En la nota anterior (“Windows Server 2012 (R2): Configurar Servidor VPN”) hemos visto cómo configurar el servicio VPN (Virtual Private Networks) para permitir las conexiones remotas a la red de la forma más simple posible, aunque no la mejor para todos los casos, como es la autorización de acceso remoto usuario por usuario, y sin ningún tipo de restricción prácticamente
En esta ocasión, y usando la misma estructura creada, veremos la utilización de Network Policy Server (NPS) como servidor RADIUS, para facilitar y eventualmente limitar posibles restricciones. En este ejemplo desarrollaré la autorización mediante grupos de Active Directory, y mostraré algunas de las otras posibilidades
Recuerdo la infraestructura ya creada, y que hemos dejado en funcionamiento de la nota anterior
Para poder demostrar la autorización de acceso por grupos, he creado en el Dominio tres usuarios (u2, u3 y u4), y un grupo llamado “Acceso por VPN”, donde he incluido solamente a los dos primeros (u2 y u3). El objetivo es demostrar que sólo podrán acceder los que pertenecen al grupo en cuestión
Además, los usuarios creados han quedado con las propiedades por omisión, esto es, que el acceso será determinado por la “Network Policy”
Para alcanzar el objetivo propuesto en la nota necesitamos instalar en la red una nueva funcionalidad como es “Network Policy Server”, que se podría instalar en DC1, aunque para claridad y como conveniente lo haré en SRV1
Comenzamos instalando el rol en la forma habitual, como muestran las siguientes pantallas
Seleccionamos “Network Policy and Access Services” y agregamos las funcionalidades necesarias
Ya tenemos disponible la consola para configurar el servicio
Lo primero ha hacer es registrar al servidor en el Dominio. Lo que hace esto en realidad es incluir la cuenta de máquina en el grupo de Dominio “RAS and IAS Servers”, el que tiene permisos de leer la ficha “Dial-in” de los usuarios, a efectos de evaluar la autorización de acceso remoto
El sistema deberá reiniciar el servicio
Usaremos el asistente de configuración, ya que simplifica el proceso, elijiendo la opción que necesitamos
Y seguimos el asistente
Atención con la siguiente pantalla. Con el botón “Add” debemos especificar qué máquina será el “RADIUS Client”, y además especificar una contraseña que será usada luego en el servidor VPN cuando identifiquemos qué máquina será el “RADIUS Server”. No la olviden, esto es como una «presentación», al RADIUS Server le tenemos que informar cuál es el RADIUS cliente, y viceversa
Y seguimos con el asistente
Podemos observar que actualmente todos los clientes pueden usar MS-CHAPv2 y dejarlo así
En esta pantalla podemos ingresar el grupo que hemos creado específicamente para autorizar el acceso remoto
Y seguimos el asistente
Observen la siguiente pantalla que puede tener configuraciones útiles de ser necesarias, porque puedo configurar filtros de entrada y salida. Esto permitiría por ejemplo limitar a qué máquinas se pueden conectar cuando ingresan por VPN
Podemos elegir la opción más segura
No tenemos en esta nota nada con Unix/Linux así que seguimos adelante
Y finalizamos
Podremos observar que el sistema ha creado una “Network Policy” llamada “Virtual Private Network (VPN) Connections”. Para nuestro caso es importante que sea la primera listada (la de más arriba)
Es interesante ver las propiedades de las misma. Les recomiendo revisar cada una de las fichas que se muestran a continuación, y ver cuántas opciones tenemos disponibles, para configurar y limitar las conexiones VPN. Explorenlas :-)
Hasta ahora hemos configurado el “NPS Server” (SRV1) como servidor RADIUS y le hemos indicado quién será el cliente de RADIUS (VPN).
Lo que está faltando, es al cliente de RADIUS (VPN) configurarlo para que use RADIUS, y qué equipo es el servidor de RADIUS
Así que vamos a VPN, a la consola de Enrutamiento y Acceso Remoto e ingresemos a las propiedades del servidor
En la ficha “Security” debemos configurarlo para que:
- Utilice RADIUS en lugar de “Windows Authentication”
- Indicarle qué máquina es el servidor RADIUS
- Incluir la misma contraseña que ingresamos en el RADIUS Server
Por seguridad es conveniente, que también configuremos el tipo de autenticación admitida
El sistema nos avisa que se debe reiniciar el servicio para que los cambios tengan efecto
Y ahora llegó el momento de ir a CL1 y probar cada uno de los usuarios creados y su posibilidad de conectarse o no por VPN
Recordemos que u2 y u3 deben poder conectarse, mientras que u4 no debería poder
Así que comencemos con u2
Vemos que u2 se ha conectado exitosamente
Desconectamos con u2
Y procedemos con u3
Que también puede conectarse
Desconectamos u3, e intentamos con u4
Que como es lo esperado no puede, pues no está autorizado para acceso remoto
De todas formas, observen que el mensaje de error mostrado, no es exactamente claro respecto al problema, que por supuesto conocemos: no está autorizado
WindowServer 
Comentarios
Excelente artículo. Una humilde observación: Seria bueno poder hacer clic en las imágenes y así ver versiones ampliadas (así se apreciarían mejor los detalles). Esto aplica a todos los artículos.
Hola Ramón, hay algunas notas donde se puede hacer eso, aunque no la mayoría
Lo he hecho solamente en una de las notas, creo que la de DHCP con capturas, porque de otra forma no se veía nada. Y en algunas notas también lo he tenido que hacer porque WordPress estuvo «peleado» con mi almacenamiento de imágenes
De todas formas te comento porqué no lo hago como dices, hay varios motivos: el almacenamiento en WordPress gratuito no da mucho espacio, y en algún momento me han plagiado las notas en otros sitios, entonces fue cuando decidí ponerle la marca de agua («GuillermoD») y que no se puedan descargar, por lo menos fácilmente; si se pudieran abrir en una pantalla aparte las descargan muy fácil
Una solución posible, si no las ves claras, es aumentar el «zoom» del navegador
Gracias por tu rapida respuesta. Siempre respondes todas mis dudas.
:-)
Hola buenas, tengo el siguiente problemilla, una vez configurado el NPS cuando voy al RRAS me encuentro con esto, en la pestaña Seguridad me cie «ya que esl servidor de directivas de redes nps esta instalado, debe usarlo para configurar los proveedores de autenticación de cuentas, modifique las directivas de solicitud e conexión»
¿Que puedo hacer? Saludos.
Hola Roberto, qué complicadas que son las traducciones al español :-)
No comprendo bien qué son las «directivas de solucitud de conexión», aunque supongo que se refiere a «connection request policies», pero que se han configurado automáticamente al usar el asistente
Habría que revisar la configuración del NPS, que por supuesto no puedo hacer. Te aconsejo eliminar las «Network Policies» y «Conection Request Policies» que se han creado con el asistente (dejando las otras) y volver a usar el asistente de configuración del NPS
También puede ser si ambos roles (NPS y RRAS) están en el mismo equipo
Realmente, como te digo, habría que haber seguido cada uno de los pasos. El procedimiento que hago es el normal y nunca me ha presentado problemas
Lo conseguí….. creado………………Guillermo soy novato y es la segunda que consigo emular un escenario
Hola Roberto ¡Felicitaciones! porque no es fácil cuando uno todavía no está en el tema
Las notas de este blog están más orientadas a quien conoce y desea implementar, porque si te fijas no hay prácticamente nada sobre la parte teórica del funcionamiento
Me he dedicado muchos años a la capacitación de los cursos oficiales Microsoft, en estos hay mucha teoría y mediana práctica pero esta última muy dirigida, acotada y específica a un escenario. Por eso es que comencé creando el blog, para que muchos de los asistentes a los cursos puedan crear su propio escenario de pruebas, y no usar un ambiente ya configurado a veces con opciones que no son las por omisión
Me alegro te sirva la nota
Buenos días,
Quería comentarte que me parece un buen tutorial pero no sé si tengo algún problema yo o falta información.
Te comento,
Sigo tu proceso completo pero… no tengo acceso al RRAS. No me sale como instalado tras instalar el rol de Netwpor policies.. Tras investigar solo me aparece tras instalar el rol de «remote access» pero entonces tengo el mismo problema que te comento otro usuario más arriba. «La autentificación sale con un «atención» (el triangulo amarillo») diciendo por lo que creo que eso lo controla el «remote access» que acabo de instalar.
Por otra parte cuando recien instalo el Radius, la ip o dns que me pide, se refiere a la local própia que le quiero dar ¿Verdad? No a la exterior, no?
Gracias por la atención,
Saludos,
Javier
Hola Javier ¿pero haz hecho los pasos anteriores? Están en la nota anterior donde se instala y configura el servidor VPN
Windows Server 2012 (R2): Configurar Servidor VPN | WindowServer:
https://windowserver.wordpress.com/2014/03/27/windows-server-2012-r2-configurar-servidor-vpn/
Recién ahora me doy cuenta que el enlace a esa nota anterior no es correcto, está bien el título, pero no el enlace. En unos minutos lo voy a corregir
Hola Guille, muy bueno como siempre! Te dejo una inquietud. Esto mismo se puede aplicar para implementar RADIUS en los Access Point? Saludos!
Hola Alejandro, sí, por supuesto. Lo único hay que hacer la configuración apropiada, y en el Access Point seleccionar autenticación «Enterprise»
Se podria de alguna manera conectar al RADIUS cliente y que este me comparta la conexion a internet de la VPN en cuestion? Inicialmente claro está antes de iniciar la conexion al VPN la maquina cliente no tendria internet.
El RADIUS Cliente, es el servidor VPN, y su función es la autenticación y autorización, no es el manejo de la VPN
El servidor VPN, dependiendo de la cantidad de IPs que tenga para ofrecer a los clientes es la cantidad de conexiones que recibirá
Dependiendo la configuración de las máquinas, y sobre todo del cliente VPN, la misma es en ambos sentidos
Trackbacks
[…] Continuamos en la próxima nota “Windows Server 2012 (R2): Configurar Servidor VPN con “Network Policies”” […]