En esta nota veremos la configuración de un servidor para permitir la conexión de clientes desde ubicaciones remotas, con el método de uso más común como son las conexiones VPN
En esta primera nota sobre el tema desarrollaré el ejemplo más simple: autorización por usuario y protocolo PPTP. De acuerdo a la cantidad de visitas veré de complementarla con otras opciones, como ser: autorización por grupos u otras condiciones, y con otros protocolos
El tema lo he tratado con anterioridad, pero sobre Windows Server 2008 R2, y en esta nota lo actualizamos a Windows Server 2012 R2, que aunque conceptualmente es igual, hay cambios en la interfaz
La estructura que utilizaremos es simple, y aún se podría simplificar más, por ejemplo la carpeta compartida de prueba podría estar en DC1, y no se necesita la máquina SRV1, que yo he usado para que sea más completa la demostración
Como vemos en la figura anterior es muy sencilla la infraestructura necesaria de la que partiré: un Controlador de Dominio (DC1), un Cliente (CL1), y dos servidores miembros del Dominio (SRV1 y VPN), uno con dos interfaces de red, que simulan la red interna y la conexión a Internet. Al cliente lo conectaremos a esta simulada Internet para verificar la conexión.
Las configuración de IP se pueden ver en la figura, y el Dominio que estoy usando es el mismo de todas las notas “ad.guillermod.com.ar”
En el Dominio he creado un usuario de prueba (“User Uno”, “AD\u1”), y en SRV1 he creado una carpeta compartida accesible a este usuario
Comenzaremos trabajando sobre el servidor VPN, que es donde haremos toda la configuración, salvo la demostración de conexión del usuario
Observen en la siguiente figura que he renombrados las interfaces de red, una llamada “Interna” y otra “Externa”, esto es muy importante para evitar confusiones
Además, por más que tengamos el servidor protegido por cortafuegos es importante deshabilitar algunas cosas en la interfaz “Externa”: todo salvo TCP/IPv4 y por supuesto NetBIOS
Comenzaremos añadiendo la funcionalidad en la forma habitual, y siguiendo el asistente como muestran las siguientes figuras
Seleccionamos “Remote Access”
Observen los componentes adicionales que instalará, por ejemplo “Web server” (IIS) pues el sistema erróneamente supone que utilizaremos DirectAccess. Lamentablemente aunque no usemos ni configuremos DirectAccess, no se podrá remover este componente pues removerá también el acceso remoto por VPN
A mi entender es un problema ya que afecta y aumenta nuestra superficie de ataque en un servidor que seguramente estará expuesto casi directamente a Internet
Debemos iniciar el asistente, que demora unos segundos en arrancar, de otra forma aparecerá luego
Y comenzamos con la configuración
Es importante que hayamos renombrado las interfaces de red para así estar seguros cuál marcaremos como “Externa”, ya que además que será la única donde recibirá las conexiones entrantes, configurará el cortafuegos interno de Enrutamiento y Acceso Remoto para permitir *únicamente* los protocolos de VPN
Para seleccionar el rango de direcciones que se utilizará para VPN elijo especificar un rango ya que además de no tener servicio DHCP, prefiero un rango de direciones IP diferente al de la red interna. De esa forma es mucho más controlable el tráfico desde el cliente a la red interna, si necesitara hacerlo a futuro
Elijo diez direcciones de la red 172.16.0.0/16, pueden usar cualquier rango privado, y tengan en cuenta que podrán conectarse simultáneamente tantos clientes como direcciones IP menos una (para el servidor) como tengamos
Para esta demostración no utilizaremos RADIUS
Como es “histórico” nos dará el mensaje del “DHCP Relay Agent” que no necesitamos pues no hemos seleccionado DHCP (asignación automática)
¿¿¿Y esto???
Evidentemente se trata de que expiró un “time-out” pero no preocuparse, en cuanto miramos la consola vemos que el servicio ha arrancado. Quizás se deba sólo por el ambiente que estoy usando (todo virtualizado)
Vamos a IPv4 / General y observamos que la interfaz está creada
Si vamos a las propiedades de esta interfaz externa, podremos ver los filtros de IP creados, que como comentamos más arriba, permiten tanto de entrada como de salida *solamente* los protocolos de VPN
Esto seguramente muchos tendrán que modificarlo, pues al ser estos protocolos los únicos permitidos no tendrá ni siquiera posibilidad de navegar por Internet desde el servidor
Si el único protolo de VPN que vamos a utilizar, como en esta demostración, es PPTP, podemos eliminar todas las entradas salvo las referidas a TCP-1723 y protocolo GRE (ID 47)
Ahora comencemos a configurar el cliente. Lo muevo a la red que simula Internet, y le pongo una configuración IP adecuada a esta «Internet simulada»
Debemos crear la interfaz de la VPN para que el cliente se conecte a la red interna. A partir de Windows 8 hay varias formas de llegar a configurar una interfaz VPN, pero me mantengo con los pasos de Windows 7 (No me gusta y no me gusta la interfaz “Modern UI” y trato de evitarla todo lo que pueda)
¿Por qué Microsoft supone que una conexión VPN se puede hacer sólo al lugar de trabajo? :-)
Hace tiempo, cuando todavía no existía la virtualización, recuerdo haber hecho conexiones VPN entre la red de mi casa, y la de un amigo; básicamente para poder hacer experiencias con más equipos
Ingresamos la dirección IP externa de nuestro servidor VPN, y un nombre para la conexión
Ya está creada
La selección de qué protocolo de VPN se utilizará para esta conexión está fijada en automático, lo cual hará que demore bastante en conectarse. Como con la configuración que hemos hecho anteriormente es sin ningún tipo de certificados, sólo podremos usar PPTP, así que conviene configurarlo directamente en las propiedades de la conexión
Con botón derecho elejimos conectarnos
Y tuvo que aparecer :-)
Bueno, pulsamos la entrada y aparecerá el botón para conectarse
Ingresamos las credenciales del usuario de prueba
Y como era esperable recibimos el mensaje de error pues no hemos autorizado al usuario a ingresar en forma remota. Cabe aclarar que aún a la cuenta original de administrador hay que autorizarla para acceso remoto
Así que vamos al Controlador de Dominio, y en las propiedades del usuario, ficha “Dial-in” le asignamos la posibilidad de acceso remoto
Ejecutamos nuevamente el proceso de conexión, y veremos que ahora sí, ya se conecta
Si ejecutamos “IPCONFIG” veremos que tenemos dos direcciones IP, una correspondiente a la conexión a Internet, y la otra correspondiente a la VPN y que fue asignada por el servidor VPN
También podemos verificar que nos podemos conectar desde el cliente a los recursos compartidos de otros servidores (SRV1) que están en la red interna
Y además en el servidor VPN, podemos ver al cliente que está conectado
Por supuesto, en forma análoga a como hicimos para conectarnos, podemos desconectarnos
Hasta aquí hemos visto el procedimiento más simple: autorización por usuario y protocolo PPTP
Veré si a futuro hago la nota sobre autorización por condiciones específicas, por grupo por ejemplo, o con otros protocolos más seguros que PPTP pero más difíciles de implementar
Si alguien quiere ver cómo se puede hacer por L2TP+IPSec o SSTP o IKEv2 puede ver la siguentes notas, que aunque están hechas sobre Windows Server 2008 R2 el procedimiento es totalmente similar, sólo cambia la interfaz
- Preparación de simulación de Internet para Demostraciones
- Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 2 por L2TP-IPSec, SSTP y IKEv2
Continuamos en la próxima nota «Windows Server 2012 (R2): Configurar Servidor VPN con “Network Policies”»
WindowServer 
Comentarios
Esperando las próximas entregas ! :) a ver si tengo mejor suerte que con DirectAccess :(
Hola coldfran
¿No pudiste con el de DirectAccess?
Si puedes, trata de repetirlo con W2012R2 que es más fácil, por lo que he visto alcanza con tener una interfaz con IP pública, pero no controla el acceso a Internet, con lo que la infraestructura necesaria es mucho más simple
hola q tal a mi me sale el siguiente error cuando trato de configurar mi directacces «no se encuentra un adaptador externo con una idreccion ip valida, ipv6 habilitado y sin un perfil de dominio»
Hola angeluz, no puedo usar estas notas para soporte, tanto por el tiempo que llevaría como por la falta de datos adicionales del que pregunta. Y además porque me llevaría una cantidad de tiempo de la cual no dispongo
Para darte una idea par que busques el problema, ya que entiendo que el mensaje que nombras supongo que es en el servidor VPN, revisa la configuración IP de ambas placas de red ya que es necesario que tenga dos, y que el cliente se conecte desde la externa
Tengo un problema, estoy configurando Direct Access, tengo dos tarjetas de red, interna y externa, la externa deshabilito todo menos ipv4 y aun así no me permite configurar con el asistente remoto por que me dice que mi servidor no establece una conexión con el domino, sin embargo, si desactivo la tarjeta externa me lo permite. ¿Me podrías decir si me estoy equivocando en algo o hay algo que ignoro que me provoque este suceso? por favor.
Revisa que la tarjeta externa no tenga configurado ningún servidor DNS. El servidor DNS debe estar configurado solamente en la interfaz interna
Si con eso no funciona, en el «Network and sharing center», pulsa la tecla ALT (Izq) para que aparezca el menú, y elige «Advanced / Advanced Settings» y cambia el orden de las tarjetas
Lo logre, el problema ahora es que en un equipo Windows 8 no logro tener salida a Internet con el adaptador externo, tengo igual dos adaptadores, uno para conectar con mi red interna y otro con la externa. Todo en Hyper-V, esto con el objetivo de comunitar Winodws 8 con Dierct Access. ¿Puedes darme ideas porfavor?
Hola Liliana
Cuando un cliente se conecta por VPN (a un servidor VPN), por omisión envía todo el tráfico de red que no sea de la propia red del cliente, por la VPN, y por eso pierde conexión a Internet. Esto es así por seguridad, imagina que haces en la empresa toda una configuración de seguridad hacia Internet, y se conecta un cliente que está «como si estuviera en la red interna», pero por otro lado tiene una conexión a Internet sin ningún tipo de restricción o control
De todas formas, eso se puede cambiar :-)
En el cliente, en las propiedades avanzadas de TCP/IP, hay una opción marcada por omisión que dice algo así como «Use Default Gateway on remote network», se la desmarcas y listo. Pero te haces cargo de los posibles problemas de seguridad :-)
Dependiendo de la configuración IP de la VPN puede que en el cliente haya que hacer entradas en la tabla de «ruteo». Si lo tienes como la nota, esto es una red diferente a la interna, entonces hay que hacer una entrada en la tabla de «ruteo» configurando que todo lo que va a la red interna, salga por la VPN
Resumiendo, el valor por omisión cuando se conecta un cliente por VPN, es que ésta es su «Default Gateway», pero se puede cambiar
Con respecto a DirectAccess, cuidado que eso es algo totalmente diferente. Con W2012 es relativamente fácil de configurar la implementación sencilla, pero con los sistemas anteriores había muchos requisitos adicionales y la configuración no es fácil
Un ejemplo de implementación de DirectAccess con W2012 en forma sencilla la hice en: Windows Server 2012: DirectAccess Paso a Paso, Sencillo y Fácil | WindowServer:
Espero te sirva :-)
Hola, buen día!
Me podría indicar algún enlace a una página o documento donde se especifique los nombres recomendados para nombrar los equipos y servicios, por ejemplo: DC, SRV, CL, etc
Hola Coldfran, es imposible dar recomendaciones porque puede ser muy variable de acuerdo al tamañao de la organización. Como te imaginarás, no es lo mismo las convenciones de nombres para una pequeña que para un corporación internacional donde además de poder diferenciar fácilmente de qué se trata hay que difrenciar región y país
Respecto a los DCs lo recomendable es pensar muy bien antes de promoverlos a DC, porque luego el cambio de nombre no es igual que cualquier otro equipo, bueno en general esto es también para cualquier servidor
Algo que hay que prestarle mucha atención es al nombre de los grupos, que sea bien descriptivio, porque de otra forma luego cuando se crean nuevos que realmente están coincidiendo con otros que ya tienen la misma función, pero nadie recuerda bien, y se duplican o triplican grupos. Lo que sucede es que nadie se anima a borrar porque no saben si se está usando en algún lado, y lamentablemente los grupos no se pueden deshabilitar, a ver qué pasa :-)
Algo a tener en cuenta es cuál es la sintaxis permitida para cada de los nombres de los diferentes componentes, te dejo un enlace sobre este tema
Naming conventions in Active Directory for computers, domains, sites, and OUs:
http://support.microsoft.com/kb/909264/en-us
Muchas gracias Guillermo !
Atencion, coldfran.
Mira ver si este te sirve.
http://www.guatewireless.org/articulos/convenciones-de-nomenclatura-de-redes-y-servidores.html
¡Gracias Jocli29!
Esperemos que Coldran lo vea
Si, parece interesante! que opinas Guillermo de esta nomenclatura, te parece adecuada para digamos una Universidad que cuenta con un solo campus? o hay otras que sean mas adecuadas!
Hola coldfran, me parece buena opción, pero teniendo en cuenta que hay tantas opiniones como administradores :-)
Por ejemplo, revisa uno de los comentarios, que tiene también su razón, si se puede establecer fácilmente el uso y servicio. También es importante tener en cuenta el tamaño de la organización, no va a ser lo mismo una multinacional que una pequeña red local
En fin, primero tener en cuenta la organización, y luego hay muchos criterios. No me parece mala la opción que da la nota, pero hay también otras posibilidades
Jeje ok, ok, ya me quedó claro que depende de muchas cosas, al final no pude sacarte una respuesta definitiva (porque no la hay claro)
Gracias por la info!
Así es Coldfran, una de las etapas más difíciles es la planificación :-)
Se necesitan además de muchos datos de la organización, poder preveer cómo evolucionará a futuro, lo cual suele ser difícil y sobre todo en estos tiempos
Gracias por ese aporte Jocli29, hace algún tiempo que andaba buscando algo parecido, y hoy casualmente revisando los temas de VPN consigo esto de los nomenclaturas para servidores, me parece excelente.
Hola Guillermo, ante todo me parece excelente tu post, muchas gracias, me ha servido de mucho. Te quería preguntar como hago esta mismas configuración que has hecho en el post sin perder el Internet en el servidor?
Hola Daniela, me queda la duda a «sin perder Internet» porque hay dos posibilidades
Si te refieres a que el servidor no pierda la conexión a Internet (no los clientes internos) entonces hay que modificar los «Input filters» y «Output filters» en las conexiones, permitiendo HTTP y/o HTTPS a la conexión externa del servidor. Revisa la última captura de pantalla del servidor, antes que comiencen las del cliente creando la conexión VPN
Si, en cambio, te refieres a los clientes, entonces hay que agregar y configurar NAT, además de VPN. En este caso es muy importante seleccionar correctamente cuál es la interfaz externa
Hola Guillermo, me refiero a que mi servidor no pierda la conexión a Internet, ya que es en el mismo que estoy configurando la VPN, y al hacerlo como lo has mostrado en el ejemplo queda sin internet, ademas que los programas que tengo configurados para acceso remoto al mismo se desconfiguran. Es decir podría hacer la VPN sin tener que utilizar 2 tarjetas de red?
Hola Daniela, para que un servidor VPN funcione correctamente debe tener dos interfaces, ya que la función es permitir la conexión entre una red «insegura» (Internet por ejemplo) a otra «segura» (Red Interna)
Revisa esta nota: Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 2 por L2TP-IPSec, SSTP y IKEv2 | WindowServer:
En la parte de configuración para que el servidor VPN pueda obtener un certificado digital, modifico los filtros para permitir que el servidor use HTTP/S hacia la red externa
Pero si en el servidor tienes además otras aplicaciones, entonces el tema puede llegar a complicarse. Yo evaluaría hacer la VPN hasta el Router que conecta a Internet, en lugar de hacerlo hasta un servidor interno. Lo que debes es tener mucho cuidado porque en ese caso ante una falla podrías exponer toda tu red a problemas de seguridad. La mayoría de los Router permiten configurarlo como servidor VPN, lee la documentación
Hola Guillermo, he simulado con las mismas ip y todo el rato hacer hacer ping entre las dos máquinas me sale «general failure» o «request timed out», he revisado la configuración de las tarjetas de red y estan como tu explicas arriba, en el Virtual Switch Manager he creado la red como Private, ya que solo necesito conectividad entre esas dos máquinas, no se si se me escapa algo pero a ver si me podéis decir en que puedo estar fallando.
Cada vez que intento conectar la VPN salta el error 807, que es porque hay un problema en la conexión entre las dos máquinas.
Muchas gracias!!
Hola Marc, estoy leyendo este mensaje tuyo, y el siguiente que enviaste y veo que haz encontrado cuál era el problema, por las tuyas :)
Eso es mucho mejor que si alguien más te lo soluciona, recordarás la solución mucho más, por si te volviera a suceder en otra ocasión :)
Chicos muchas gracias por leer el tostón que he escrito arriba, nada más deshabilitar el firewall se me conecto…
Guillermo enhorabuena por el trabajo que haces!! A los que estamos empezando nos viene perfecto para aprender y practicar!!!
¡Me alegro Marc!
Gracias por el comentario
despues de configurar la vpn no me navega a internet como hago para que pueda tener acceso a internet desde el servidor despues de configurar la vpn
Hola Joseph, es lo normal que cuando el cliente se conecta por VPN pierda el acceso a Internet desde la red local
Revisa la respuesta que le he dado a Liliana Sagrero que explica el motivo y cómo solucionarlo
Revisa las imagenes, no se ven correctamente.
Hola Roberto, gracias, estoy revisando
Hola Guillermo , mi duda es la siguiente he visto que en routers vpn algunos por ejemplo gestionan hasta 16 conexiones pptp , si utilizo un servidor vpn como el de este tutorial cuantas conexiones me permite .
Un saludo.
Alvaro Castillo.
Hola Alvaro, el servidor no pone limitaciones, hasta creo recordar que una limitación que tenían algunas versiones anteriores estaban en 250, no lo recuerdo exacto para confirmarte
Las limitaciones están por el hardware, tráfico que haga cada cliente, y sobre todo por el enlace. Ten en cuenta que una VPN implica cifrado y descifrado de la información que se recibe y envía, lo cual consume procesador y genera más tráfico que lo que sería tráfico normal
Hola Guillermo , muchas gracias por tu pronta respuesta , entonces entiendo lo siguiente , aunque el servidor no pone limitaciones pero el router solo soporta 16 tuneles pptp¿ Solo se pueden conectar 16 usuarios? .
Un saludo.
Hola Alvaro, revisa con cuidado la documentación del Router, porque tienen dos especificaciones, una es llamada «VPN Pass-through» y otra «VPN» o «VPN End point»
La primera es cuántos túneles deja pasar, y en este caso aunque tengas un servidor sin limitaciones, el Router no dejará pasar más de 16 simultáneas
Otra cosa diferente es si la VPN la haces con el Router, en cuyo caso admitirá sólo 16 VPN hasta él
Resumiendo, por un lado está cuántas conexiones VPN deja circular a través de él, y otro es cuántas VPNs acepta el propio Router
Es una decisión que debes tomar, si la VPN hacerla hasta el Router, o si pasa a través del Router hasta el servidor
de que manera puede hacer que el cliente que se conecta a la vpn siempre tenga un a ip fija? cuando en el cliente del vpn le pongo una ip fija, no me conecta y lo tengo que dejar dhcp.
Hola sanfred, nunca lo he hecho pero pienso que se puede hacer por varios métodos
En las propiedades del usuario, en la misma ficha donde habilitas el acceso remoto está la opción para asisgnarle una dirección IP para cuando se conecta dicha cuenta
Por otro lado, también lo puedes hacer en el cliente VPN, en las propiedades de TCP/IP
Lo que sí debes tener cuidado es asignarle parámetros correctos: dirección, máscara, puerta de enlace y DNS
en el cliente vpn lo habia probado y no me funcionaba, pero en la ficha del usuario no lo habia visto, y funciona, gracias.
lo que no se, es donde poner los demas datos que me comentas(máscara, puerta de enlace y DNS) ya que solo da la opcion de poner la ip
En las propiedades de la conexión VPN en el cliente, ficha «Networking», propiedades de TCP/IP, y no recuerdo ahora de memoria pero creo que además tienes que entrar con el botón «Advanced»
Saludos, excelente tu sitio. Me permites una consulta de novato. Es posible instalar el role VPN en el DC?
Hola Jean, poder es una cosa, y convenir es otra
Como posible es posible, pero tendrás problemas. Primero hay un tema de seguridad a tener el cuenta ya que el Controlador de Dominio tiene localmente «lo más valioso de la red» como son las cuentas de usuario y sus contraseñas, por lo tanto permitir que reciba conexiones desde Internet es un riesgo muy grande
Y por otro, para ser VPN tiene que tener dos interfaces de red, y esto trae problemas. Al ser también DNS registrará ambas direcciones IP, no puedes evitarlo. Cuando el DNS le responda a los clientes incluirá ambas direcciones. El cliente interno que trate de comunicarse por la interfaz externa no podrá acceder
Gracias Guillermo, te hace sentido hacerlo en un VM? como ves estoy limitado de HW
¿Limitado de Hw o de $? :D
Pienso un poco en voz alta. Tienes un Dominio, si la idea es virtualizar en el DC va mal, porque ahí seguro tiene más de una interfaz de red, además del riesgo de seguridad y la carga. Normalmente conviene tener por lo menos 2 DCs para tolerancia a fallas
Y si pones todo en VMs ¿qué pasaría si el que no funciona es el host? se pierde todo todo. Tener un Cluster hace que el costo se dispare de verdad
Yo evaluaría dos alternativas:
1.- Una HW normal pero «bien armado» para el servidor VPN
2.- Crear la VPN con el Router que te conecta a Internet, seguro que lo admite y 0 gasto
jajjaa. Agradecido por tu respuestas y tu tiempo, te felicito en verdad. Saludos
¡Gracias Jean! :)
Así puedo conectar un server en México y un cliente en Monterrey??
Hola Jorge, sí, así puedes conectar máquinas remotas a la red, no importa en qué lugar del mundo se encuentre :)
Buenos días, podrías por favor explicarme la configuración enterna del adaptador de red interno e externo ? En cuales pongo gateway o dns… Y ya que estoy creando el servidor en un HyperV El adaptdor que añada dentro del hyper V Los dos deben ser en modo «externo» no? Y dentro de la conf de los adaptadores ethernet debería ser la misma que dentro del servidor? es decir uno con la internet publica etc..?
Gracias, un saludo
Hola Javi, te respondo lo siguiente pensando que el servidor forma parte de un Dominio Active Directory
– Interfaz interna: Configuración IP normal de cualquier máquina de la red interna, incluyendo DNS, pero sin Puerta de Enlace
– Interfaz externa: esto depende de cómo sea la conexión a Internet. Si hay un Router, entonces con dirección IP correspondiente a la interfaz del Router, sin DNS, y Puerta de Enlace a la dirección IP interna del Router. Si fuera conexión directa, entonces con la IP pública asignada
Por supuesto que si hay Router hay que redirigir todo lo que le llegue desde «afuera», hacia el servidor VPN
Respecto a la conexión de redes en Hyper-V, debes saber tú cómo están conectadas las máquinas. La interfaz externa tiene que estar en la misma donde está el Router/Internet. Y la interna a la red donde están el resto de tus máquinas del Dominio
Una Disculpa, entonces de acuerdo a este ejemplo, no es necesario abrir los puertos del modem (router del proveedor de internet) para configurar el server??? gracias
Hola Raúl, en la nota no hago referencia al dispositivo provisto por el ISP porque hay varias posibilidades de acuerdo al tipo de conexión, inclusive puedes ver que el servidor VPN en este caso es el que tiene la IP pública
Dependiendo el tipo de Router es la configuración a hacer, no es lo mismo si hace enrutamiento puro o si hace NAT
Para que pase PPTP hay que dejar pasar TCP-1723 y Protocolo GRE (47). Algunos Routers directamente tienen la opción de permitir el paso de PPTP. Debes consultar la documentación del mismo
Buenos dias, necesito una pequeña ayuda. Estoy intentando seguir el fabuloso tutorial que has creado, pero no logro hacer nada. Cuento. Tengo un server 2K16 que tiene dos tarjetas de red (una para internet y otra para la VPN).En manual básicamente sirve para windows 2k16. Sigo la guia. En la tarjeta para internet tengo puesto la ip 192.168.1.10/255.255.255.0/192.168.1.1 y en la tarjeta que servirá para la VPN 131.107.0.1/255.255.0.0.
El ordenador desde el que estoy intentando acceder al servicio VPN está en otra red con otras ips internas (10.0.1.2/255.255.0.0/10.0.1.1). En las propiedades de la conexión VPN le estoy diciendo que utilice la ip 131.107.0.2.
A la hora de intentar conectarme me da el error… «Este error se produce porque se interrumpió la conexión de red entre el equipo y el servidor VPN, puede ser debido a un problema en la transmisión VPN y suele ser consecuencia de la latencia de Internet».
Mil gracias por la ayuda.
Hola José Manuel, me parece que el problema lo tienes en las placas de red ya que nombras «una para Internet y otra para la VPN». La placa conectada a Internet, es la que recibe la VPN, la que el gráfico identifica como «Externa»
La segunda placa de red, identificada como «Interna», va conectada a la red interna donde están el resto de las máquinas
Otro tema que no nombras es si se trata de un ambiente de prueba virtual, o real. Porque si fuera real, hay que configurar el Router que conecta al servidor a Internet de forma de permitir el tráfico de VPN, en este caso PPTP (TCP-1723 + Protocolo GRE)
Aparte, cuidado que la red 131.107.0.0/16 es una red pública, que se puede usar en un ambiente de prueba local, pero no en Internet, hay que usar la IP Real externa del Router
Gracias por tu comentario :)
Hola amigo, una pregunta, en la explicación colocas un servidor VPN que cumple al mismo tiempo la función de router con la IP publica de la organización , en el caso de tener un router corriente con su IP publica asignada por ISP y el servidor VPN aparte, de donde obtendría la IP publica adicional? Y luego de tenerla, el cliente accederá desde su casa a esta IP en lugar de la del router? Gracias un saludo
Hola Alejandro en ese caso el esquema de conexión debe ser Internet — Router — ServVPN — RedInterna
La IP pública la tiene sólo el Router, y debe tener una regla creada (NAT Inverso) donde todo lo que llegue a la IP pública, puerto TCP-1723 y protocolo GRE, lo reenvíe a la IP externa del servidor VPN. Algunos Routers tienen directamente la definción de servidor VPN interno. Además el Router debe soportar «VPN Passthrough», que algunos no lo soportan, hay que leer la documentación del mismo. Eso es si hablamos de protocolo PPTP
Por otra parte, el servidor VPN tendrá dos interfaces, igual que en el esquema de la nota, sólo que en este caso serán con direccionamiento IP privado ambas
UNA CONSULTA
Explico mi ambiente de trabajo.
Tengo un servidor Windows Server 2012 R2 Data Center, en el cual esta alojada una aplicación en el IIS la cual quiero acceder desde otro lugar.
solamente tengo una tarjeta de red, que es la tengo en la red interna pero tambien tiene salida a internet en este caso como podria hacer para configurar la vpn.
Hola Edwin, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Nunca un servidor en la red interna debe tener permitidas conexiones externas, es un mínimo de seguridad, debe ser una máquina dedicada y separada de la red interna
Hola Guillermo, primero felicitarte por los estupendos tutoriales que haces.
Quería preguntarte una duda, se puede definir un interface de red virtual como enlace externo sobre el mismo adaptador físico ? La tarjeta física estaría conectada al router del ISP y en el router se reenvía lo que venga por el puerto 1723 de la VPN a esa IP que sería procesado por el servidor VPN y el resto de puertos (Internet, etc) funcionarían normalmente.
Por ejemplo, en windows 7 existe la posibilidad de crear un «servidor VPN» que aparece como una nueva conexión de red con el nombre «Conexiones entrantes» que funciona sobre la misma conexión de red física.
Es posible definir algo parecido en Win Server 2012R2 ?
Saludos, Jorge
Hola Jorge, gracias por tu comentario :)
No me queda totalmente clara la pregunta, pero por lo que comprendo lo que pides ya lo hace automáticamente el sistema: cuando se configura como servidor VPN se crea una interfaz virtual, con la primera dirección IP del rango de direcciones a asignar a la VPN
Un detalle que debes tener en cuenta, para que PPTP pase por el Router, no es sólo el Puerto TCP-1723, además se necesita el Protocolo GRE (ID 47). Algunos Routers lo hacen automáticamente al marcar «PPTP Passthroug»
Hola Guillermo,
Me refiero a que en tus tutoriales he entendido que se necesitan siempre 2 conexiones de red físicas y la pregunta es si podría hacerse con una sola conexión de red física en el servidor de forma que el servicio de VPN sea uno más de los servicios que presta el servidor.
Sobre los puertos ya me ha quedado claro los puertos y el protocolo que hace falta
Gracias de nuevo
Hola Jorge, un servidor VPN permite el acceso desde una red insegura, a una red segura, por esto es que se necesitan dos interfaces: la «segura» y la «insegura»
Hola guillermo, tu blog es excelente, he leido muchos artículos y me han servido de guía y aprendido muchísimo. Hay algo que no encontré o no fue tratado. yo tengo un servidor con una ip publica a la cual me conecto por medio de vpn y tengo carpetas compartidas para diferentes usuarios que se conectan de forma remota, siempre por vpn. La pregunta es, si en el servidor yo tengo un programa de tercero, realizado por un programador y quisiera darles acceso a los usuario a ese programa, siempre por vpn, para que lo utilizen, se puede?, espero haber sido claro en la pregunta.
Primero que nada, no es bueno si las carpetas compartidas están en el propio servidor VPN, ni aún protegiéndolas con el cortafuegos integrado o uno separado porque implica que está compartiendo «para el lado de Internet». Se puede evitar pero yo no correría ese riesgo
Por lo del programa, en general no es bueno poner un EXE en un servidor y ejecutarlo desde un cliente, primero por un tema de rendimiento del servidor y del tráfico de la VPN, y segundo porque no todas las aplicaciones funcionan multiusuario simultáneo. Otra cosa totalmente diferente es una aplicación cliente-servidor
Antes que nada, muchas gracias por responderme. Entendí lo que me respondiste, pero mas allá del rendimiento del servidor, el servidor ya tiene un software de gestión, facturación, stock, etc. que dentro de la red privada lo están manejando por medio de escritorio remoto. Pero a dicho software de gestión debo darle acceso a ciertas personas de forma remota, vos me recomendarías que realice un escritorio remoto utilizando la ip publica que tiene este mismo servidor?
Vamos por partes. Si ya está implementado Escritorio Remoto para la red interna también se puede implementar para los que se conectan remotamente de la misma forma
Por otra parte, y no me preguntes porque no hago soporte/consultoría, nunca se expone directamente un servidor con IP pública. Esta última está en cortafuegos y hace una redirección por NAT a la IP-Puerto del servidor
Lo mismo que nunca se usa para Escritorio Remoto con acceso externo los puertos por omisión
Hola Guillermo…, antes de nada quiero agradecerte todos los artículos que compartes…, me han ayudado mucho en muchas ocasiones!
En tu ejemplo, al instalar el rol no has marcado la opción de «routing», pero luego, en el esquema, tienes a todas las estaciones internas usando como DG el servidor VPN. ¿No sería necesario instalar también la opción Routing?
Si el rango de direcciones IP que le asignas a las conexiones VPN no está en el rango IP de la red interna (como en tu ejemplo)…, ¿Cómo pueden acceder a los recursos (servidores, impresoras de red, etc.) de la red interna?
No, no hace falta, enruta a traves del DF
Trackbacks
[…] De la misma forma que lo he demostrado en otras notas del blog he configurado el acceso remoto por VPN. Si tienen dudas pueden consultar el siguiente artículo, aunque por supuesto pueden variar nombres y direcciones IP utilizadas Windows Server 2012 (R2): Configurar Servidor VPN | WindowServer: https://windowserver.wordpress.com/2014/03/27/windows-server-2012-r2-configurar-servidor-vpn/ […]
[…] la nota anterior (“Windows Server 2012 (R2): Configurar Servidor VPN”) hemos visto cómo configurar el servicio VPN (Virtual Private Networks) para permitir las […]
[…] Windows Server 2012 (R2): Configurar Servidor VPN | WindowServer […]