Professional Documents
Culture Documents
VPN
VPN
Publicado: septiembre 17, aaaa
Esta gua detallada proporciona instrucciones para crear una infraestructura del Servicio de
enrutamiento y acceso remoto (RRAS) compatible con una red privada virtual (VPN) de
sitio a sitio mediante conexiones de marcado a peticin.
Introduccin
Introduccin
Configurar el Servicio de enrutamiento y acceso remoto
Configurar interfaces de marcado a peticin
Extender la seguridad de sitio a sitio mediante directivas de acceso remoto
Configurar la clave compartida de IPSec y probar la conexin
Recursos adicionales
c
Las guas detalladas de desarrollo de Windows Server 2003 proporcionan experiencia
prctica para muchas configuraciones de sistemas operativos. Las guas comienzan
estableciendo una infraestructura de red comn a travs de la instalacin de Windows
Server 2003, la configuracin de Active Directory, la instalacin de una estacin de
trabajo Windows XP Professional y, por ltimo, la incorporacin de esta estacin de trabajo
a un dominio. Las guas detalladas posteriores asumen que posee esta infraestructura de red
comn. Si no desea seguir esta infraestructura de red comn, tendr que efectuar las
modificaciones pertinentes mientras utiliza estas guas.
La infraestructura de red comn requiere que se sigan las instrucciones de las guas
siguientes.
#
!$
O
Las guas detalladas de desarrollo de Windows Server 2003 se pueden implementar en un
entorno de laboratorio fsico o mediante tecnologas de creacin de entornos virtuales como
Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnologa de mquina
virtual permite a los usuarios ejecutar varios sistemas operativos simultneamente en un
nico servidor fsico. Virtual PC 2004 y Virtual Server 2005 estn diseados para aumentar
la eficacia operativa de las pruebas y desarrollo de software, la migracin de aplicaciones
heredadas y los escenarios de consolidacin de servidores.
En las guas detalladas de desarrollo de Windows Server 2003 se asume que todas las
configuraciones se realizarn en un entorno de laboratorio fsico, aunque la mayora de
ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas.
La aplicacin de los conceptos proporcionados en estas guas detalladas a un entorno
virtual se escapa al alcance de este documento.
%
Las compaas, organizaciones, productos, nombres de dominio, direcciones de correo
electrnico, logotipos, personas, lugares y datos mencionados aqu son ficticios. No se
pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones,
nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares o datos
reales.
Esta infraestructura comn est concebida para su uso en una red privada. El nombre
ficticio de la compaa y el nombre DNS (Sistema de nombres de dominio) utilizados en la
infraestructura comn no estn registrados para su uso en Internet. No debe utilizar estos
nombres en una red pblica ni en Internet.
El objetivo de la estructura del servicio Active Directory para esta infraestructura comn es
mostrar cmo funciona la administracin de cambios y configuracin de Windows Server
2003 con Active Directory. No se ha diseado como un modelo para configurar Active
Directory en una organizacin.
Principio de la pgina
Muchas organizaciones tienen oficinas en distintas ubicaciones geogrficas y requieren
conectividad remota. El Servicio de enrutamiento y acceso remoto (RRAS) de Windows
Server 2003 se puede utilizar para implementar una solucin de sitio a sitio rentable y
segura.
Hasta ahora, en las organizaciones se han utilizado tecnologas de conexin de sitio a sitio
de red de rea extensa (WAN), por ejemplo T-Carrier o Frame Relay, para conectar sitios
remotos a travs de una red privada de datos. Con todo, estas lneas privadas son costosas.
Por ejemplo, el costo de los servicios de T-Carrier depende del ancho de banda y la
distancia, con lo que las conexiones son relativamente costosas. Adems, T-Carrier requiere
por lo general una infraestructura dedicada, con enrutadores de unidades de servicio de
canal/unidades de servicio digitales (CSU/DSU) y enrutadores especficos de lnea en
ambos extremos de la conexin.
Por el contrario, la solucin RRAS de Windows Server 2003 se puede integrar en la red
actual de la organizacin utilizando los servidores existentes. Con las conexiones de sitio a
sitio que proporciona el RRAS, se dispone de dos opciones frente a los vnculos de WAN
convencionales: una conexin de acceso telefnico de sitio a sitio o una conexin de sitio a
sitio de VPN. Si implementa una solucin RRAS para reemplazar a la conexin WAN
existente, o para implementar una nueva conexin, puede optimizar la rentabilidad
ajustando el tipo de conexin al volumen de trfico. Tambin puede personalizar la
seguridad para que se ajuste a las necesidades de la organizacin.
En una implementacin de sitio a sitio, RRAS admite el enrutamiento de marcado a
peticin, denominado tambin enrutamiento de marcado a peticin. Mediante el uso de una
interfaz de marcado a peticin, el enrutador puede iniciar una conexin con un sitio remoto
cuando recibe el paquete que se debe enrutar. La conexin pasa a estar activa slo cuando
se envan datos al sitio remoto. Cuando no se han enviado datos a travs del vnculo
durante un periodo de tiempo especificado, se desconecta el vnculo.
RRASS tambin admite filtros y horas de marcado a peticin. Los filtros de marcado a
peticin se pueden usar para especificar los tipos de trfico admitidos para crear la
conexin. Los filtros de marcado a peticin son independientes de los filtros de paquetes
del Protocolo Internet (IP), que se configuran para especificar el trfico que puede entrar y
salir de una interfaz una vez que se ha establecido la conexin. Se pueden definir horas de
marcado, que especifican cundo puede un enrutador hacer llamadas para establecer
conexiones de marcado a peticin. Se puede configurar cundo acepta el enrutador
conexiones entrantes a travs de directivas de acceso remoto.
%
RRAS es compatible con conexiones de sitio a sitio entre oficinas remotas y
conexiones de acceso remoto para equipos independientes. Esta gua detallada se centra en
la implementacin de una conexin de VPN de sitio a sitio mediante Seguridad del
protocolo Internet (IPSec) con una clave compartida.
&
]O '
]c
!
]c
(
)
"
&
]Para la configuracin de una solucin VPN de sitio a sitio, los enrutadores de llamada y de
respuesta se deben configurar como servidores con multialojamiento. En consecuencia,
cada servidor debe tener una tarjeta de interfaz de red secundaria (NIC) lista para su uso.
En los procedimientos descritos en esta gua, se usa la siguiente configuracin de la NIC
secundaria.
]*+, %,) ,' - Direccin IP: 20.0.0.1, MSCARA IP: 255.0.0.0, Puerta de enlace
predeterminada: En blanco, Servidor DNS: 127.0.0.1
]*+, %,) , - Direccin IP: 20.0.0.2, MSCARA IP: 255.0.0.0, Puerta de enlace
predeterminada: En blanco, Servidor DNS: 127.0.0.1
]Para simular correctamente una conexin de marcado a peticin de sitio a sitio, todos los
equipos que estn en el dominio secundario,
, se deben trasladar a otra red, o
disponer de otra interfaz de red lista para su uso. En las siguientes secciones, cada equipo
del dominio secundario
se ha configurado con una tercera interfaz de red. Cada
interfaz est configurada con una direccin de red 30.0.0.0. Si decide segmentar
fsicamente el dominio Vancouver, debe instalar y configurar DNS en HQ-CON-DC-02.
(
Las instrucciones de esta gua proporcionan una introduccin general a las
configuraciones necesarias para crear una conexin VPN de sitio a sitio de marcado a
peticin mediante una clave compartida de IPSec. En consecuencia, los procedimientos de
esta gua slo se deben implementar en un entorno de prueba. Para obtener ms
informacin sobre cmo planear e implementar VPN de Windows Server 2003, consulte
Redes privadas virtuales para Windows Server 2003.
Principio de la pgina
!
"
Al ejecutar el Asistente para la instalacin de servidor de enrutamiento y acceso remoto, se
le pide que elija la ruta de acceso de configuracin ms parecida a solucin de acceso
remoto que desea implementar. Si no hay ninguna ruta de acceso de configuracin satisface
todos sus requisitos, puede realizar ms configuraciones del servidor cuando finalice el
asistente, o puede elegir la ruta de acceso de configuracin personalizada.
Si bien el objetivo inmediato es configurar una conexin segura entre dos redes privadas,
hay otras guas en esta serie que describen de manera pormenorizada las funciones de
RRAS mediante la inclusin del acceso telefnico. Por ello, en las secciones siguientes,
RRAS se configurar inicialmente como servidor de VPN, mientras que la VPN de sitio a
sitio se configurar manualmente.
%
Con una instalacin bsica de Windows Server 2003, los componentes para RRAS
se instalan de manera predeterminada, pero no se habilitan ni configuran.
O -
"
!
"
*+, %,
) ,'
1.Haga clic en el botn
, seleccione .
,
*
y, a continuacin, haga clic en
"
.
2.En la consola de
"
, haga clic con el botn secundario del
mouse (ratn) en *+, %,) ,' y, a continuacin, haga clic en
!
"
-
"
.
3.En el (
"
haga clic en
.
4.Haga clic en el botn de opcin (
/
0
(predeterminado) y, a continuacin, en
.
5.Active la casilla de verificacin $O% como se muestra en la figura 1 y, a continuacin,
haga clic en
.
1
'2
3
6.En ! , haga clic para resaltar el adaptador que representa la conexin de
Internet en la que funcionar esta VPN de sitio a sitio. Mantenga la seleccin
predeterminada de *
y, a continuacin, haga clic en
.
7.En la pantalla (
O, mantenga la opcin predeterminada
(
haga clic en
para continuar.
%
Al configurar un servidor de RRAS, debe determinar si el servidor de acceso
1
2
)* O
Ver la imagen a tamao completo
O -
"
!
"
*+, %,
) ,
1.Haga clic en el botn
, seleccione .
,
*
y, a continuacin, haga clic en
"
.
!
!
Las interfaces de red permiten que cualquier servidor en que se ejecute RRAS se
comunique con otros equipos a travs de redes pblicas o privadas. Las interfaces de red
estn relacionadas con Enrutamiento y acceso remoto de dos maneras: el hardware fsico,
por ejemplo un adaptador de red, y la configuracin de la interfaz de red.
En Enrutamiento y acceso remoto, hay dos categoras de interfaces de red.
] !5
Una interfaz privada es un adaptador de red conectado fsicamente a una
red privada. Prcticamente todas las redes privadas se configuran con un intervalo de
direcciones IP de red privada, y la interfaz privada se configura tambin con una direccin
privada. Una red privada est formada, en teora, por usuarios y equipos conocidos, por lo
que normalmente los aspectos de seguridad de las interfaces privadas no son tan
numerosos como los de las interfaces pblicas.
] !54
Una interfaz pblica es un adaptador de red conectado fsicamente a una
red pblica, como Internet. La interfaz pblica est configurada con una direccin IP
pblica. Las interfaces pblicas se pueden configurar de manera que realicen la traduccin
de direcciones de red (NAT). Puesto que una interfaz pblica es en teora accesible para
todos los usuarios de la red pblica, las consideraciones de seguridad suelen ser ms
importantes para las interfaces pblicas que para las privadas.
] !5
Las interfaces de marcado a peticin conectan
enrutadores especficos de redes pblicas o privadas. Una interfaz de marcado a peticin
puede ser a peticin (se activa slo cuando es necesario) o persistente (siempre conectada).
Adems de configurar cada interfaz de red como pblica, privada o de marcado a peticin,
puede configurar filtros de paquetes, direcciones y otras opciones para las interfaces de
redes. Algunas de las opciones para las interfaces pblicas, como un servidor de seguridad
bsico, no estn disponibles para las interfaces privadas.
O
!
!5
/*+,
%,) ,'0
1.En la consola
"
, haga clic en el signo ms (6) que est
junto a *+, %,) ,' para expandir el rbol.
2.En el rbol de *+, %,) ,', haga clic con el botn secundario del mouse en
! , y, a continuacin, haga clic en %
!5
.
3.En la primera pantalla del Asistente para interfaz de marcado a peticin, haga clic en
para empezar la configuracin.
4.Como %
!5, escriba $O%7$
y, a continuacin, haga clic en
.
5.En .
, mantenga la configuracin predeterminada,
/$O%0 y, a continuacin, haga clic en
.
6.En la pantalla .
$O%, seleccione O
4/8.O0 como se
muestra en la figura 3 y, a continuacin, haga clic en
.
1
2
$O%
7.En la pantalla )
, escriba 222 en %
-
O y, a continuacin, haga clic en
.
8.En la pantalla O
"
, active & O
y (
&
y haga clic en
.
9.En la pantalla
, haga clic en ( . Escriba
222 en )
y 99222 en # , haga clic en ( y, a
continuacin, haga clic en
.
%
En el paso anterior se asume que el dominio vancouver se ha vuelto a configurar
para que resida en una red 30.0.0.0.
10.En la pantalla
, escriba
:' en los cuadros
: y
!
: y haga clic en
.
11.En la pantalla
, escriba $O%7*+ en %
, $(% $ en )
y
:' en
: y
!
:. Cuando haya terminado, la configuracin debe ser la que se
muestra en la figura 4. Haga clic en
para continuar.
1
;2
!
*+, %,) ,'
12.En la pgina 1
5
(
!5
, haga
clic en 1
5 .
O
!
!5
/*+,
%,) ,0
1.En la consola
"
, haga clic en el signo ms (6) que est
junto a *+, %,) , para expandir el rbol.
2.En el rbol de *+, %,) ,, haga clic con el botn secundario del mouse en
! , y, a continuacin, haga clic en %
!5
.
3.En la primera pantalla del Asistente para interfaz de marcado a peticin, haga clic en
para empezar la configuracin.
4.Como %
!5, escriba $O%7*+ y, a continuacin, haga clic en
.
5.En .
, mantenga la configuracin predeterminada,
/$O%0 y, a continuacin, haga clic en
.
6.En la pantalla .
$O%, seleccione O
4/8.O0 como se
muestra en la figura 3 y, a continuacin, haga clic en
.
7.En la pantalla )
, escriba 222' en %
-
O y, a continuacin, haga clic en
.
8.En la pantalla O
"
, active & O
y (
&
y haga clic en
.
9.En la pantalla
, haga clic en ( . Escriba
'222 en )
y 99222 en # , haga clic en ( y, a
1
92
!
*+, %,) ,
12.Haga clic en
para continuar.
13.En la pgina 1
5
(
!5
, haga
clic en 1
5 .
Principio de la pgina
Para RRAS en Windows Server 2003, la autorizacin de acceso a la red se concede en
funcin de las propiedades de marcado de la cuenta de usuario y las directivas de acceso
remoto.
Las directivas de acceso remoto son un conjunto ordenado de reglas que definen cmo se
autorizan o rechazan las conexiones. Por cada regla hay una o varias condiciones, un
conjunto de configuraciones de perfil y una configuracin de permiso de acceso remoto. Si
se autoriza una conexin, el perfil de la directiva de acceso remoto especifica un conjunto
de restricciones de conexin. Las propiedades de marcado de la cuenta de usuario tambin
proporcionan un conjunto de restricciones. Siempre que sea pertinente, las restricciones de
conexin de la cuenta de usuario anulan a las del perfil de la directiva de acceso remoto.
Existen dos formas de usar las directivas de acceso remoto para conceder la autorizacin.
]O
Si administra la autorizacin por usuario, establezca el permiso de acceso
remoto en la cuenta de usuario o equipo para que conceda o deniegue el permiso y, si lo
desea, cree distintas directivas de acceso remoto en funcin de distintos tipos de conexin.
Por ejemplo, puede tener una directiva de acceso remoto que se utilice para las conexiones
de acceso telefnico y otra que se utilice para las conexiones inalmbricas. La
administracin de la autorizacin por usuario slo se recomienda si el nmero de cuentas
de usuario o equipo que se administra es reducido.
]O
Si administra la autorizacin por grupo, establezca el permiso de acceso
remoto en la cuenta de usuario en
3
y cree directivas de acceso remoto en funcin de los distintos tipos de conexin y
la pertenencia a grupos. Por ejemplo, puede tener una directiva de acceso remoto para las
conexiones de acceso telefnico para los empleados (que pertenecen al grupo Empleados)
y otra para las conexiones de acceso telefnico para los contratistas (que pertenecen al
grupo Contratistas).
Las condiciones de las directivas de acceso remoto son uno o varios atributos que se
comparan con la configuracin del intento de conexin. Si hay varias conexiones, todas las
condiciones deben coincidir con la configuracin del intento de conexin para que ste
coincida con la directiva. Si se satisfacen todas las condiciones de una directiva de acceso
remoto, el permiso de acceso remoto se concede o se deniega. Puede utilizar las opciones
Conceder permiso de acceso remoto y Denegar permiso de acceso remoto para definir el
permiso de acceso remoto de una directiva.
En las siguientes secciones, se configuran directivas de acceso remoto para conceder la
autorizacin por grupo.
O
5
1.En el servidor *+, %,) ,', abra la consola
"&
(
)
".
2.En la consola
"&
(
)
", haga clic en el signo ms (6)
situado junto a
2
para expandir el rbol.
3.En el rbol
2
, haga clic en la unidad organizativa (OU)
. En el
panel de resultados, haga doble clic en $O%7$
.
4.En la pgina O
$O%7$
, haga clic en la ficha #
.
5.En la seccin O
, haga clic en
3
, como se muestra en la figura 6.
1
<2
3
(
6.En la pgina O
$O%7$
, haga clic en ( .
7.En el rbol
2
, haga clic en la unidad organizativa c
, haga clic con el
botn secundario del mouse en la unidad organizativa c
, seleccione %
y, a
continuacin, haga clic en c
.
8.En la pantalla %
, escriba $O% en %
y,
a continuacin, haga clic en ( .
9.En el panel de resultados, haga doble clic en $O% . En la pantalla
O
$O% , haga clic en la ficha #
. Haga clic en
( , escriba $O%7$
y, a continuacin, haga clic en ( dos veces.
10.Cierre la consola
"&
(
)
".
O
!
5
1.En la consola
"
, haga clic en )
.
2.En el panel de resultados, haga doble clic en
"
#
!.
3.En
, haga clic en ( . Haga doble clic en c
, haga clic en ( , escriba $O% y, a continuacin, haga clic
en ( dos veces.
4.En la parte inferior de la pgina O
, haga clic en
y, a continuacin, haga clic en ( .
Principio de la pgina
!
O"
1
=2
O
!
O
/*+, %,
) ,0
1.En la consola de
"
, en el rbol *+, %,) ,/
0,
haga clic en ! y, a continuacin, haga doble clic en $O%7*+.
2.En la pgina O
$O%7*+, haga clic en la ficha
y, a
continuacin, haga clic en el botn
!
O.
3.En el cuadro de dilogo
!
O, active
, escriba ';9 en como se muestra en la figura 8 y, a
continuacin, haga clic en ( dos veces.
1
>2
O
$O%
]En la consola
"
, haga clic con el botn secundario del
mouse en $O%7*+ y, a continuacin, haga clic en
.
Principio de la pgina
Para obtener ms informacin, consulte los siguientes recursos:
]Redes privadas virtuales de Windows Server 2003 en
http://www.microsoft.com/windowsserver2003/technologies/networking/vpn/default.mspx
(en ingls).
]Para obtener la informacin ms reciente sobre Windows Server 2003, consulte el sitio
Web de Windows Server 2003 en
http://www.microsoft.com/windowsserver2003 (en ingls)
Lo primero, claro est, es descargarlo e instalarlo, algo no demasiado complicado puesto
que se encuentra en espaol, al menos parcialmente.
Tan solo deberemos prestar algo de atencin a este apartado que, ya que se encuentra tan
bien argumentado que la RAE ha dado su conformidad con el texto, vamos a obviarlo. En
tu mano est si activar o no estos servicios, si bien puedes cambiar en cualquier momento
esta opcin.
Nada ms iniciar Hamachi tendrs que crearte una cuenta. No temas, no tendrs que
rellenar un formulario eterno de 27 pginas. De hecho es realmente fcil.
Tras esto, crearemos una red donde deber conectarse todo el mundo que quiera pertenecer
a nuestra red. Para ello, una vez estemos conectados, pulsaremos sobre el tringulo que hay
abajo a la derecha de la ventana principal, y a continuacin haremos clic en
.
Despus hemos de elegir un nombre para nuestra red, y una contrasea, con la cual
evitaremos que cualquier persona se conecte, siendo esto de especial importancia si hemos
activado los archivos compartidos y dems.
El resto de personas debern pulsar sobre el botn con el dibujo del tringulo que ya hemos
mencionado y seleccionar
, introduciendo a continuacin el
nombre de red y contrasea de la red previamente creada. Una vez suceda eso,
empezaremos a ver como aparecen personas en nuestra red.
Voil. Ya lo tenemos listo. A partir de ahora todos los ordenadores en la red (en este caso el
creador,
!
', y el equipo llamado
) se encuentran en una red privada virtual,
pueden compartir archivos como si estuvieran uno al lado del otro y, lo ms importante,
8(%4
"
"
2
El programa, en especial la versin bsica, no ofrece mucho ms, aunque tampoco hace
falta. Incorpora un chat, muy bsico pero funcional, con el que puedes comunicarte con el
resto de la gente, y poco ms, pero puede presumir de ser la forma ms sencilla de disfrutar
de algunos de los beneficios de las VPN, sin sus inconvenientes.
http://es.onsoftware.com/p/crea-una-red-local-a-traves-de-internet-con-hamachi
Un usuario que ya est conectado a Internet utiliza una conexin VPN para marcar el
nmero del servidor de acceso remoto. Entre los ejemplos de este tipo de usuarios se
incluyen las personas cuyos equipos estn conectados a una red de rea local, los usuarios
de cables de conexin directa o los suscriptores de servicios como ADSL, en los que la
conectividad IP se establece inmediatamente despus de que el usuario inicie el equipo. El
controlador PPTP o L2TP establece un tnel a travs de Internet y conecta con el servidor
de acceso remoto habilitado para PPTP o L2TP. Despus de la autenticacin, el usuario
puede tener acceso a la red corporativa con total funcionalidad.
El procedimiento para la configuracin constara de 3 pasos.
j
j
j
%1c( @%)8$)2
El procedimiento sera el siguiente:
Iremos a
-> #
(en ocasiones Mis sitios de red no aparece
directamente en el men, y hay que acceder a travs de Mi PC)
Se abrir el asistente para conexin nueva e iremos siguiendo las indicaciones, pulsamos en
:
Seleccionamos la opcin
!
5y pulsamos en
,
para despus elegir la opcin (
.
Debemos ahora definir un usuario que tenga permisos de acceso a travs de la VPN.
Podemos elegir uno de los que ya tenemos configurado en el PC o bien crear otro
exclusivo. Al crear uno nuevo (pulsar el botn ( 222), nos pedir que introduzcamos
un nombre de usuario y le proporcionemos una contrasea. Esta contrasea ser la que
posteriormente nos solicite al realizar la conexin remota.
Una vez creado el usuario nuevo, lo seleccionamos para permitirle la conexin, pulsamos
en
y pasamos a otra pantalla en la que nos muestra los protocolos que usar la
conexin para permitir el acceso al cliente remoto. Lo dejamos como est y pulsamos en
para finalizar esta parte del proceso.
Con esto habremos creado la conexin nueva y habremos creado tambin un usuario con
acceso a la VPN. Pulsamos en 1
5 .
En el siguiente paso nos pedir que introduzcamos el nombre de host o la direccin IP del
servidor remoto. Que ser la direccin del servidor que configuramos en la primera parte
del documento. Pulsamos en
y en 1
5 .
Antes de realizar la primera conexin hay que hacer un pequeo ajuste en la configuracin
para que se pueda seguir navegando con normalidad mientras estemos conectados a la
VPN. Para ello pulsamos en O
. En la pestaa 1
, seleccionamos
el O
/. OO0 y pulsamos de nuevo en O
.
_
_
_
_
_
_
!
_
_ "_
_ "#$#%&
_'(
) _
_ " #* #+
&
_(_
_ $,,*"-" _
_-" ./0
_
_ $,,*"-" _
_-" ./0
_
_
_
_" 1
%203+456/6&/7/%&+'089
_
1_: ;
<+ ;"<
;<
;
<;
_
_