c



 
 
 

 





Publicado: septiembre 17, aaaa
Esta gua detallada proporciona instrucciones para crear una infraestructura del Servicio de
enrutamiento y acceso remoto (RRAS) compatible con una red privada virtual (VPN) de
sitio a sitio mediante conexiones de marcado a peticin.



Introduccin
Introduccin
Configurar el Servicio de enrutamiento y acceso remoto
Configurar interfaces de marcado a peticin
Extender la seguridad de sitio a sitio mediante directivas de acceso remoto
Configurar la clave compartida de IPSec y probar la conexin
Recursos adicionales

  

c

Las guas detalladas de desarrollo de Windows Server 2003 proporcionan experiencia
prctica para muchas configuraciones de sistemas operativos. Las guas comienzan
estableciendo una infraestructura de red comn a travs de la instalacin de Windows
Server 2003, la configuracin de Active Directory, la instalacin de una estacin de
trabajo Windows XP Professional y, por ltimo, la incorporacin de esta estacin de trabajo
a un dominio. Las guas detalladas posteriores asumen que posee esta infraestructura de red
comn. Si no desea seguir esta infraestructura de red comn, tendr que efectuar las
modificaciones pertinentes mientras utiliza estas guas.
La infraestructura de red comn requiere que se sigan las instrucciones de las guas
siguientes.

]O  

          


]O   
  
  OO !
"   
 


Una vez configurada la infraestructura de red comn, pueden utilizarse todas las guas
detalladas adicionales. Tenga en cuenta que algunas guas detalladas pueden tener
requisitos previos adicionales adems de los requisitos de infraestructura de red comn.
Todos los requisitos adicionales se indicarn en la gua detallada especfica.

#
  !$
 O 
Las guas detalladas de desarrollo de Windows Server 2003 se pueden implementar en un
entorno de laboratorio fsico o mediante tecnologas de creacin de entornos virtuales como
Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnologa de mquina
virtual permite a los usuarios ejecutar varios sistemas operativos simultneamente en un
nico servidor fsico. Virtual PC 2004 y Virtual Server 2005 estn diseados para aumentar
la eficacia operativa de las pruebas y desarrollo de software, la migracin de aplicaciones
heredadas y los escenarios de consolidacin de servidores.
En las guas detalladas de desarrollo de Windows Server 2003 se asume que todas las
configuraciones se realizarn en un entorno de laboratorio fsico, aunque la mayora de
ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas.
La aplicacin de los conceptos proporcionados en estas guas detalladas a un entorno
virtual se escapa al alcance de este documento.

% 
 
Las compaas, organizaciones, productos, nombres de dominio, direcciones de correo
electrnico, logotipos, personas, lugares y datos mencionados aqu son ficticios. No se
pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones,
nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares o datos
reales.
Esta infraestructura comn est concebida para su uso en una red privada. El nombre
ficticio de la compaa y el nombre DNS (Sistema de nombres de dominio) utilizados en la
infraestructura comn no estn registrados para su uso en Internet. No debe utilizar estos
nombres en una red pblica ni en Internet.
El objetivo de la estructura del servicio Active Directory para esta infraestructura comn es
mostrar cmo funciona la administracin de cambios y configuracin de Windows Server
2003 con Active Directory. No se ha diseado como un modelo para configurar Active
Directory en una organizacin.
Principio de la pgina

  

Muchas organizaciones tienen oficinas en distintas ubicaciones geogrficas y requieren
conectividad remota. El Servicio de enrutamiento y acceso remoto (RRAS) de Windows
Server 2003 se puede utilizar para implementar una solucin de sitio a sitio rentable y
segura.
Hasta ahora, en las organizaciones se han utilizado tecnologas de conexin de sitio a sitio
de red de rea extensa (WAN), por ejemplo T-Carrier o Frame Relay, para conectar sitios
remotos a travs de una red privada de datos. Con todo, estas lneas privadas son costosas.
Por ejemplo, el costo de los servicios de T-Carrier depende del ancho de banda y la
distancia, con lo que las conexiones son relativamente costosas. Adems, T-Carrier requiere
por lo general una infraestructura dedicada, con enrutadores de unidades de servicio de
canal/unidades de servicio digitales (CSU/DSU) y enrutadores especficos de lnea en
ambos extremos de la conexin.
Por el contrario, la solucin RRAS de Windows Server 2003 se puede integrar en la red
actual de la organizacin utilizando los servidores existentes. Con las conexiones de sitio a
sitio que proporciona el RRAS, se dispone de dos opciones frente a los vnculos de WAN
convencionales: una conexin de acceso telefnico de sitio a sitio o una conexin de sitio a
sitio de VPN. Si implementa una solucin RRAS para reemplazar a la conexin WAN
existente, o para implementar una nueva conexin, puede optimizar la rentabilidad
ajustando el tipo de conexin al volumen de trfico. Tambin puede personalizar la
seguridad para que se ajuste a las necesidades de la organizacin.
En una implementacin de sitio a sitio, RRAS admite el enrutamiento de marcado a
peticin, denominado tambin enrutamiento de marcado a peticin. Mediante el uso de una
interfaz de marcado a peticin, el enrutador puede iniciar una conexin con un sitio remoto
cuando recibe el paquete que se debe enrutar. La conexin pasa a estar activa slo cuando
se envan datos al sitio remoto. Cuando no se han enviado datos a travs del vnculo
durante un periodo de tiempo especificado, se desconecta el vnculo.
RRASS tambin admite filtros y horas de marcado a peticin. Los filtros de marcado a
peticin se pueden usar para especificar los tipos de trfico admitidos para crear la
conexin. Los filtros de marcado a peticin son independientes de los filtros de paquetes
del Protocolo Internet (IP), que se configuran para especificar el trfico que puede entrar y
salir de una interfaz una vez que se ha establecido la conexin. Se pueden definir horas de
marcado, que especifican cundo puede un enrutador hacer llamadas para establecer
conexiones de marcado a peticin. Se puede configurar cundo acepta el enrutador
conexiones entrantes a travs de directivas de acceso remoto.
%  RRAS es compatible con conexiones de sitio a sitio entre oficinas remotas y
conexiones de acceso remoto para equipos independientes. Esta gua detallada se centra en
la implementacin de una conexin de VPN de sitio a sitio mediante Seguridad del
protocolo Internet (IPSec) con una clave compartida.

&

  

]O ' 
          


]c
 !
 
    




]c


 
(
)
 "

&

 

]Para la configuracin de una solucin VPN de sitio a sitio, los enrutadores de llamada y de
respuesta se deben configurar como servidores con multialojamiento. En consecuencia,
cada servidor debe tener una tarjeta de interfaz de red secundaria (NIC) lista para su uso.
En los procedimientos descritos en esta gua, se usa la siguiente configuracin de la NIC
secundaria.
]*+,
%,) ,' - Direccin IP: 20.0.0.1, MSCARA IP: 255.0.0.0, Puerta de enlace
predeterminada: En blanco, Servidor DNS: 127.0.0.1
]*+,
%,) , - Direccin IP: 20.0.0.2, MSCARA IP: 255.0.0.0, Puerta de enlace
predeterminada: En blanco, Servidor DNS: 127.0.0.1
]Para simular correctamente una conexin de marcado a peticin de sitio a sitio, todos los
equipos que estn en el dominio secundario,   , se deben trasladar a otra red, o
disponer de otra interfaz de red lista para su uso. En las siguientes secciones, cada equipo
del dominio secundario   se ha configurado con una tercera interfaz de red. Cada
interfaz est configurada con una direccin de red 30.0.0.0. Si decide segmentar
fsicamente el dominio Vancouver, debe instalar y configurar DNS en HQ-CON-DC-02.
( 
 Las instrucciones de esta gua proporcionan una introduccin general a las
configuraciones necesarias para crear una conexin VPN de sitio a sitio de marcado a
peticin mediante una clave compartida de IPSec. En consecuencia, los procedimientos de
esta gua slo se deben implementar en un entorno de prueba. Para obtener ms
informacin sobre cmo planear e implementar VPN de Windows Server 2003, consulte
Redes privadas virtuales para Windows Server 2003.
Principio de la pgina

!
   

 
 "    
Al ejecutar el Asistente para la instalacin de servidor de enrutamiento y acceso remoto, se
le pide que elija la ruta de acceso de configuracin ms parecida a solucin de acceso
remoto que desea implementar. Si no hay ninguna ruta de acceso de configuracin satisface
todos sus requisitos, puede realizar ms configuraciones del servidor cuando finalice el
asistente, o puede elegir la ruta de acceso de configuracin personalizada.
Si bien el objetivo inmediato es configurar una conexin segura entre dos redes privadas,
hay otras guas en esta serie que describen de manera pormenorizada las funciones de
RRAS mediante la inclusin del acceso telefnico. Por ello, en las secciones siguientes,

RRAS se configurar inicialmente como servidor de VPN, mientras que la VPN de sitio a
sitio se configurar manualmente.
%  Con una instalacin bsica de Windows Server 2003, los componentes para RRAS
se instalan de manera predeterminada, pero no se habilitan ni configuran.
O -

 " !
   

 
 "    *+,
%,
) ,'
1.Haga clic en el botn 

, seleccione .      ,
* 
 

 
 y, a continuacin, haga clic en  
 " 
  .
2.En la consola de  
 "    , haga clic con el botn secundario del
mouse (ratn) en *+,
%,) ,' y, a continuacin, haga clic en !
  "
-

  
 "    .
3.En el (
 

 
  
 "   
haga clic en 

.
4.Haga clic en el botn de opcin (    /      

 0
(predeterminado) y, a continuacin, en 

.
5.Active la casilla de verificacin $O% como se muestra en la figura 1 y, a continuacin,
haga clic en 

.

1
 '2
  3     
6.En  ! , haga clic para resaltar el adaptador que representa la conexin de
Internet en la que funcionar esta VPN de sitio a sitio. Mantenga la seleccin
predeterminada de *

 
 y, a continuacin, haga clic en 

.
7.En la pantalla (



O, mantenga la opcin predeterminada
(  
 haga clic en 

 para continuar.
%  Al configurar un servidor de RRAS, debe determinar si el servidor de acceso

remoto utilizar el Protocolo de configuracin dinmica de host (DHCP) o un conjunto

de direcciones IP estticas para obtener las direcciones de los clientes de acceso
telefnico. Si utiliza un conjunto de direcciones IP estticas, debe determinar si el
conjunto ser de intervalos de direcciones que son un subconjunto de direcciones de la
red IP a la que est conectado el servidor u otra subred aparte. Si los intervalos de
direcciones del conjunto de direcciones IP estticas representan a otra subred, asegrese
de que las rutas de los intervalos de direcciones existen en los enrutadores de la intranet,
para que el trfico hacia los clientes de acceso remoto conectados se reenve al servidor
de acceso remoto.
8.En la pantalla (

   
     4
, mantenga la
opcin predeterminada para utilizar RRAS para autenticar las solicitudes de
autenticacin y, a continuacin, haga clic en 

.
%  Si tiene ms de un servidor de acceso remoto, en lugar de administrar las
directivas de acceso remoto de todos ellos por separado, puede configurar un solo
servidor con el Servicio de autenticacin Internet (IAS) como servidor del Servicio de
usuario de acceso telefnico de autenticacin remota (RADIUS) y configurar los
servidores de acceso remoto como clientes RADIUS El servidor IAS proporciona
autenticacin, autorizacin, contabilidad y auditora centralizadas para el acceso remoto.
9.En el (
 

 
  
 "   
haga clic en 1

5 .
10.En el cuadro de dilogo  
 "    , que se muestra en la figura 2,
haga clic en ( para confirmar los requisitos de  

)* O.
%  De manera predeterminada, los servicios DHCP que proporciona RRAS
automticamente controlan todos los requisitos de la retransmisin DHCP. En una
situacin en que haya otro servidor DHCP, debe asegurarse de que el servidor est
configurado para retransmitir las solicitudes DHCP.

1
 2 

)* O
Ver la imagen a tamao completo
O -

 " !
   

 
 "    *+,
%,
) ,
1.Haga clic en el botn 

, seleccione .      ,
* 
 

 
 y, a continuacin, haga clic en  
 " 
  .

2.En la consola de  

 "    , haga clic con el botn secundario del
mouse en *+,
%,) , y, a continuacin, haga clic en !
  "-

 
 
 "    .
3.En el (
 

 
  
 "   
haga clic en 

.
4.Haga clic en el botn de opcin !
 
  
5 y, a continuacin, haga
clic en 

.
5.Haga clic en el botn de opcin 
  

/ 

5 
 
   0 y, a continuacin, en 

.
6.En el (
 

 
  
 "   
haga clic en 1

5 .
7.En el cuadro de dilogo  
 "    , haga clic en 
para iniciar el
servicio RRAS.
Principio de la pgina

!
  
 !  


Las interfaces de red permiten que cualquier servidor en que se ejecute RRAS se
comunique con otros equipos a travs de redes pblicas o privadas. Las interfaces de red
estn relacionadas con Enrutamiento y acceso remoto de dos maneras: el hardware fsico,
por ejemplo un adaptador de red, y la configuracin de la interfaz de red.
En Enrutamiento y acceso remoto, hay dos categoras de interfaces de red.
] !5
 Una interfaz privada es un adaptador de red conectado fsicamente a una
red privada. Prcticamente todas las redes privadas se configuran con un intervalo de
direcciones IP de red privada, y la interfaz privada se configura tambin con una direccin
privada. Una red privada est formada, en teora, por usuarios y equipos conocidos, por lo
que normalmente los aspectos de seguridad de las interfaces privadas no son tan
numerosos como los de las interfaces pblicas.
] !54
 Una interfaz pblica es un adaptador de red conectado fsicamente a una
red pblica, como Internet. La interfaz pblica est configurada con una direccin IP
pblica. Las interfaces pblicas se pueden configurar de manera que realicen la traduccin
de direcciones de red (NAT). Puesto que una interfaz pblica es en teora accesible para
todos los usuarios de la red pblica, las consideraciones de seguridad suelen ser ms
importantes para las interfaces pblicas que para las privadas.
] !5  

 Las interfaces de marcado a peticin conectan
enrutadores especficos de redes pblicas o privadas. Una interfaz de marcado a peticin
puede ser a peticin (se activa slo cuando es necesario) o persistente (siempre conectada).
Adems de configurar cada interfaz de red como pblica, privada o de marcado a peticin,
puede configurar filtros de paquetes, direcciones y otras opciones para las interfaces de
redes. Algunas de las opciones para las interfaces pblicas, como un servidor de seguridad
bsico, no estn disponibles para las interfaces privadas.

O  !
   
 !5  

 
   /*+,

%,) ,'0
1.En la consola  
 "    , haga clic en el signo ms (6) que est
junto a *+,
%,) ,' para expandir el rbol.
2.En el rbol de *+,
%,) ,', haga clic con el botn secundario del mouse en
 ! , y, a continuacin, haga clic en % 
 !5  


.
3.En la primera pantalla del Asistente para interfaz de marcado a peticin, haga clic en


 para empezar la configuracin.
4.Como %  
 !5, escriba $O%7$  y, a continuacin, haga clic en


.
5.En .
  
, mantenga la configuracin predeterminada,    


 /$O%0 y, a continuacin, haga clic en 

.
6.En la pantalla .
 $O%, seleccione O    4/8.O0 como se
muestra en la figura 3 y, a continuacin, haga clic en 

.

1
 2
 
 $O%
7.En la pantalla )


 , escriba 222 en %  -  


O y, a continuacin, haga clic en 

.
8.En la pantalla O    "
, active   & O


y (      
 &          
y haga clic en 

.
9.En la pantalla 
    , haga clic en (  . Escriba
222 en )
 y 99222 en #  , haga clic en ( y, a
continuacin, haga clic en 

.
%  En el paso anterior se asume que el dominio vancouver se ha vuelto a configurar
para que resida en una red 30.0.0.0.
10.En la pantalla 
  , escriba   :' en los cuadros

  : y !
   : y haga clic en 

.
11.En la pantalla 

, escriba $O%7*+ en %  
 
, $(%
$ en ) 

y   :' en  : y
!
   :. Cuando haya terminado, la configuracin debe ser la que se
muestra en la figura 4. Haga clic en 

 para continuar.

1
 ;2 !
   

*+,
%,) ,'
12.En la pgina 1

5
(
 
 !5  

, haga
clic en 1

5 .
O  !
   
 !5  

 
 /*+,

%,) ,0
1.En la consola  
 "    , haga clic en el signo ms (6) que est
junto a *+,
%,) , para expandir el rbol.
2.En el rbol de *+,
%,) ,, haga clic con el botn secundario del mouse en
 ! , y, a continuacin, haga clic en % 
 !5  


.
3.En la primera pantalla del Asistente para interfaz de marcado a peticin, haga clic en


 para empezar la configuracin.
4.Como %  
 !5, escriba $O%7*+ y, a continuacin, haga clic en


.
5.En .
  
, mantenga la configuracin predeterminada,    


 /$O%0 y, a continuacin, haga clic en 

.
6.En la pantalla .
 $O%, seleccione O    4/8.O0 como se
muestra en la figura 3 y, a continuacin, haga clic en 

.
7.En la pantalla )


 , escriba 222' en %  -  


O y, a continuacin, haga clic en 

.
8.En la pantalla O    "
, active   & O


y (      
 &          
y haga clic en 

.
9.En la pantalla 
    , haga clic en (  . Escriba
'222 en )
 y 99222 en #  , haga clic en ( y, a

continuacin, haga clic en 


.
%  En el paso anterior se asume que el dominio raz contoso sigue residiendo en la
red 10.0.0.0.
10.En la pantalla 
  , escriba   :' en los cuadros
 : y !
   : y haga clic en 

.
11.En la pantalla 

, escriba $O%7$  en %  
  
,
%.

en ) 

y   :' en  : y
!
   :. Cuando haya terminado, la configuracin debe ser la que se
muestra en la figura 5.

1
 92 !
   

*+,
%,) ,
12.Haga clic en 

 para continuar.
13.En la pgina 1

5
(
 
 !5  

, haga
clic en 1

5 .
Principio de la pgina

 








    
Para RRAS en Windows Server 2003, la autorizacin de acceso a la red se concede en
funcin de las propiedades de marcado de la cuenta de usuario y las directivas de acceso
remoto.
Las directivas de acceso remoto son un conjunto ordenado de reglas que definen cmo se
autorizan o rechazan las conexiones. Por cada regla hay una o varias condiciones, un
conjunto de configuraciones de perfil y una configuracin de permiso de acceso remoto. Si
se autoriza una conexin, el perfil de la directiva de acceso remoto especifica un conjunto
de restricciones de conexin. Las propiedades de marcado de la cuenta de usuario tambin
proporcionan un conjunto de restricciones. Siempre que sea pertinente, las restricciones de
conexin de la cuenta de usuario anulan a las del perfil de la directiva de acceso remoto.

Existen dos formas de usar las directivas de acceso remoto para conceder la autorizacin.
]O   
Si administra la autorizacin por usuario, establezca el permiso de acceso
remoto en la cuenta de usuario o equipo para que conceda o deniegue el permiso y, si lo
desea, cree distintas directivas de acceso remoto en funcin de distintos tipos de conexin.
Por ejemplo, puede tener una directiva de acceso remoto que se utilice para las conexiones
de acceso telefnico y otra que se utilice para las conexiones inalmbricas. La
administracin de la autorizacin por usuario slo se recomienda si el nmero de cuentas
de usuario o equipo que se administra es reducido.
]O   Si administra la autorizacin por grupo, establezca el permiso de acceso
remoto en la cuenta de usuario en     3

 
  y cree directivas de acceso remoto en funcin de los distintos tipos de conexin y
la pertenencia a grupos. Por ejemplo, puede tener una directiva de acceso remoto para las
conexiones de acceso telefnico para los empleados (que pertenecen al grupo Empleados)
y otra para las conexiones de acceso telefnico para los contratistas (que pertenecen al
grupo Contratistas).
Las condiciones de las directivas de acceso remoto son uno o varios atributos que se
comparan con la configuracin del intento de conexin. Si hay varias conexiones, todas las
condiciones deben coincidir con la configuracin del intento de conexin para que ste
coincida con la directiva. Si se satisfacen todas las condiciones de una directiva de acceso
remoto, el permiso de acceso remoto se concede o se deniega. Puede utilizar las opciones
Conceder permiso de acceso remoto y Denegar permiso de acceso remoto para definir el
permiso de acceso remoto de una directiva.
En las siguientes secciones, se configuran directivas de acceso remoto para conceder la
autorizacin por grupo.
O    

        
5
   
1.En el servidor *+,
%,) ,', abra la consola  
"&
 (

)
 ".
2.En la consola  
"&
 (
)
 ", haga clic en el signo ms (6)
situado junto a    2  para expandir el rbol.
3.En el rbol    2 , haga clic en la unidad organizativa (OU)  
. En el
panel de resultados, haga doble clic en $O%7$  .
4.En la pgina O 
$O%7$  , haga clic en la ficha #  .
5.En la seccin O 
     , haga clic en     3


    , como se muestra en la figura 6.

1
 <2   
      3

(
6.En la pgina O 
$O%7$  , haga clic en ( .
7.En el rbol    2 , haga clic en la unidad organizativa c  , haga clic con el
botn secundario del mouse en la unidad organizativa c  , seleccione %  y, a
continuacin, haga clic en c  .
8.En la pantalla %      , escriba $O%   en %     y,
a continuacin, haga clic en ( .
9.En el panel de resultados, haga doble clic en $O%  . En la pantalla
O 
$O%  , haga clic en la ficha #
 . Haga clic en
(  , escriba $O%7$  y, a continuacin, haga clic en ( dos veces.
10.Cierre la consola  
"&
 (
)
 ".
O  !
   

        
5
 
  
1.En la consola  
 "    , haga clic en )

 
  .
2.En el panel de resultados, haga doble clic en 
 
  
 "
    #
  !.
3.En 



, haga clic en (  . Haga doble clic en c  

 , haga clic en (  , escriba $O%   y, a continuacin, haga clic
en ( dos veces.
4.En la parte inferior de la pgina O 
, haga clic en   
  
  y, a continuacin, haga clic en ( .
Principio de la pgina

!
    
O"  
 


De manera predeterminada, el cliente L2TP y el servidor L2TP de Windows Server 2003

estn preconfigurados para la autenticacin de IPSec basada en certificados. Al establecer
una conexin de L2TP sobre IPSec, se crea automticamente una directiva de IPSec para
especificar que Intercambio de claves de Internet (IKE) utilizar la autenticacin basada en
certificados durante la negociacin de la configuracin de seguridad para L2TP. Esto
significa que el cliente L2TP y el servidor L2TP deben tener instalado un certificado de
equipo (conocido tambin como certificado de mquina) para que se pueda establecer
correctamente una conexin L2TP sobre IPSec. Ambos certificados de equipo deben
proceder de la misma autoridad emisora de certificados (CA) o el certificado raz de la CA
de cada equipo debe estar instalado como CA raz de confianza en el almacn de
certificados raz de confianza del otro.
En algunos casos, no se desea tener un mtodo de autenticacin IPSec basado en
certificados para las conexiones VPN de enrutador a enrutador basadas en L2TP. En este
caso, la directiva IPSec se puede configurar manualmente para que use claves previamente
compartidas al crear conexiones VPN de enrutador a enrutador. Esta clave de autenticacin
compartida previamente acta como una contrasea sencilla en la negociacin de IKE. Si
ambos extremos pueden probar que conocen la misma contrasea, pueden confiar uno en
otro y continuarn con la negociacin de claves de cifrado simtricas y privadas y la
configuracin especfica de seguridad para el trfico L2TP.
Normalmente, se considera que el uso de una clave compartida previamente de IKE no es
tan seguro como el uso de certificados, porque la autenticacin de IKE (y la confianza
implcita) depende slo del valor de la clave, que se almacena como texto sin formato en la
directiva de IPSec. Cualquier usuario que vea la directiva puede ver el valor de la clave
compartida previamente. Si un usuario malintencionado ve la clave compartida
previamente, podra configurar su sistema para que pueda establecer la seguridad IPSec con
el sistema de otro usuario. Sin embargo, la conexin L2TP requiere autenticacin en el
nivel de usuario mediante un Protocolo punto a punto (PPP). Por ello, un usuario
malintencionado tendra que conocer la clave compartida previamente y las credenciales de
usuario correctas para poder establecer la conexin L2TP sobre IPSec.
O  !
     
O 
   /*+,

%,) ,'0
1.En la consola de  
 "    , haga clic con el botn secundario del
mouse en *+,
%,) ,'/ 0 y, a continuacin, haga clic en O 
.
2.En la pgina O 
*+,
%,) ,'/ 0, haga clic en la ficha 
.
Active O 



  
5O   
8.O, escriba
';9 en   
 
 como se muestra en la figura 7 y, a
continuacin, haga clic en ( .

1
 =2    
 
  
 
O  !
     
O 
 /*+,
%,
) ,0
1.En la consola de  
 "    , en el rbol *+,
%,) ,/ 0,
haga clic en  !  y, a continuacin, haga doble clic en $O%7*+.
2.En la pgina O 
$O%7*+, haga clic en la ficha 
 y, a
continuacin, haga clic en el botn !
 
O.
3.En el cuadro de dilogo !
 
O, active   

  
 
 , escriba ';9 en  como se muestra en la figura 8 y, a
continuacin, haga clic en ( dos veces.

1
 >2    
 
  
O   
$O%




]En la consola  
 "    , haga clic con el botn secundario del
mouse en $O%7*+ y, a continuacin, haga clic en  .
Principio de la pgina

  


Para obtener ms informacin, consulte los siguientes recursos:
]Redes privadas virtuales de Windows Server 2003 en
http://www.microsoft.com/windowsserver2003/technologies/networking/vpn/default.mspx
(en ingls).
]Para obtener la informacin ms reciente sobre Windows Server 2003, consulte el sitio
Web de Windows Server 2003 en
http://www.microsoft.com/windowsserver2003 (en ingls)




    3  

*-

13 de Febrero por 
5
Nivel Avanzado, Tutoriales, Juegos, Internet, Windows
Hamachi es un programa muy sencillo que  
    

 
(VPN) 
 

, extraas configuraciones ni
quebraderos de cabeza.
Antes de que te preguntes por qu querra alguien hacer una
cosa as, o incluso qu es eso, lo explicaremos. Se trata de
crear una red local que en vez de estar unida por cables de red
enchufados a un router, switch o directamente entre equipos,
est conectada haciendo uso de Internet (y de ah la parte
Virtual de las siglas).
Se puede utilizar para conectar a unidades de otros equipos,
  
 
   y seguramente la opcin
favorita de la mayora de las personas que descargan
Hamachi,     
  en los que la opcin de
jugar por Internet pide demasiados requisitos o no funciona
(por estar detrs de un router, etc.), mientras que las  

8(% s lo hacen.
Para todos ellos, veremos como crear y conectarse a una red para empezar a disfrutar de
este programa cuanto antes.



Lo primero, claro est, es descargarlo e instalarlo, algo no demasiado complicado puesto
que se encuentra en espaol, al menos parcialmente.

Tan solo deberemos prestar algo de atencin a este apartado que, ya que se encuentra tan
bien argumentado que la RAE ha dado su conformidad con el texto, vamos a obviarlo. En
tu mano est si activar o no estos servicios, si bien puedes cambiar en cualquier momento
esta opcin.

Cuando tocaba traducir esta ventana el equipo de traduccin se encontraba de vacaciones, o

quiz con pocas ganas de trabajar, por lo que se ha colado en ingls. De todas formas
tampoco es muy relevante. Te permite elegir si utilizar la versin gratuita (la que usaremos
nosotros), la de pago, o probar la versin de pago durante un tiempo. Elegiremos 
*-
?
, que es suficiente para la mayora de la gente y gratis.

   
Nada ms iniciar Hamachi tendrs que crearte una cuenta. No temas, no tendrs que
rellenar un formulario eterno de 27 pginas. De hecho es realmente fcil.

    
Tras esto, crearemos una red donde deber conectarse todo el mundo que quiera pertenecer
a nuestra red. Para ello, una vez estemos conectados, pulsaremos sobre el tringulo que hay
abajo a la derecha de la ventana principal, y a continuacin haremos clic en   
.

Despus hemos de elegir un nombre para nuestra red, y una contrasea, con la cual
evitaremos que cualquier persona se conecte, siendo esto de especial importancia si hemos
activado los archivos compartidos y dems.


  
El resto de personas debern pulsar sobre el botn con el dibujo del tringulo que ya hemos
mencionado y seleccionar 
  
, introduciendo a continuacin el
nombre de red y contrasea de la red previamente creada. Una vez suceda eso,
empezaremos a ver como aparecen personas en nuestra red.

Voil. Ya lo tenemos listo. A partir de ahora todos los ordenadores en la red (en este caso el
creador,  ! 
', y el equipo llamado 
) se encuentran en una red privada virtual,
pueden compartir archivos como si estuvieran uno al lado del otro y, lo ms importante,
       
8(%4  "   "    2

El programa, en especial la versin bsica, no ofrece mucho ms, aunque tampoco hace
falta. Incorpora un chat, muy bsico pero funcional, con el que puedes comunicarte con el
resto de la gente, y poco ms, pero puede presumir de ser la forma ms sencilla de disfrutar
de algunos de los beneficios de las VPN, sin sus inconvenientes.

http://es.onsoftware.com/p/crea-una-red-local-a-traves-de-internet-con-hamachi









%1c( @%?A ()%($O%%%)
 O

O
1
%(8
Explicaremos el procedimiento para configurar una VPN en Windows (R) XP, tanto en
modo cliente como en modo servidor.
VPN (Virtual Private Network) significa literalmente Red Privada Virtual. Bsicamente
consiste en realizar una conexin a una red externa creando un tnel a travs de internet,
permitiendo la creacin de una red privada dentro de una red pblica.
A continuacin, reproducimos parte de la explicacin contenida en la ayuda de windows xp
sobre VPN, por ser bastante ilustrativa:
La VPN utiliza el Protocolo de tnel punto a punto (PPTP, O
 O



O   ) o el Protocolo de tnel de nivel dos (L2TP,  

O   ),
mediante los cuales se puede tener acceso de forma segura a los recursos de una red al
conectar con un servidor de acceso remoto a travs de Internet u otra red. El uso de redes
privadas y pblicas para crear una conexin de red se denomina red privada virtual, 
 
O
 ).

Un usuario que ya est conectado a Internet utiliza una conexin VPN para marcar el
nmero del servidor de acceso remoto. Entre los ejemplos de este tipo de usuarios se
incluyen las personas cuyos equipos estn conectados a una red de rea local, los usuarios
de cables de conexin directa o los suscriptores de servicios como ADSL, en los que la
conectividad IP se establece inmediatamente despus de que el usuario inicie el equipo. El
controlador PPTP o L2TP establece un tnel a travs de Internet y conecta con el servidor
de acceso remoto habilitado para PPTP o L2TP. Despus de la autenticacin, el usuario
puede tener acceso a la red corporativa con total funcionalidad.
El procedimiento para la configuracin constara de 3 pasos.
j
j
j

Configuracin del servidor VPN

Configuracin del cliente VPN
cestin de puertos o configuracin del software de seguridad.


%1c( @%)8$)
2
El procedimiento sera el siguiente:
Iremos a 

-> #


  (en ocasiones Mis sitios de red no aparece
directamente en el men, y hay que acceder a travs de Mi PC)

Dentro de Mis sitios de red, seleccionamos $  

 , y a continuacin,
   
 .

Se abrir el asistente para conexin nueva e iremos siguiendo las indicaciones, pulsamos en


:

Seleccionamos la opcin !
    
5y pulsamos en 

,
para despus elegir la opcin (  
 .

En esta pantalla que aparece a continuacin, )

 

  
 , no
debemos marcar ninguno y pulsar directamente en el botn 

. Al hacerlo de este
modo, aparecer la pantalla para empezar a definir 
 

 
/$O%0 . La verdad es que no es fcil llegar hasta aqu. Volvemos a pulsar


.

Debemos ahora definir un usuario que tenga permisos de acceso a travs de la VPN.
Podemos elegir uno de los que ya tenemos configurado en el PC o bien crear otro
exclusivo. Al crear uno nuevo (pulsar el botn (  222), nos pedir que introduzcamos
un nombre de usuario y le proporcionemos una contrasea. Esta contrasea ser la que
posteriormente nos solicite al realizar la conexin remota.

Una vez creado el usuario nuevo, lo seleccionamos para permitirle la conexin, pulsamos
en 

 y pasamos a otra pantalla en la que nos muestra los protocolos que usar la
conexin para permitir el acceso al cliente remoto. Lo dejamos como est y pulsamos en


 para finalizar esta parte del proceso.

Con esto habremos creado la conexin nueva y habremos creado tambin un usuario con
acceso a la VPN. Pulsamos en 1

5 .

Ahora volvemos a Conexiones de red para verificar que se ha creado la conexin.

Aparecer una nueva llamada 
 .


%1c( @%)8 8%.

Una vez que tengamos configurado el servidor de VPN en, por ejemplo, la oficina,
debemos configurar el cliente en el lugar desde donde queramos acceder. Para ello debemos
crear en el PC del sitio remoto una nueva conexin de red.
Vamos a #


  -> $  
  y elegimos la opcin   
 
 .

Volver a abrirse el Asistente para nuevas conexiones. Pulsamos en 


. Ahora
elegimos   
    .

Dentro de las 2 opciones que aparecen, elegimos 

 

  y en la
pantalla siguiente especificamos un nombre para que la identifique dentro de las conexiones
de red que tengamos definidas. Pulsamos en 

.

En el siguiente paso nos pedir que introduzcamos el nombre de host o la direccin IP del
servidor remoto. Que ser la direccin del servidor que configuramos en la primera parte
del documento. Pulsamos en 

 y en 1

5 .

La nueva conexin aparecer ahora en 

, dentro del un nuevo grupo que
se llama 

 . Para establecer la conexin, pulsamos 2 veces sobre ella con
el botn izquierdo del ratn.

Se abrir el dilogo de conexin, introduciremos nombre de usuario y contrasea.

Antes de realizar la primera conexin hay que hacer un pequeo ajuste en la configuracin
para que se pueda seguir navegando con normalidad mientras estemos conectados a la
VPN. Para ello pulsamos en O 
. En la pestaa 1 
 , seleccionamos
el O     /. OO0 y pulsamos de nuevo en O 
.

Ahora vamos al apartado


5 y llegaremos a otra pantalla. Ah debemos
quitar la marca de la casilla      
   .

c.@%)O.


%1c( @%)8
1.()

c)()2
Para establecer la comunicacin VPN necesitamos que el ordenador servidor sea accesible
por los puertos '=. O y el protocolo c (o en su defecto el puerto ;=)O).
Por tanto debemos configurar tanto el router como los servidores de seguridad o firewall
que podamos tener instalados en el servidor para permitirlo. Cada router o firewall tendr
sus procedimientos propios, que no sern objeto del presente manual.
Una vez realizados estos pasos debera ser posible la conexin al equipo remoto. Al menos
este eq
uipo debera ser accesible. Para tener acceso a la red completa deberamos realizar una
configuracin ms completa del servidor, que trataremos en otro manual independiente.
Manual realizado por (  para www.adslayuda.com. 19/4/2005
Depsito Legal cI.1412-2005
_
 
  
_  





_
    _  _ _
_  

_
         
!
_ _ "_ 
_
  
    "#$#%& _'(
) _  
_
  
 " #* #+  
 & _(_  
_
  
 $,,*"-"   _ _-" ./0  

  _  
_
  
 $,,*"-"   _ _-" ./0  

  _  



_
   
 _ _" 
1


%203+456/6&/7/%&+'089
_

 1
_
:
; <+ ;"< ;<  ;
<;


   
_
      _