Windows Server 2012 (R2): Configurar Servidor VPN con “Network Policies”

En la nota anterior (“Windows Server 2012 (R2): Configurar Servidor VPN”) hemos visto cómo configurar el servicio VPN (Virtual Private Networks) para permitir las conexiones remotas a la red de la forma más simple posible, aunque no la mejor para todos los casos, como es la autorización de acceso remoto usuario por usuario, y sin ningún tipo de restricción prácticamente

En esta ocasión, y usando la misma estructura creada, veremos la utilización de Network Policy Server (NPS) como servidor RADIUS, para facilitar y eventualmente limitar posibles restricciones. En este ejemplo desarrollaré la autorización mediante grupos de Active Directory, y mostraré algunas de las otras posibilidades

Recuerdo la infraestructura ya creada, y que hemos dejado en funcionamiento de la nota anterior

Para poder demostrar la autorización de acceso por grupos, he creado en el Dominio tres usuarios (u2, u3 y u4), y un grupo llamado “Acceso por VPN”, donde he incluido solamente a los dos primeros (u2 y u3). El objetivo es demostrar que sólo podrán acceder los que pertenecen al grupo en cuestión

Además, los usuarios creados han quedado con las propiedades por omisión, esto es, que el acceso será determinado por la “Network Policy”

Para alcanzar el objetivo propuesto en la nota necesitamos instalar en la red una nueva funcionalidad como es “Network Policy Server”, que se podría instalar en DC1, aunque para claridad y como conveniente lo haré en SRV1

Comenzamos instalando el rol en la forma habitual, como muestran las siguientes pantallas

Seleccionamos “Network Policy and Access Services” y agregamos las funcionalidades necesarias

Ya tenemos disponible la consola para configurar el servicio

Lo primero ha hacer es registrar al servidor en el Dominio. Lo que hace esto en realidad es incluir la cuenta de máquina en el grupo de Dominio “RAS and IAS Servers”, el que tiene permisos de leer la ficha “Dial-in” de los usuarios, a efectos de evaluar la autorización de acceso remoto

El sistema deberá reiniciar el servicio

Usaremos el asistente de configuración, ya que simplifica el proceso, elijiendo la opción que necesitamos

Y seguimos el asistente

Atención con la siguiente pantalla. Con el botón “Add” debemos especificar qué máquina será el “RADIUS Client”, y además especificar una contraseña que será usada luego en el servidor VPN cuando identifiquemos qué máquina será el “RADIUS Server”. No la olviden, esto es como una “presentación”, al RADIUS Server le tenemos que informar cuál es el RADIUS cliente, y viceversa

Y seguimos con el asistente

Podemos observar que actualmente todos los clientes pueden usar MS-CHAPv2 y dejarlo así

En esta pantalla podemos ingresar el grupo que hemos creado específicamente para autorizar el acceso remoto

Y seguimos el asistente

Observen la siguiente pantalla que puede tener configuraciones útiles de ser necesarias, porque puedo configurar filtros de entrada y salida. Esto permitiría por ejemplo limitar a qué máquinas se pueden conectar cuando ingresan por VPN

Podemos elegir la opción más segura

No tenemos en esta nota nada con Unix/Linux así que seguimos adelante

Y finalizamos

Podremos observar que el sistema ha creado una “Network Policy” llamada “Virtual Private Network (VPN) Connections”. Para nuestro caso es importante que sea la primera listada (la de más arriba)

Es interesante ver las propiedades de las misma. Les recomiendo revisar cada una de las fichas que se muestran a continuación, y ver cuántas opciones tenemos disponibles, para configurar y limitar las conexiones VPN. Explorenlas :-)

Hasta ahora hemos configurado el “NPS Server” (SRV1) como servidor RADIUS y le hemos indicado quién será el cliente de RADIUS (VPN).
Lo que está faltando, es al cliente de RADIUS (VPN) configurarlo para que use RADIUS, y qué equipo es el servidor de RADIUS

Así que vamos a VPN, a la consola de Enrutamiento y Acceso Remoto e ingresemos a las propiedades del servidor

En la ficha “Security” debemos configurarlo para que:

  • Utilice RADIUS en lugar de “Windows Authentication”
  • Indicarle qué máquina es el servidor RADIUS
  • Incluir la misma contraseña que ingresamos en el RADIUS Server

Por seguridad es conveniente, que también configuremos el tipo de autenticación admitida

El sistema nos avisa que se debe reiniciar el servicio para que los cambios tengan efecto

Y ahora llegó el momento de ir a CL1 y probar cada uno de los usuarios creados y su posibilidad de conectarse o no por VPN

Recordemos que u2 y u3 deben poder conectarse, mientras que u4 no debería poder

Así que comencemos con u2

Vemos que u2 se ha conectado exitosamente

Desconectamos con u2

Y procedemos con u3

Que también puede conectarse

Desconectamos u3, e intentamos con u4

Que como es lo esperado no puede, pues no está autorizado para acceso remoto

De todas formas, observen que el mensaje de error mostrado, no es exactamente claro respecto al problema, que por supuesto conocemos: no está autorizado

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Ramón González  On 01/04/2014 at 14:35

    Excelente artículo. Una humilde observación: Seria bueno poder hacer clic en las imágenes y así ver versiones ampliadas (así se apreciarían mejor los detalles). Esto aplica a todos los artículos.

    • Guillermo Delprato  On 01/04/2014 at 14:47

      Hola Ramón, hay algunas notas donde se puede hacer eso, aunque no la mayoría
      Lo he hecho solamente en una de las notas, creo que la de DHCP con capturas, porque de otra forma no se veía nada. Y en algunas notas también lo he tenido que hacer porque WordPress estuvo “peleado” con mi almacenamiento de imágenes
      De todas formas te comento porqué no lo hago como dices, hay varios motivos: el almacenamiento en WordPress gratuito no da mucho espacio, y en algún momento me han plagiado las notas en otros sitios, entonces fue cuando decidí ponerle la marca de agua (“GuillermoD”) y que no se puedan descargar, por lo menos fácilmente; si se pudieran abrir en una pantalla aparte las descargan muy fácil
      Una solución posible, si no las ves claras, es aumentar el “zoom” del navegador

  • ROBERTO TEBAR  On 04/04/2014 at 04:36

    Hola buenas, tengo el siguiente problemilla, una vez configurado el NPS cuando voy al RRAS me encuentro con esto, en la pestaña Seguridad me cie “ya que esl servidor de directivas de redes nps esta instalado, debe usarlo para configurar los proveedores de autenticación de cuentas, modifique las directivas de solicitud e conexión”

    ¿Que puedo hacer? Saludos.

    • Guillermo Delprato  On 04/04/2014 at 08:48

      Hola Roberto, qué complicadas que son las traducciones al español :-)
      No comprendo bien qué son las “directivas de solucitud de conexión”, aunque supongo que se refiere a “connection request policies”, pero que se han configurado automáticamente al usar el asistente
      Habría que revisar la configuración del NPS, que por supuesto no puedo hacer. Te aconsejo eliminar las “Network Policies” y “Conection Request Policies” que se han creado con el asistente (dejando las otras) y volver a usar el asistente de configuración del NPS
      También puede ser si ambos roles (NPS y RRAS) están en el mismo equipo
      Realmente, como te digo, habría que haber seguido cada uno de los pasos. El procedimiento que hago es el normal y nunca me ha presentado problemas

  • Roberto  On 10/02/2015 at 06:45

    Lo conseguí….. creado………………Guillermo soy novato y es la segunda que consigo emular un escenario

    • Guillermo Delprato  On 10/02/2015 at 07:00

      Hola Roberto ¡Felicitaciones! porque no es fácil cuando uno todavía no está en el tema
      Las notas de este blog están más orientadas a quien conoce y desea implementar, porque si te fijas no hay prácticamente nada sobre la parte teórica del funcionamiento
      Me he dedicado muchos años a la capacitación de los cursos oficiales Microsoft, en estos hay mucha teoría y mediana práctica pero esta última muy dirigida, acotada y específica a un escenario. Por eso es que comencé creando el blog, para que muchos de los asistentes a los cursos puedan crear su propio escenario de pruebas, y no usar un ambiente ya configurado a veces con opciones que no son las por omisión
      Me alegro te sirva la nota

  • Javi  On 25/05/2016 at 03:14

    Buenos días,

    Quería comentarte que me parece un buen tutorial pero no sé si tengo algún problema yo o falta información.

    Te comento,

    Sigo tu proceso completo pero… no tengo acceso al RRAS. No me sale como instalado tras instalar el rol de Netwpor policies.. Tras investigar solo me aparece tras instalar el rol de “remote access” pero entonces tengo el mismo problema que te comento otro usuario más arriba. “La autentificación sale con un “atención” (el triangulo amarillo”) diciendo por lo que creo que eso lo controla el “remote access” que acabo de instalar.

    Por otra parte cuando recien instalo el Radius, la ip o dns que me pide, se refiere a la local própia que le quiero dar ¿Verdad? No a la exterior, no?

    Gracias por la atención,

    Saludos,

    Javier

  • Alejandro  On 07/09/2016 at 17:36

    Hola Guille, muy bueno como siempre! Te dejo una inquietud. Esto mismo se puede aplicar para implementar RADIUS en los Access Point? Saludos!

    • Guillermo Delprato  On 07/09/2016 at 17:54

      Hola Alejandro, sí, por supuesto. Lo único hay que hacer la configuración apropiada, y en el Access Point seleccionar autenticación “Enterprise”

  • ad31707  On 26/09/2016 at 01:58

    Se podria de alguna manera conectar al RADIUS cliente y que este me comparta la conexion a internet de la VPN en cuestion? Inicialmente claro está antes de iniciar la conexion al VPN la maquina cliente no tendria internet.

    • Guillermo Delprato  On 26/09/2016 at 07:22

      El RADIUS Cliente, es el servidor VPN, y su función es la autenticación y autorización, no es el manejo de la VPN
      El servidor VPN, dependiendo de la cantidad de IPs que tenga para ofrecer a los clientes es la cantidad de conexiones que recibirá
      Dependiendo la configuración de las máquinas, y sobre todo del cliente VPN, la misma es en ambos sentidos

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: