Windows – VPN en Windows 2003



Hola Blogeros! Con la Navidad a las puertas hoy nos atrevemos con un concepto algo antiguo pero que aún se sigue usando bastante y que no todo el mundo sabe configurar. También trataremos de poner sobre la mesa problemas típicos y su resolución.

Para empezar y para todos aquellos que no sepáis el concepto de VPN contaros que se trata de una red privada que es accedida a través de una red pública, hoy por hoy y con toda probabilidad, internet. Imaginaros el nivel de seguridad en cuanto a acceso que esto requiere. Por un lado tendríamos la autenticación y por el otro los datos que circulan a través de ella.

Para ello contamos con dos protocolos protagonistas indiscutibles en este proceso y que forman parte del servicio de Windows 2003 RRAS o acceso de enrutamiento remoto:

PPTP o Protocolo de túnel punto a punto
L2TP o Protocolo de túnel de dos capas para la encriptación de datos. Este protocolo se integra con IPSEC.

Hasta aquí tenemos los ingredientes para preparar la sopa :-) La instalación se realiza a través de la consola de RRAS.
Un detalle muy importante es que el servidor debe disponer de dos tarjetas de red y esto, tiene sentido, una de ellas será la encargada de poder llegar al servidor a través de la red pública y la otra será la encargada de enrutarnos a través de la red privada, es decir, nuestro destino. Por ello deberemos configurar en nuestro servidor de RRAS un servidor de DHCP que será el que nos de una IP válida para acceder a nuestra intranet. Si no disponemos de servidor DHCP deberemos indicar un rango de IPs fijas válidas para la intranet.

Una vez instalado ahora debemos configurar el acceso en el servidor. Teniendo en cuenta la finalidad de la VPN, las conexiones remotas se harán para redes dial-in o acceso telefónico por lo que el acceso se hará teniendo en cuenta los siguientes criterios:

1.- Acceso a nivel de usuario:
Es decir, dentro de la consola de gestión de usuarios de Directorio Activo (AD) activar la pestaña de “Permitir acceso” en la pestaña de Dial-in o acceso telefónico.

2.- Acceso a un grupo:
En él crearemos el grupo dentro de la consola de RRAS que tendrá acceso a la VPN.

Llegados a este punto solo nos falta configurar la parte cliente para el acceso. Para ello deberemos configurar desde las conexiones de red una conexión VPN, así de sencillo. Tan solo tener en cuenta que si nuestro cliente está conectado a internet constantemente, configurar “No llamar durante la conexión inicial”. Si el cliente se conecta a través de un ISP, habilitar “Llamar automáticamente en la conexión inicial” y configurar el nombre de nuestro proveedor ISP.

Errores comunes:

Causa: El servicio de RRAS no está iniciado en el servidor VPN.
Solución: Éste es sencillo porque lo único que debemos hacer es iniciarlo.

Causa: Los puertos de PPTP o L2TP no acepta tráfico entrante.
Solución: Abrir dichos puertos a nivel de Firewall, PPTP (TCP 1723), L2TP (UDP 1701)

Causa: VPN No soporta tuneling a nivel cliente.
Solución: Asegurarse que se usa el protocolo adecuado. Que son los mencionados arriba.

Causa: No hay direcciones estáticas suficientes para asignar.
Solución: Modificar el pool de IPs estáticas para que acepte un rango más grande (va directamente relacionado con el número de conexiones que vayamos a permitir), o configurar el servidor DHCP si lo hay para aumentar el rango de asignación de IPs.

Causa: El servidor VPN no puede acceder al Directorio Activo.
Solución: Asegurarse que el objeto “servidor” (El servidor VPN) es miembro del grupo de seguridad “RAS y servidor IAS”

Hay una lista enorme de errores comunes y que no he puesto porque os aburriría. Probar y tocar y si necesitáis más ayuda ya sabéis donde estamos.

Feliz semana!

Artículos relacionados

Acerca del autor

One Response

  1. grojan
    12 abril, 2012

Deja tu comentario

Mostrar
Ocultar