Configuración de accesos remotos VPN con Windows 2003 e ISA Server 2004
En este artículo se dan las instrucciones para configurar accesos tunelizados (VPN) a un servidor Windows 2003 desde clientes Windows XP. Se presenta la configuración de dos protocolos: PPTP (Point-to-Point Protocol) como seguridad basica y L2TP/IPSec (Layer Two Tunneling Protocol with Internet Protocol Security) con seguridad avanzada. Finalmente veremos como Microsoft ISA Server da soporte a estos túneles.
Previa configuración de las VPNs con Windows 2003 es necesario (para nuestro ejemplo) que estén funcionando en la red los siguientes servicios:
a) El servicio de directorio de Microsoft, Active Directory. b) El servicio de nombres de dominios, directamente relacionado con el servicio de directorio, DNS. c) Servicio de configuración dinamica de direcciones de red, DCHP. d) Entidad emisora de certificados (Sólo para L2TP/IPSec).
En la red en la que vamos a configurar el servicio ya están configurados y funcionando un dominio de Directorio Activo y un sistema de asignación automática de direcciones de red (DCHP). Nosotros tendremos que configurar:
1. Grupo de usuarios autorizados. 2. Instalamos y configuramos el servicio de autenticación de internet. 3. Configuramos el servicio de enrutamiento y acceso remoto. 4. Y finalmente configuramos el cliente Windows XP.
1. Creamos un grupo de seguridad en el dominio. Este grupo será al que posteriormente demos permiso para utilizar la VPN. A este grupo añadimos los usuarios a los que queramos permitir conectarse.
2. Instalamos el servicio de autenticación de internet (desde del panel de control, agregar y quitar programas) en un equipo con windows 2003 integrado en el dominio. Una vez instalado lo configuramos:
2.1. Primero pinchamos con el boton derecho en la raiz de la consola de administracion del servicio de autenticación de internet (en herramientas administrativas) y registramos el servidor en Active Directory. 2.2. En la carpeta de Clientes RADIUS pinchando con el boton derecho creamos un nuevo cliente Radius. Seguimos el asistente para configurarlo. En nuestro caso el cliente será el equipo que preste el servicio de enrutamiento y acceso remoto. En el asistente le damos un nombre al cliente e indicamos el nombre del equipo o su dirección IP. En la siguiente pantalla seleccionamos el proveedor del cliente "RADIUS Standard" y escribimos la clave compartida entre el cliente y el proveedor de radius. 2.3. Ahora configuramos en la carpeta de Directivas de acceso remoto una nueva política para permitir el acceso remoto. En la primera pantalla del wizard vamos a seleccionar configurar una directiva típica para un escenario común y le damos un nombre. Seleccionamos el metodo de acceso VPN para la directiva. Ahora seleccionamos el grupo que creamos anteriormente en el dominio para permitirle acceso. En el paso siguiente seleccionamos el metode de autenticación MS-CHAP2 Y ya para terminar seleccionamos el nivel de cifrado, que por seguridad vamos a permitir únicamente el de mas alta seguridad.
3. Configuramos el servicio de enrutamiento y acceso remoto.
3.1. En la consola de enrutamiento y acceso remoto, pinchamos con el boton derecho en habilitar y configurar el enrutamiento y acceso remoto. A continuación se inizará un wizard. 3.2. Seleccionamos la opción de acceso reomoto o acceso telefonico. 3.3. Seleccionamos la opción de acceso reomoto (VPN). 3.4. Ahora debemos elegir la red sobre la que se va a dar el servicio de VPN, seleccionando la tarjeta de red. 3.5. En la pantalla siguiente nos pide el modo de asignación de direcciones IP a los clientes VPN. Nosotros como comentamos anteriormente utilizaremos el modo automatico pues el servicio DCHP ya está funcionando en nuestra red. Sin envargo podríamos haber utilizado la asignación de direcciones por el servicio de enrutamiento. El servidor de DCHP al que solicitaremos las direcciones se conigura posteriormente. 3.6. En la pantalla siguiente debemos indicar que vamos a utilizar un servidor RADIUS para autenticar las conexiones, y a continuación indicamos cual es el servidor y el secreto compartido. Este es el servicio que configuramos anteriormente. Ponemos la IP o lel nombre del servidor y la contraseña. 3.7. Terminamos ya el wizard y nos advertirá de debemos configurar el proveedor de DCHP. Para hacer esto dentro de la consola de enrutamiento pinchamos dentro de enrutamiento ip, agente de retransmision DCHP con el boton derecho en propiedades y seleccionamos la ip del servidor que esté dando el servicio de DCHP.
4. Solo queda configurar el cliente VPN en un equipo Windows XP:
4.1. Dentro del panel de control, entramos en conexiones de red y creamos una conexión nueva. Debemos seleccionar que la conexión nos conectará a la red de mi lugar de trabajo 4.2. En la siguiente opción seleccionaremos Conexión de red privada virtual. 4.3. Y le damos un nombre a la conexión que nos recuerde a donde nos conectamos. 4.4. Seleccionamos que no vamos a utilizar una conexion inicial. Los equipos portátiles pueden utilizar conexiones VPN a la empresa desde una conexión de banda estrecha (por medio de un modem), si fuera el caso aqui podríamos seleccionar la conexión de nuestro ISP para que al intentar conectar a la VPN lance el marcado. 4.5. Ahora debemos indicar la dirección IP o el nombre del equipo que nos da el servicio de VNP. 4.6. Queda seleccionar si el acceso estará disponible para solo el usuario que lo crea o para todos los logados. Finalizamos el asistente pudiendo dejar un acceso directo en el escritorio. 4.7. Ahora repasaremos la conexión que acabamos de crear. Abrimos la conexion VPN, cubrimos el dominio\usuario y el password. 4.8. Antes de darle a conectar pincharemos en el boton propiedades. En la pestaña de funciones de red en el tipo de red privada virtual seleccionaremos el protocolo PPTP(Protocolo de tunel punto a punto).
...próximamente
Autor: Tomás Rey Fuente: Microsoft Technet