Windows Server 2012: Conectando Sitios por VPN (Site

to Site VPN)
Una de las ms usadas configuraciones en la pequea y mediana empresa es
conectar los diferentes sitios geogrficos que poseen a travs de Internet usando
VPNs. No es en general la mejor de todas las opciones pero es la que est al
alcance en forma econmica para todos los presupuestos
Hace ya un tiempo hice una nota similar pero con Windows Server 2008-R2, y
me he decidido a hacer esta con Windows Server 2012 porque hay varias
diferencias y por supuesto mejoras
Aprovechar tambin, y ya que es lo ms comn en la pequea empresa que al
tener poca disponibilidad de servidores, utilicen el mismo equipo para hacer la
VPN y proveer conectividad a Internet a los clientes
Es un opcional si quieren hacerlo esto ltimo, slo lo mostrar porque est
prcticamente incluido en la configuracin objeto, esto es conectar dos sitios
geogrficos diferentes a travs de VPN, y por su uso generalizado
Lo que s es importante, es que estos servidores que crearn la conexin no sean
Controladores de Dominio ya que es un riesgo muy grande de seguridad
Inclusive, y por seguridad, en la configuracin que mostrar, los dos servidores
VPN no pertenecern a ningn Dominio, simplemente estarn en grupo de
trabajo (Workgroup), ya que durante la autenticacin se usarn cuentas locales, y
en caso de compromiso de las mismas, no es lo mismo una cuenta local de un
servidor que una del Dominio
Veamos el diagrama con las mquinas que utilizaremos. La mquina ISP es
totalmente opcional y se utilizar slo si quieren asegurarse que la conexin
compartida a Internet funciona bien

El hecho de estar usando un Controlador de Dominio, es slo porque luego usar
la misma infraestructura para una nota que incluya la configuracin de Sitios de
Active Directory. Lo mismo vale para DC2 que en realidad es, por ahora slo un
servidor miembro del Dominio, pero no es Controlador de Dominio
De todas formas repasemos la configuracin de las mquina utilizadas
DC1 Windows Server 2012
Nombre: dc1.root.guillermod.com.ar
Direccin IP 192.168.1.201/24 (/24 = 255.255.255.0)
Default Gateway 192.168.1.254
Controlador de Dominio (no necesario para esta demostracin)
VPN1 Windows Server 2012
Nombre: VPN1
Interfaz Interna:
Direccin IP 192.168.1.254/24
Interfaz Externa:
Direccin IP 131.107.0.1/16
Deshabilitados todos los protocolos, salvo TCP/IPv4
Deshabilitado NetBIOS sobre TCP/IP
No tiene ningn Default Gateway (Puerta de Enlace)
ISP Windows Server 2012 (Opcional)
Nombre: ISP
Direccin IP 131.107.0.100/16
Instalado Web Server, sin ninguna configuracin extra
VPN2 Windows Server 2012
Nombre: VPN2
Interfaz Interna:
Direccin IP 192.168.2.254/24
Interfaz Externa:
Direccin IP 131.107.0.2/16
Deshabilitados todos los protocolos, salvo TCP/IPv4
Deshabilitado NetBIOS sobre TCP/IP
No tiene ningn Default Gateway (Puerta de Enlace)
DC2 Windows Server 2012
Nombre: dc2.root.guillermod.com.ar
Direccin IP 192.168.2.202/24
Default Gateway 192.168.2.254
Servidor miembro del Dominio (no necesario para esta demostracin)

IMPORTANTE: estos pasos los debemos ejecutar tanto en VPN1 como en
VPN2
Comenzaremos agregando los roles necesarios de la forma habitual




Ac vemos una de las diferencias con Windows 2008-R2 ahora est dentro de un
rol nuevo Remote Access

Por supuesto que agregamos la funcionalidad adicional requerida
Para el que le interese el tema, a mi s, vean los comentaros que ya hice en la
nota Compartir Conexin a Internet sobre la instalacin forzada del IIS :-(




Si quieren configurar tambin el acceso compartido a Internet, deben marcar
adems la opcin Routing




Cuando finaliza la instalacin nos ofrece, y aceptaremos, la configuracin
mediante asistente

Demorar unos momentos en aparecer el siguiente cuadro, y revisen porque a
veces queda tapado por otra ventana. Como no implementaremos en esta ocasin
Direct Access, marcamos la tercera opcin

Nos abrir la consola de Routing and Remote Access donde procederemos a la
configuracin, usando el asistente que accedemos con botn derecho


Si conjuntamente con VPN quieren configurar el uso compartido de Internet
sigan el asistente. Si no les interesara el compartir Internet, marque la primera
opcin Remote access (Dial-up or VPN)

Muy importante, marquen cul es la interfaz externa (la que conecta a Internet)

Debemos asignar el rango de direcciones IP que se asignarn a la VPN, como
siempre yo prefiero un rango separado de la red

Se van a necesitar dos redes VPN, una para la conexin desde BAires (Buenos
Aires) hacia Mendoza, y otra para Mendoza hacia BAires
Por lo tanto:
En VPN1 eleg 172.16.0.1 a 172.16.0.2
En VPN2 eleg 172.17.0.1 a 172.17.0.2
Una direccin del rango la necesita el servidor que recibe la VPN, y otra para
asignarsela al servidor que se conecta.
Por lo tanto tomando slo 2 IPs me aseguro que no se pueda conectar otro. Si
tuvieran ms de un sitio, o esperaran que se conecten usuarios deberan asignar
ms direcciones al rango: una para el servidor y una ms por cada conexin
esperada


Como lo usar en un ambiente de Dominio Active Directory me tengo que
asegurar que no interfiera en la resolucin de nombres, ni en la asignacin de IPs,
por lo tanto elijo la segunda opcin

Por supeusto que en este caso no usaremos RADIUS

Y finalizamos

Por supuesto, aunque no lo usemos siempre aparece el mensaje de DHCP Relay
Agent

Podemos observar que ha quedado configurada la opcin de compartir Internet

Ya podran probar el acceso desde DC1 al servidor web ISP, yo lo mostrar al
final, cuando probamos todo


Atencin que ahora viene la parte ms delicada, y donde se suelen cometer los
errores. Por ahora lo nico que hemos hecho es la instalacin y configuracin de
los servidores VPN, ahora necesitamos configurar las conexiones entre los dos
sitios
Vamos a aclara algunas cosas para que luego resulte sencillo seguir los
procedimientos
Yo estoy usando para la demostracin dos sitios: BAires y Mendoza.
Y necesitaremos dos redes VPN: una desde BAires hacia Mendoza, y otra desde
Mendoza hacia BAires estamos de acuerdo? ;-)
Por lo tanto tengo que establecer credenciales para cada una de las conexiones
Cuando BAires llame a Mendoza (VPN1 llame a VPN2) utilizar un nombre de
usuario local que debe ser autenticado y autorizado por VPN2.
El nombre de la conexin ser el nombre de la cuenta usada para validar
O sea, cuando BAires llame, usar el usuario BAires (con contrasea) que debe
ser una cuenta vlida y autorizada para acceso remoto en VPN2
En VPN1 debo crear una conexin llamada BAires, y en VPN2 debe haber una
cuenta local llamada BAires autorizada para VPN
As mismo, cuando Mendoza llame a BAires, usar una conexin llamada
Mendoza, cuenta que debe estar creada y autorizada en Baires
Como lo anterior no fcil de comprender hasta que uno lo hace, a partir de este
momento configuraremos en forma separada cada servidor

Lo siguiente solamente en VPN1
Debemos crear la conexin, comencemos en VPN1 creando la conexin hacia
Mendoza


Colocamos el nombre del sitio al que deseamos conectarnos

Usaremos VPN

Ya que no tenemos certificados de mquina utilizaremos como protocolo PPTP

Indicamos la direccin IP externa del servidor de Mendoza

Y si deseamos que Mendoza tambin pueda inciar conexin marcamos Add a
user account so a remote router can dial in

El prximo paso nos preguntar por la red de destino, para agregar la
correspondiente entrada en la tabla de ruteo. Agregamos la red que estamos
usando en Mendoza


Ahora nos solicita las credenciales que utilizar Mendoza cuando llame a BAires.
Con esto crear en VPN1 una cuenta local autorizada para acceder por VPN
Debemos asignarle la contrasea correspondiente

Ahora nos est solicitando las credenciales que usar BAires para conectarse
hacia Mendoza. Esta cuenta se deber crear en VPN2 de Mendoza (lo hace el
propio asistente de configuracin)

Y por fin, fin :-)

Podemos observar que se ha creado una conexin llamada Mendoza. Entremos a
sus propiedades para ver qu ha configurado

Algo que seguramente necesitemos cambiar: que la tome como conexin
permanente, esto es que no la desconecte por falta de actividad, lo que en muchos
casos acarreara que cambiara la direccin IP y tengamos que hacer el cambio en
la interfaz.
Es altamente conveniente que veamos con el ISP de tener conexiones con IP fija

Otra a cambiar: podemos tranquilamente deshabilitar la autenticacin CHAP, por
insegura, y porque no se utilizar

Dejamos VPN1, y vamos a VPN2


Lo siguiente solamente en VPN2
El proceso de configuracin es totalmente anlogo, salvo algunas pantallas donde
indicar los cambios respecto a lo hecho en VPN1

Ahora la conexin es desde Mendoza a BAires


Ahora es la direccin IP externa de VPN1


Ahora incluiremos la red que tenemos en BAires


En este caso es BAires (VPN1) la cuenta que llamar a Mendoza (VPN2)

Y Mendoza (VPN2) la cuenta que llamar a BAires (VPN1)


Estuvimos nombrando que hay que crear cuentas locales tanto en VPN1 como en
VPN2 (Mendoza y BAires respectivamente). En versiones anteriores del sistema
operativo esto debamos hacerlo en este momento, pero con Windows Server
2012 esto ya lo ha hecho el asistente anterior
Si entramos en Computer Management de cada servidor veremos que se han
creado las cuentas, y se les han marcado las opciones que no caduque la
contrasea y que puedan ingresar por VPN
Muestro la cuenta creada en VPN1 (BAires), pero es anlogo en VPN2
(Mendoza)



Ahora lleg el momento de la verdad probamos si funciona?

Unos instantes de suspenso :-)

O tenas dudas? :-)

Debemos proceder anlogamente en VPN2 y verificar que conecte


Y todo esto que hicimos funcionar realmente?
Comencemos probando desde DC1 si podemos acceder a Internet. Debemos usar
direccin IP porque no hemos hecho la infraestructura de DNS necesaria

Exito!
Y podr conectarse DC2 con DC1? por supuesto!


Bueno, esto lleg hasta ac, ya tenemos dos sitios conectados por VPN y
verificada tanto la conectividad entre los sitios como el acceso a Internet
Esta estructura la usar en la siguiente nota, donde procederemos a promocionar
a DC2 como Controlador de Dominio del Dominio existente, y lo ms importante
crearemos la estructura de Sites, Subnets y Links necesaria para el correcto
funcionaiento de nuestro Dominio

Demostracin Conectando Clientes a la Red por VPN
Windows Server 2008-R2 y Windows 7 Parte 1
por PPTP
En esta demostracin veremos de manera sencilla cmo podemos configurar un Windows
Server 2008-R para permitir el acceso remoto a nuestra red usando VPNs (Virtual Private
Network).
Veremos la configuracin de conexin usando dos de los protocolos clsicos: primero PPTP y
luego con L2TP+IPSec en la siguiente nota.
Para usar una estructura lo ms simple posible, en este caso no utilizar ambiente de
Dominio, sino simplemente 3 mquinas en grupo de trabajo.
La segunda parte en Demostracin Conectando Clientes a la Red por VPN Windows Server
2008-R2 y Windows 7 Parte 2 por L2TP-IPSec, SSTP y IKEv2
SRV1: Windows Server 2008-R2, servidor Interno de nuestra red al que deseamos acceder
remotamente.
Interfaz de Red: IP 192.168.1.1/24 Puerta de Enlace: 192.168.1.254
VPN1: Windows Server 2008-R2, servidor VPN con dos interfaces de red una interna y otra
externa conectada a la supuesta Internet
Interfaz interna: 192.168.1.254/24
Interfaz externa: 131.107.0.1/16
CL1: Windows 7, cliente que se conectar remotamente
Inerfaz de Red: 131.107.0.2/16
Un diagrama para que sea ms claro

Lo primero que har, ser compartir en SRV1 una carpeta que usar como prueba de
conexin del cliente remoto.

Y luego en el Network and Sharing Center, hacemos click en Public Network y seleccionamos
que es una Work Network


Para asegurarnos que todo est correcto podemos verificar el compartido desde VPN1
haciendo un simple NET VIEW \SRV1

Ahora vamos a configurar el servidor VPN1 como servidor de acceso remoto. Para eso
abrimos el Server Manager y seguimos el procedimiento de acuerdo a las figuras siguientes






Ahora vamos a configurar el servidor VPN y para eso abrimos Administrative Tools / Routing
and Remote Access
Con botn derecho sobre el servidor elegimos Configure and Enable Routing and Remote
Access

Y seguimos el asistente



Es importante que seleccionemos adecuadamente la interfaz externa, pues el sistem
implementar filtrado de paquetes permitiendo nicamente el ingreso por VPN. No podremos
ni siquiera hacer un simple PING desde el exterior.

Elgir asignar un rango especfico de direcciones IP para la VPN


No usaremos Radius

Y finalizamos, aceptando luego el aviso sobre el DGCP Relay Agent


A los efectos de la prctica crear en VPN1 un usuario normal de prueba al cual le otorgar el
permiso de acceso remoto
Desde Administrative Tools / Computer Management


Y como mtodo adicional de seguridad configuraremos la interfaz externa, dejando conectado
slo TCP/IPv4, y deshabilitaremos todo lo que corresponda a NetBIOS

Teniendo ya configurado el servidor VPN, ahora vamos al cliente CL1, que recuerdo est
conectado a la red externa emulando Internet.
Vamos al Network and Sharing Center y elegimos Setup a New Connection or Network

Y seguimos el asistente





si queremos optimizar la velocidad de conexin vamos a las propiedades de la interfaz y
seleccionamos que directamente use PPTP sin probar otros mtodos


Y nos conectamos

Si queremos podemos ver los detalles de la conexin

Ahora ya podremos conectarnos a los recursos compartidos de la red, aunque hay algo muy
importante y no por todos conocido.
Debemos recordar que localmente en CL1 hemos iniciado sesin con un usuario, llammoslo
LocalUser.
Luego hicimos la conexin a VPN1 usando el usuario VPNUser
Cuando tratemos de conectarnos a un recurso de un servidor, en este caso SRV1, el sistema
usa para autenticar el nombre/contrasea de LocalUser el cual no es vlido en el servidor
que tiene el recurso.
Y por lo tanto cuando vamos a hacer la primera conexin a un servidor debemos especificar
un nombre/contrasea vlidos en el mismo.
En el siguiente ejemplo, yo estoy usando la cuenta Administrator con su correspondiente
contrasea vlidos en SRV1

Con esto hemos demostrado la conexin VPN usando protocolo PPTP.
Si observamos en el Status de la conexin, ficha Details, veremos que nos hemos conectado
usando protocolo PPTP, la autenticacin es MS-CHAPv2 y el cifrado es MPPE-128 (MPPE =
Microsoft Point to Point Encryption)