windows server 2012
TRANSCRIPT
Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN)
Una de las más usadas configuraciones en la pequeña y mediana empresa es conectar los diferentes sitios geográficos que poseen a través de Internet usando VPNs. No es en general la mejor de todas las opciones pero es la que está al alcance en forma económica para todos los presupuestos
Hace ya un tiempo hice una nota similar pero con Windows Server 2008-R2, y me he decidido a hacer esta con Windows Server 2012 porque hay varias diferencias y por supuesto mejoras
Aprovecharé también, y ya que es lo más común en la pequeña empresa que al tener poca disponibilidad de servidores, utilicen el mismo equipo para hacer la VPN y proveer conectividad a Internet a los clientes
Es un opcional si quieren hacerlo esto último, sólo lo mostraré porque está prácticamente incluido en la configuración objeto, esto es conectar dos sitios geográficos diferentes a través de VPN, y por su uso generalizado
Lo que sí es importante, es que estos servidores que crearán la conexión no sean Controladores de Dominio ya que es un riesgo muy grande de seguridad
Inclusive, y por seguridad, en la configuración que mostraré, los dos servidores VPN no pertenecerán a ningún Dominio, simplemente estarán en grupo de trabajo (Workgroup), ya que durante la autenticación se usarán cuentas locales, y en caso de compromiso de las mismas, no es lo mismo una cuenta local de un servidor que una del Dominio
Veamos el diagrama con las máquinas que utilizaremos. La máquina ISP es totalmente opcional y se utilizará sólo si quieren asegurarse que la conexión compartida a Internet funciona bien
El hecho de estar usando un Controlador de Dominio, es sólo porque luego usaré la misma infraestructura para una nota que incluya la configuración de Sitios de Active Directory. Lo mismo vale para DC2 que en realidad es, por ahora sólo un servidor miembro del Dominio, pero no es Controlador de Dominio
De todas formas repasemos la configuración de las máquina utilizadas
DC1 – Windows Server 2012Nombre: dc1.root.guillermod.com.arDirección IP 192.168.1.201/24 (/24 = 255.255.255.0)Default Gateway 192.168.1.254Controlador de Dominio (no necesario para esta demostración)
VPN1 – Windows Server 2012Nombre: VPN1Interfaz Interna:Dirección IP 192.168.1.254/24Interfaz Externa:Dirección IP 131.107.0.1/16Deshabilitados todos los protocolos, salvo TCP/IPv4Deshabilitado NetBIOS sobre TCP/IPNo tiene ningún Default Gateway (Puerta de Enlace)
ISP – Windows Server 2012 (Opcional)Nombre: ISPDirección IP 131.107.0.100/16Instalado Web Server, sin ninguna configuración extra
VPN2 – Windows Server 2012Nombre: VPN2Interfaz Interna:Dirección IP 192.168.2.254/24Interfaz Externa:Dirección IP 131.107.0.2/16Deshabilitados todos los protocolos, salvo TCP/IPv4Deshabilitado NetBIOS sobre TCP/IPNo tiene ningún Default Gateway (Puerta de Enlace)
DC2 – Windows Server 2012Nombre: dc2.root.guillermod.com.arDirección IP 192.168.2.202/24Default Gateway 192.168.2.254Servidor miembro del Dominio (no necesario para esta demostración)
IMPORTANTE: estos pasos los debemos ejecutar tanto en VPN1 como en VPN2
Comenzaremos agregando los roles necesarios de la forma habitual
Acá vemos una de las diferencias con Windows 2008-R2 ahora está dentro de un rol nuevo “Remote Access”
Por supuesto que agregamos la funcionalidad adicional requeridaPara el que le interese el tema, a mi sí, vean los comentaros que ya hice en la nota Compartir Conexión a Internet sobre la instalación forzada del IIS :-(
Si quieren configurar también el acceso compartido a Internet, deben marcar además la opción “Routing”
Cuando finaliza la instalación nos ofrece, y aceptaremos, la configuración mediante asistente
Demorará unos momentos en aparecer el siguiente cuadro, y revisen porque a veces queda tapado por otra ventana. Como no implementaremos en esta ocasión Direct Access, marcamos la tercera opción
Nos abrirá la consola de “Routing and Remote Access” donde procederemos a la configuración, usando el asistente que accedemos con botón derecho
Si conjuntamente con VPN quieren configurar el uso compartido de Internet sigan el asistente. Si no les interesara el compartir Internet, marque la primera opción “Remote access (Dial-up or VPN)”
Muy importante, marquen cuál es la interfaz externa (la que conecta a Internet)
Debemos asignar el rango de direcciones IP que se asignarán a la VPN, como siempre yo prefiero un rango separado de la red
Se van a necesitar dos redes VPN, una para la conexión desde BAires (Buenos Aires) hacia Mendoza, y otra para Mendoza hacia BAires
Por lo tanto:En VPN1 elegí 172.16.0.1 a 172.16.0.2En VPN2 elegí 172.17.0.1 a 172.17.0.2
Una dirección del rango la necesita el servidor que recibe la VPN, y otra para asignarsela al servidor que se conecta.Por lo tanto tomando sólo 2 IPs me aseguro que no se pueda conectar otro. Si tuvieran más de un sitio, o esperaran que se conecten usuarios deberían asignar más direcciones al rango: una para el servidor y una más por cada conexión esperada
Como lo usaré en un ambiente de Dominio Active Directory me tengo que asegurar que no interfiera en la resolución de nombres, ni en la asignación de IPs, por lo tanto elijo la segunda opción
Por supeusto que en este caso no usaremos RADIUS
Y finalizamos
Por supuesto, aunque no lo usemos siempre aparece el mensaje de DHCP Relay Agent
Podemos observar que ha quedado configurada la opción de compartir Internet
Ya podrían probar el acceso desde DC1 al servidor web ISP, yo lo mostraré al final, cuando probamos todo
Atención que ahora viene la parte más delicada, y donde se suelen cometer los errores. Por ahora lo único que hemos hecho es la instalación y configuración de los servidores VPN, ahora necesitamos configurar las conexiones entre los dos sitios
Vamos a aclara algunas cosas para que luego resulte sencillo seguir los procedimientos
Yo estoy usando para la demostración dos sitios: BAires y Mendoza.Y necesitaremos dos redes VPN: una desde BAires hacia Mendoza, y otra desde Mendoza hacia BAires ¿estamos de acuerdo? ;-)Por lo tanto tengo que establecer credenciales para cada una de las conexiones
Cuando BAires llame a Mendoza (VPN1 llame a VPN2) utilizará un nombre de usuario local que debe ser autenticado y autorizado por VPN2.
El nombre de la conexión será el nombre de la cuenta usada para validar
O sea, cuando BAires llame, usará el usuario BAires (con contraseña) que debe ser una cuenta válida y autorizada para acceso remoto en VPN2En VPN1 debo crear una conexión llamada BAires, y en VPN2 debe haber una cuenta local llamada BAires autorizada para VPN
Así mismo, cuando Mendoza llame a BAires, usará una conexión llamada Mendoza, cuenta que debe estar creada y autorizada en Baires
Como lo anterior no fácil de comprender hasta que uno lo hace, a partir de este momento configuraremos en forma separada cada servidor
Lo siguiente solamente en VPN1
Debemos crear la conexión, comencemos en VPN1 creando la conexión hacia Mendoza
Colocamos el nombre del sitio al que deseamos conectarnos
Usaremos VPN
Ya que no tenemos certificados de máquina utilizaremos como protocolo PPTP
Indicamos la dirección IP externa del servidor de Mendoza
Y si deseamos que Mendoza también pueda inciar conexión marcamos “Add a user account so a remote router can dial in”
El próximo paso nos preguntará por la red de destino, para agregar la correspondiente entrada en la tabla de ruteo. Agregamos la red que estamos usando en Mendoza
Ahora nos solicita las credenciales que utilizará Mendoza cuando llame a BAires. Con esto creará en VPN1 una cuenta local autorizada para acceder por VPNDebemos asignarle la contraseña correspondiente
Ahora nos está solicitando las credenciales que usará BAires para conectarse hacia Mendoza. Esta cuenta se deberá crear en VPN2 de Mendoza (lo hace el propio asistente de configuración)
Y “por fin, fin” :-)
Podemos observar que se ha creado una conexión llamada Mendoza. Entremos a sus propiedades para ver qué ha configurado
Algo que seguramente necesitemos cambiar: que la tome como conexión permanente, esto es que no la desconecte por falta de actividad, lo que en muchos casos acarrearía que cambiara la dirección IP y tengamos que hacer el cambio en la interfaz.
Es altamente conveniente que veamos con el ISP de tener conexiones con IP fija
Otra a cambiar: podemos tranquilamente deshabilitar la autenticación CHAP, por insegura, y porque no se utilizará
Dejamos VPN1, y vamos a VPN2
Lo siguiente solamente en VPN2
El proceso de configuración es totalmente análogo, salvo algunas pantallas donde indicaré los cambios respecto a lo hecho en VPN1
Ahora la conexión es desde Mendoza a BAires
Ahora es la dirección IP externa de VPN1
Ahora incluiremos la red que tenemos en BAires
En este caso es BAires (VPN1) la cuenta que llamará a Mendoza (VPN2)
Y Mendoza (VPN2) la cuenta que llamará a BAires (VPN1)
Estuvimos nombrando que hay que crear cuentas locales tanto en VPN1 como en VPN2 (Mendoza y BAires respectivamente). En versiones anteriores del sistema operativo esto debíamos hacerlo en este momento, pero con Windows Server 2012 esto ya lo ha hecho el asistente anterior
Si entramos en Computer Management de cada servidor veremos que se han creado las cuentas, y se les han marcado las opciones que no caduque la contraseña y que puedan ingresar por VPN
Muestro la cuenta creada en VPN1 (BAires), pero es análogo en VPN2 (Mendoza)
Ahora llegó el “momento de la verdad” ¿probamos si funciona?
Unos instantes de suspenso :-)
¿O tenías dudas? :-)
Debemos proceder análogamente en VPN2 y verificar que conecte
¿Y todo esto que hicimos funcionará realmente?
Comencemos probando desde DC1 si podemos acceder a Internet. Debemos usar dirección IP porque no hemos hecho la infraestructura de DNS necesaria
¡Exito!
¿Y podrá conectarse DC2 con DC1? ¡por supuesto!
Bueno, esto llegó hasta acá, ya tenemos dos sitios conectados por VPN y verificada tanto la conectividad entre los sitios como el acceso a Internet
Esta estructura la usaré en la siguiente nota, donde procederemos a promocionar a DC2 como Controlador de Dominio del Dominio existente, y lo más importante crearemos la estructura de Sites, Subnets y Links necesaria para el correcto funcionaiento de nuestro Dominio
Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 1 por PPTPEn esta demostración veremos de manera sencilla cómo podemos configurar un Windows Server 2008-R para permitir el acceso remoto a nuestra red usando VPNs (Virtual Private Network).
Veremos la configuración de conexión usando dos de los protocolos clásicos: primero PPTP y luego con L2TP+IPSec en la siguiente nota.
Para usar una estructura lo más simple posible, en este caso no utilizaré ambiente de Dominio, sino simplemente 3 máquinas en grupo de trabajo.
La segunda parte en Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 2 por L2TP-IPSec, SSTP y IKEv2
SRV1: Windows Server 2008-R2, servidor Interno de nuestra red al que deseamos acceder remotamente.Interfaz de Red: IP 192.168.1.1/24 Puerta de Enlace: 192.168.1.254
VPN1: Windows Server 2008-R2, servidor VPN con dos interfaces de red una interna y otra externa conectada a la supuesta “Internet”Interfaz interna: 192.168.1.254/24Interfaz externa: 131.107.0.1/16
CL1: Windows 7, cliente que se conectará remotamenteInerfaz de Red: 131.107.0.2/16
Un diagrama para que sea más claro
Lo primero que haré, será compartir en SRV1 una carpeta que usaré como prueba de conexión del cliente remoto.
Y luego en el Network and Sharing Center, hacemos click en Public Network y seleccionamos que es una Work Network
Para asegurarnos que todo está correcto podemos verificar el compartido desde VPN1 haciendo un simple NET VIEW \SRV1
Ahora vamos a configurar el servidor VPN1 como servidor de acceso remoto. Para eso abrimos el Server Manager y seguimos el procedimiento de acuerdo a las figuras siguientes
Ahora vamos a configurar el servidor VPN y para eso abrimos Administrative Tools / Routing and Remote Access
Con botón derecho sobre el servidor elegimos Configure and Enable Routing and Remote Access
Y seguimos el asistente
Es importante que seleccionemos adecuadamente la interfaz externa, pues el sistem implementará filtrado de paquetes permitiendo únicamente el ingreso por VPN. No podremos ni siquiera hacer un simple PING desde el exterior.
Elgiré asignar un rango específico de direcciones IP para la VPN
No usaremos Radius
Y finalizamos, aceptando luego el aviso sobre el DGCP Relay Agent
A los efectos de la práctica crearé en VPN1 un usuario normal de prueba al cual le otorgaré el permiso de acceso remoto
Desde Administrative Tools / Computer Management
Y como método adicional de seguridad configuraremos la interfaz externa, dejando conectado sólo TCP/IPv4, y deshabilitaremos todo lo que corresponda a NetBIOS
Teniendo ya configurado el servidor VPN, ahora vamos al cliente CL1, que recuerdo está conectado a la red externa emulando Internet.
Vamos al Network and Sharing Center y elegimos Setup a New Connection or Network
Y seguimos el asistente
si queremos optimizar la velocidad de conexión vamos a las propiedades de la interfaz y seleccionamos que directamente use PPTP sin probar otros métodos
Y nos conectamos
Si queremos podemos ver los detalles de la conexión
Ahora ya podremos conectarnos a los recursos compartidos de la red, aunque hay algo muy importante y no por todos conocido.Debemos recordar que localmente en CL1 hemos iniciado sesión con un usuario, llamémoslo “LocalUser”.Luego hicimos la conexión a VPN1 usando el usuario “VPNUser”Cuando tratemos de conectarnos a un recurso de un servidor, en este caso SRV1, el sistema usa para autenticar el nombre/contraseña de “LocalUser” el cual no es válido en el servidor que tiene el recurso.Y por lo tanto cuando vamos a hacer la primera conexión a un servidor debemos especificar un nombre/contraseña válidos en el mismo.En el siguiente ejemplo, yo estoy usando la cuenta Administrator con su correspondiente contraseña válidos en SRV1
Con esto hemos demostrado la conexión VPN usando protocolo PPTP.
Si observamos en el Status de la conexión, ficha Details, veremos que nos hemos conectado usando protocolo PPTP, la autenticación es MS-CHAPv2 y el cifrado es MPPE-128 (MPPE = Microsoft Point to Point Encryption)