del pedido e instalaremos el certificado otorgado

Llegados a este punto, si deseamos podemos ir a Enrutamiento y Acceso Remoto y eliminar los filtros de seguridad que habíamos hecho provisoriamente para permitir el tráfico de obtención de certificados.
Lo mismo para restaurar la configuración por omisión de Internet Explorer.

Nos falta lo últimio. Como aunque es un certificado de máquina, el sistema lo ha instalado en la parte de usuario, debemos exportarlo de una parte para importarlo en la otra

Si volvemos a CL1 y volvemos a probar las cuatro conexiones que hicimos anteriormente podremos verificar que:

  • PPTP: sigue conectándose sin problemas
  • L2TP+IPSec: no se conecta, se requiere certificado de máquina en el cliente
  • SSTP: sigue sin conectarse, ya que no puede verificar el certificado del servidor VPN
  • IKEv2: sigue sin conectarse, ya que no puede verificar el certificado del servidor VPN

Ante esto es evidente lo que nos falta. Si estuviéramos utilizando una autoridad certificadora comercial adherida al programa de MIcrosoft ya tendríamos resuelta la conectividad por SSTP y IKEv2.

Como estamos en un ambiente de laboratorio propio deberemos hacer la configuración manualmente.
Análogamente como hicimos con VPN, debemos instalar en CL1 el certificado de la autoridad certificadora (CA) y su correspondiente CRL. Es el mismo procedimiento ya realizado, sólo que ahora es en CL1 y por eso no agregaré más figuras, pero entiendo que es sencillo siguiendo los mismos pasos

Hecho lo anterior podemos verificar que ya se puede hacer la conexión por SSTP y IKEv2.
Lo que todavía no funciona es L2TP+IPSec. Para que este último se pueda utilizar es necesario que en CL1 se obtenga un certificado de máquina.
Esto se hace en forma análoga como hicimos con VPN, incluyendo la exportación desde la parte de usuario a la parte de máquina, a partir de lo cual CL1 se podrá conetar por L2TP+IPSec

CONCLUSIÓN 2: Tanto para SSTP como para IKEv2, sólo es necesario un certificado de máquina en el servidor VPN otorgado por una Autoridad Certificadora confiable. No es un costo excesivo

Ahora que ya podemos conectarnos usando los cuatro protocolos podemos observar qué métodos de autenticación y cifrado utiza cada uno de ellos

CONCLUSIÓN 3: Aunque PPTP es sencilla de implementar hay métodos más seguros

CONCLUSIÓN 4: La seguridad de SSTP está dada por los certificados digitales utilizados ya que usa TLS, encapsulando PPP en HTTPS

CONCLUSIÓN 5: La ventaja de SSTP está dada por usar HTTPS (TCP 443) que generalmente es un puerto abierto en los cortafuegos empresariales

CONCLUSIÓN 6: La encriptación más segura está dada por IKEv2 que utiliza AES-256

Y aún hay una ventaja más usando IKEv2, que Microsoft identifica como “VPN Reconnect”

Hagamos la siguiente prueba, conectémonos con IKEv2, bajemos el cortafuegos en SRV1, y hagamos un “ping continuo” (PING -t  192.168.1.1) desde CL1

Ahora, supongamos que con nuestra portátil (CL1) nos desplazamos y cambiamos de Access Point y por lo tanto la dirección de red de la placa real.

En las siguientes figuras podemos observar si mientras seguimos con PING cambiamos la dirección IP de la placa real, en este caso de 131.107.0.2 a 131.107.0.20

Como resumen podemos afirmar que:

CONCLUSIÓN 1: PPTP es la más fácil de implementar

CONCLUSIÓN 2: Tanto para SSTP como para IKEv2, sólo es necesario un certificado de máquina en el servidor VPN otorgado por una Autoridad Certificadora confiable. No es un costo excesivo

CONCLUSIÓN 3: Aunque PPTP es sencilla de implementar hay métodos más seguros

CONCLUSIÓN 4: La seguridad de SSTP está dada por los certificados digitales utilizados ya que usa TLS, encapsulando PPP en HTTPS

CONCLUSIÓN 5: La ventaja de SSTP está dada por usar HTTPS (TCP 443) que generalmente es un puerto abierto en los cortafuegos empresariales

CONCLUSIÓN 6: La encriptación más segura está dada por IKEv2 que utiliza AES-256

Conclusión 7: El protocolo IKEv2 además de ser relativamente sencillo de implementar y ofrecer la mejor seguridad, agrega la reconexión automática ante cualquier cambio de dirección IP

By Guillermo Delprato, on 02/10/2011 at 16:55, under Conectividad de Red, How To - Step-by-step - Paso a paso, Servicios de Red. Etiquetas: , , . 30 comentarios
Publica un comentario o deja una referencia: URL de la referencia.

Comentarios

  • RicardoMaciasCruz  El 08/03/2012 a las 17:02
    Permalink | Responder

    GuillemoD un saludo, quisiera saber si todo lo antes expuesto, puede ser implementado con un server 2008 como server y clientes windows xp y windows7 saludos.

    • Delprato  El 08/03/2012 a las 19:00
      Permalink | Responder

      Para usar cada protocolo se necesita que esté soportado tanto en el servidor como en el cliente.
      Y si no son la misma versión, entonces «el que manda» es el más viejo

      Con XP/W2003: PPTP o L2TP+IPSec
      Con Vista/W2008: a lo anterior le sumas SSTP
      Con Win7/W2008-R2: a lo anterior le sumas IKEv2

      Por lo que comentas, si el servidor es W2008 (no W2008-R2), lo máximo es SSTP desde un Win7
      Y los clientes XP, sólo PPTP o L2TP+IPSec

  • carlos silva  El 18/05/2012 a las 12:41
    Permalink | Responder

    muy bueno, cuando pueda tratare a aplicar IKEv2 en el server08 r2 de la empresa :)

    gracias

    • Delprato  El 18/05/2012 a las 13:14
      Permalink | Responder

      Hay diferencias muy buenas entre W2008 y W008-R2 que justifican el cambio
      Pero recuerda que para usar IKEv2 se necesita que ambos sistemas estén actualizados con por lo menos W2008-R2 y Win7

  • gerente  El 25/02/2013 a las 13:25
    Permalink | Responder

    pasadme la vm virtualbox correo gerentes2k@gmail.com
    gracias

  • fercho  El 20/06/2013 a las 15:03
    Permalink | Responder

    Puedo configurar VPN usuando server 2008 enterprises y CL1 en Windows8??, cual recomiendas para W8

    • Delprato  El 20/06/2013 a las 15:19
      Permalink | Responder

      Hola fercho
      Puedes utilizar como cliente la versión que quieras, puedas y a tu gusto
      Funciona con W7 y también con W8

  • fercho  El 20/06/2013 a las 15:05
    Permalink | Responder

    ya lo he tratado de configurar pero tengo problemas con error 800 algun tip?

    • Delprato  El 20/06/2013 a las 15:24
      Permalink | Responder

      El error 800 es que no puede contactar al servidor y las causas pueden ser varias

      Entre otras: que un cortafuegos esté impidiendo la conexión, que si tienes un router/proxy no estén redirigidos los puertos y protocolos necesarios, que cuando se seleccionaron las interfaces de red quedaran intercambiadas (externa por interna), que estés tratando de conectarte desde la red interna, etc. etc. Hasta si pones mal la dirección da ese error :-D
      La única posibilidad que se me ocurre es revisar cada uno de los pasos, y si tienes un router/proxy/nat adelante del servidor VPN que veas la redirección de puertos y protocolos (cuidado «protocolos», «no puertos»)

      Entiendo que haz hecho la parte 2, para la obtención de certificados y resolución de nombres ¿si?

      También tienes la posibilidad de probar con PPTP, para ver si el problema está en el servidor, o en otro lado

  • Jorge Luis  El 22/11/2013 a las 16:41
    Permalink | Responder

    Gracias por el blog es de mucha ayuda, son mis inicios en el proceso de aprendizaje de conexiones VPN y también gracias por todas las respuestas sobre las inquietudes, ya que ello reforzó mas aun algunas dudas que tenia

  • Roberto  El 28/11/2013 a las 14:58
    Permalink | Responder

    Buena explicación y descripción, solo tengo una pregunta que hacerte, en Windows Server 2008 R2, como puedo aumentar el ancho de banda de mi conexión RAS, ya que cuando veo la NIC en el servidor me indica que tiene un ancho de banda máximo de 256Kbps.

    • Guillermo Delprato  El 29/11/2013 a las 06:49
      Permalink | Responder

      Hola Roberto, si lo que ves es en las propiedades de la NIC entiendo que no tiene relación con VPN. Eso suele estar relacionado con problemas en la placa, cableado o Switch
      En las propiedades de las NICs se puede configurar la velocidad (Speed), y también «autoconfiguración». Esta última es la que suele traer problemas. Mi experiencia es que conviene configurarla de acuerdo al Switch, y no dejarla como «autoconfiguración»

      • Roberto  El 29/11/2013 a las 18:07
        Permalink

        A lo mejor no me explique bien, aquí va de nuevo mi problema. Cuando veo en el panel de conexiones de redes la tarjeta creada por VPN en la propiedad Estado la velocidad que aparece en la ventana es de 256Kbps, siendo que tengo un enlace de internet de 10M. Saludos.

      • Guillermo Delprato  El 29/11/2013 a las 18:26
        Permalink

        Realmente no me doy cuenta dónde :(
        ¿Puedes poner una captura de pantalla? en Skydrive o en cualquiera de los sitios que hay, y que se pueda acceder sin iniciar sesión
        A ver si me doy cuenta dónde está el problema

      • Roberto  El 29/11/2013 a las 18:36
        Permalink

        me puedes enviar tu correo para enviarte la imagen. Saludos y gracias.

      • Guillermo Delprato  El 29/11/2013 a las 20:01
        Permalink

        No :)
        Pon en un buscador «subir imagenes» y tienes varios y gratis, inclusive hay un par que se llaman «subirimagenes» :)

  • Rene  El 14/01/2015 a las 17:36
    Permalink | Responder

    A través de un VPN, puedo conectar entre dos servidores???

    • Guillermo Delprato  El 14/01/2015 a las 18:07
      Permalink | Responder

      No comprendo tu pregunta Rene, la figura en la nota creo que es bastante explícita
      Si te refieres a que el ciente pueda ser un servidor, por supuesto que sí

  • Ricardo Rodríguez  El 29/05/2015 a las 01:58
    Permalink | Responder

    Hola Guillermo. Muy buena tue explicación, solo que aún tengo una duda muy grande: ¿cómo hacer para conectarse desde afuera a un servidor VPN y no con simulaciones con máquinas virtuales?

    Agradecería mucho tu respuesta.

    • Guillermo Delprato  El 29/05/2015 a las 07:29
      Permalink | Responder

      Hola Ricardo, lo primero a tener en cuenta es cómo te conectas a Internet ¿hay un Router (lo normal)? ¿o el servidor se conecta directamente (espero que no)?
      Habiendo un Router entre el servidor VPN e Internet, debes leer la documentación del Router para ver si soporta dejar pasar VPN (VPN-Pass Through) y qué protocolos, porque a veces soporta PPTP solamente
      Si lo soporta sólo hay que configurar el Router para que deje pasar la VPN y la reenvíe a la placa exterior del servidor VPN
      Si no hubiera Router de por medio, simplemente desde afuera hay que conectarse a la dirección IP pública del servidor VPN

      Como te imaginarás no hago las pruebas con máquinas en real porque alteraría toda mi infraestructura y además sería muy específico, para «mi Router», con «mi necesidad», «mi configuración», etc. :)

  • ℑℓζυχ «Grake» ŞταяℒііŋĞ™  El 22/09/2015 a las 17:54
    Permalink | Responder

    tengo un programa con Windows server 2008r2, la configuraciones están hechas con un dominio entonces nosotros conectamos los clientes al dominio y le creamos un perfil, pero no obstante a eso el primer problema que tiene la empresa es el programa empresarial que usan alla no es el programa si no la configuraciones que se habían hechos cosas que yo no hice entonces en el servidor compartes el programa al cliente. pero se le hace un acceso directo, entonces lo conectamos al dominio que había configurado.. pero a la mayoría se le cae mucho y otros se le cae y hay que reiniciar el servidor para que le vuelva a funcionar. pero quiero solucionar ese problema que tiene ustedes me puede dar sus opiniones muy urgente.. dixgrake@gmail.com

  • Miguel  El 09/04/2017 a las 14:33
    Permalink | Responder

    Buenas tardes Guillermo, ante todo gracias por tus aportaciones. Me he metido en un embolado y cualquier luz que puedas aportar sería de agradecer.
    Escenario: En una empresa tienen una conexión a internet por cable router de ONO, del cual tengo sus datos privados y públicos. Dispone de IP Fija aunque ahora lo tiene en automático.Tiene 4 puertos LAN ninguno WAN. Lo que pretenden es crear una VPN para que un cliente remoto conectado por una conexión doméstica trabaje desde casa. Supuestamente tambien tengo sus datos. En la empresa a instalar la VPN NO hay Controlador de dominio, trabajan con grupo de trabajo a pesar de tener un Windows server 2012.
    Me han dado un router VPN marca TP LINK modelo ER604W. El cual tiene puerto WAN, un puerto WAN/LAN y 3 puertos WAN. Con la idea de usarlo para crear la VPN.
    Primera duda: ¿ Como entra dicho router VPN en el esquema de la red de la empresa? Conecto un puerto lan de salida del cable router de ono a la puerta WAN del router VPN? Y de ser así, ¿Tengo que configurar datos en la interfaz WAN del router VPN o los coge solos y que datos?
    Después…supongo que tendré que conectar un puerto LAN de salida del routerVPN al sistema existente, supongo que al switch de la empresa.
    ¿Hace falta conectar algo mas?
    La segunda parte de la pregunta es, como encaja el router VPN, en lugar de el servidor VPN de tu ejemplo de ppTP o añadido? esa es mi mayor duda.
    Entiendo que en el servidor actual de la empresa tengo que hacer la parte de agregar el rol de VPN o ese será sustituido de alguna manera por el router VPN y como?
    Lo que si tengo claro es que al usuario que vaya a utilizar el cliente remoto en su VPN client habrá que darlo de alta en el grupo del servidor y darle acceso remoto permitido. (Creo)

    Aparte de todo, Tengo que tocar algo dentro del cable router existente, como redireccionar alguna petición entrante por port forwarding a la ip local del Router VPN? y que puerto? Tengo que abrir puertos en dicho cable router existente?

    Sé que son muchas cosas, pero por poca luz que me aportes me sentiré inmensamente agradecido. Saludos.

    • Guillermo Delprato  El 10/04/2017 a las 07:04
      Permalink | Responder

      Hola Miguel, lamentablemente no puedo hacer desde acá consultoría o soporte, hay muchos datos que se deben tener en cuenta que no conozco, sólo oriento cuando puedo
      Hay datos de lo que comentas que por lo menos parecen «raros» ¿cómo es que el Router no tiene WAN? tiene que tener alguna porque de otra forma no da acceso a Internet. También, y como te imaginarás, desde Argentina no tengo idea de cómo configura ONO las conexiones :)
      Hay que pensar bien cómo se va a configurar, porque tener dos Routers te va a traer dificultados para configurar las tablas de enrutamiento de las máquinas
      Por lo que creo comprender de lo que comentas, ahí lo más sencillo va a ser hacer la conexión VPN hasta el Router que dé conexión a Internet, y más porque si se trata de un único usuario no justifica complicarse, salvo por supuesto mantener la seguridad. La solución más simple suele ser la mejor :)

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.