Windows Server 2012: Demostración Conectando Clientes a la Red por VPN

En esta demostración veremos de manera sencilla cómo podemos configurar un Windows Server 2012 para permitir el acceso remoto a nuestra red usando VPNs (Virtual Private Network), con un cliente Windows 8

Utilizaré para la demostración la configuración más sencilla posible a los efectos demostrativos, reutilizando la mayor parte posible de las máquinas que venimos utilizando para estas demos. Sólo 3 máquinas según se detalla a continuación:



Controlador de Dominio: dc1.root.guillermod.com.ar

  • Dirección IP/Máscara: 192.168.2.201/24
  • Puerta de Enlace: 192.168.2.253
  • Servidor DNS: 127.0.0.1

Servidor VPN: vpn2.root.guillermod.com.ar

  • Interfaz Interna:
    • Dirección IP/Máscara: 192.168.2.253/24
    • Puerta de Enalce: ninguna
    • Servidor DNS: 192.168.2.201 (el DC)
  • Interfaz Externa:
    • Dirección IP/Máscara: 192.168.222.100/24
    • Puerta de Enlace: ninguna
    • Servidor DNS: ninguno y configurado para que no registre interfaz
    • En las propiedades de la conexión: deshabilitar todo salvo TCP/IP v4

Cliente: cl en grupo de trabajo

  • Dirección IP: Automática desde un DHCP externo a la demo

En la siguiente pantalla podemos ver la configuración del servidor VPN

De la misma forma que en las demostraciones anteriores en este caso agregaremos la funcionalidad “Remote Acces” siguiendo el asiste

Podemos observar en la pantalla anterior que entre los componentes requeridos, figura el IIS. Esto es debido a que prevee la utilización además de VPN de DirectAccess

Y comenzamos el asistente de configuración

En esta ocasión veremos solamente la implementación de VPN, sin DirectAccess

De esta forma abrirá la conocida consola RRAS para que ejecutemos la configuración del servidor

No ha modificaciones respecto a versiones anteriores

Prestemos atención a seleccionar la interfaz externa, pues configurará filtrado de paquetes permitiendo solamente los puertos necesarios para VPNs

Como en la infraestructura no estoy utilizando DHCP, utilizaré un rango de red

Y ya nos queda configurado el servidor VPN

Lo que haré ahora es autorizar a un usuario para que pueda ingresar por VPN. En este caso y por simplicidad he elegido a la cuenta Administrator, aunque podría haber sido la de cualquier usuario

En el Controlador de Dominio, en Active Directory Users and Computers, sobre las propiedades de la cuenta, ficha “Dial-In”

Ahora debemos hacer la conexión de VPN desde el cliente (CL2), que aunque es Windows 8, su configuración es muy similar a los sistemas operativos anteriores

¿Por qué Microsoft siempre supone que las VPNs se hace sólo al “lugar de trabajo”? :)

Debemos ingresar la dirección IP de la interfaz externa del servidor VPN

Cuando le digamos que vamos a conectarnos nos abre “algo” sobre el margen derecho

Lo seleccionamos y aparecerá la opción para conectarse

Ingresamos las credenciales

Y en pocos segundos, nos dice que está conectada

Vemos la configuración que tenemos del lado del cliente

Interesante, observen la autenticación

Verifiquemos conectividad con otro equipo de la red, en este caso DC1

La conexión del cliente también la podemos verificar desde VPN2

Finalmente desconectamos desde el cliente

 

Con esto hemos demostrado, la conectividad por VPN desde un cliente Windows 8 hacia un servidor VPN Windows Server 2012.
Permitiendo de esta forma que un cliente remoto pueda acceder a los recursos de la red interna desde cualquier equipo con conectividad a Internet

Algo que debemos considerar si nuestro servidor VPN estuviera detrás de un Router o Firewall es que debemos dejar pasar PPTP, para eso debemos desbloquear o reenviar el puerto TCP-1723, y el Protocolo GRE (47)

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • josé dávalos  On 31/07/2012 at 19:49

    Hola. Gracias por el interesante artículo. Una corrección:
    En donde indicas las direcciones IP del servidor “vpn2.root.guillermod.com.ar” has puesto que la Interfaz Interna tiene: 192.168.222.253, pero en realidad es: 192.168.2.253/24.
    Un abrazo.

    • Delprato  On 01/08/2012 at 14:15

      Correcto, olvidé poner la máscara, ya lo corrijo

      • josé dávalos  On 02/08/2012 at 11:30

        No solo la máscara, mi amigo, sino que el tercer byte está errado: dice 222 pero es 2, lo que podría confundir a los lectores.

      • Delprato  On 02/08/2012 at 15:04

        Ya lo corregí. Gracias :)

  • hola buenas tengo un servidor en la oficina central, y necesito conectar un cliente desde otra cuidad para que tenga acceso a los recurso de mi red interna he hice todo los paso y aun no me funciona. tengo un router cisco y active el puerto 1723 con la direcion externa donde los clientes salen a internet no se que estoy haciendo mal :( porfaa ayuda

    • Guillermo Delprato  On 01/09/2014 at 07:57

      Hola Mario, entiendo que tienes puesto el servidor VPN (con dos interfases de red) atrás del Router
      En ese caso no sólo es TCP-1723, sino que además hay que permitir el paso del *protocolo* 47 (GRE)
      Debes leer la documentación del Router, para ver si permite el paso de protocolos, o si tiene una opción llamada “VPN Pass-through”

      Por temas de espacio no puedo usar estos comentarios para soporte, sólo puedo orientarte si veo la solución a un problema

      • Mario Herrera (@cmario_herrera)  On 01/09/2014 at 11:21

        Hola guillermo sera que es posible de regalarme tu correo y me puedas aclarar ese tema, de verdad te lo agradezco.

      • Guillermo Delprato  On 01/09/2014 at 15:37

        Hola Mario, el problema que tengo es que como no me mando correos a mí mismo desde hace tanto tiempo, me lo he olvidado Ja ja ja
        No, lamentablemente no hago soporte. Y los comentarios sobre la nota trato que sean sobre la nota en si misma. Si puedo dar una ayuda u orientación lo hago sin problemas, pero no puedo ponerme a analizar el caso de cada uno

  • Ok gracias Guillermo mi servidor tiene dos tarjetas de red un LAN(interna) y otra WAN,(externa) utilizo el servidor como enrutamiento para que los clientes salgan de la LAN atraves de la WAN hacia internet no se si eso afectaria en algo la configuracion de la VPN ademas tengo dchp que le da las direcciones a los clientes. la direcion de la LAN es 192.168.1.34 y la de la WAN es 192.168.1.47 . a la hora de hacer la conexion de el cliente con la vpn que direcion utilizo?
    y en el router ya le di acceso a puerto TCP-1723, y el Protocolo GRE (47).
    pero aun me sigue sin funcionar? no se si me das alguna sugerencia gracias!!!

    • Guillermo Delprato  On 02/09/2014 at 07:12

      Hola Mario, si las máscaras de subred de ambas placas del server que utilizas como enrutador son 255.255.255.0 entonces no rutea
      Un Router, mueve tráfico entre dos subredes diferentes, y por lo que pones parece que ambas placas están en la misma red

  • Ummm y eso es problema para que la vpn funcione, yo el cabla de la red LAN lo tengo conectado al switch y el la la WAN al router. probe la conexion de la vpn internamente y me funciono. pero no me funciona desde afuera..

    • Guillermo Delprato  On 03/09/2014 at 18:09

      Mario, el servidor VPN debe estar *entre* la LAN interna, y el Router. Esa es la única forma para que el tráfico desde tu red interna salga a Internet. No confundir resolución DNS, con tráfico IP
      El esquema debería ser: RedInterna — Switch — VPN — Router
      Además ten en cuenta que no es abrir el puerto, sino *redirigir* el tráfico de la VPN. O sea todo lo que sea TCP-1723 y protocolo GRE en la interfaz externa del Router, redirigirlo a la dirección IP externa del servidor VPN

      • Mario Herrera (@cmario_herrera)  On 05/09/2014 at 00:15

        pues a si esta mi esquema y nada no he logrado que me funcione :(

      • Guillermo Delprato  On 05/09/2014 at 08:52

        Mario, si funciona desde adentro, pero no desde afuera, la posibilidad más común es que cuando se configuró la VPN haz seleccionado incorrectamente la interfaz externa, en cuyo caso recibe de adentro pero no desde afuera
        Revisa cuál de las dos en RRAS tiene puestos los filtros de IP, esa es la que configuraste como externa
        Además, te va a suceder que ese servidor va a dejar de navegar, y habrá que habilitar permitir HTTP/HTTPS en la interfaz externa

  • ps si seleccione la interfaz externa que esta conectada directamente a router del proveedor y como miro cual tiene filtros de IP

  • ABY FAVELA  On 14/04/2015 at 12:48

    Hola, me podrías ayudar, en el paso donde es autorizar a un usuario para que pueda ingresar por VPN, como abro “Active Directory User and Computer”?

    • Guillermo Delprato  On 14/04/2015 at 13:50

      Hola ABY, si no sabes cómo abrir “Active Directory Users and Computers” es porque no tienes ambiente de dominio Active Directory, como está desarrollado en la nota
      En ese caso debes crear un usuario local en la máquina, que para seguir la nota debe ser un sistema servidor y no de escritorio, y darle el permiso de acceso Dial-up

  • ad31707  On 14/09/2016 at 02:16

    todo lo que consulte en internet saldra con ip de origen la dada por la vpn una vez conectados?

    • Guillermo Delprato  On 14/09/2016 at 06:10

      No comprendo bien la pregunta, pero por omisión y como está en la nota, cuando el cliente acceda a Internet lo hará pasando por la VPN y accediendo al sitio web saliendo por la IP externa del servidor VPN

      • ad31707  On 15/09/2016 at 02:31

        has respondido mi pregunta exactamente, gracias guillermo

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: