VPN

Red privada virtual

Una red privada virtual, RPV, o VPN de las siglas en inglés de Virtual Private Network, es una tecnología de red que permite una extensión segura de la red local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada.1 Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.

Crear una VPN

 La VPN es privada porque “simula”una conexión punto a punto cambiando el destinto de los paquetes y además el contenido está cifrado, por lo que si un hacker pudiera capturar nuestros paquetes, no le servirían para nada, ya que al estar cifrados no entendería nada.

En este post vamos a explicar cómo crear una VPN con Windows Server 2012.

Para crear una VPN, debemos instalar el rol del Acceso Remoto (Remote Access).

Una vez instalado el Rol, debemos abrir el software del RRAS (Routing and Remote Access) para configurar la VPN.

Una vez abierto vemos que no está configurado. Con el botón derecho del ratón seleccionamos la opción para “Configure and Enable Routing and Remote Access” el cuál nos lanzará un asistente de configuración.

Configurar el acceso remoto

En el asistente vemos que aparecen muchas opciones de configuración. Podemos “simular” un router con el acceso remoto, habilitar NAT, o habilitar el acceso remoto que es la primera opción.

Asistente de configuración del acceso remoto

El asistente nos irá haciendo preguntas para ir configurando la VPN. La primera de ellas nos indicará el método de conexión a nuestra VPN, si es por internet o por módem.

Selección de conexión a la VPN

Si seleccionamos internet (VPN), debemos decirle cuál será la IP externa de la VPN. Osea debe ser una IP pública que tengamos asignada en el servidor y será a la que se conectarán los clientes. Nuestro servidor debe tener al menos 2 IPs: una externa y pública a la que se conectarán los clientes y una interna o privada que servirá para conexión a la red interna de la empresa. (En este ejemplo la red pública será la 10.10.0.1 y la red interna la 172.16.0.1)

Seleccionamos la IP pública de la VPN

Seleccionamos la IP pública de la VPN

Lo siguiente a configurar es cómo van a obtener el direccionamiento interno los clientes. Podemos decirle que usen una IP interna del DHCP o asignar un rango de ips internas.

Configuración del direccionamiento interno de los clientes

En este caso vamos a seleccionar un rango de ips que se lo introducimos en el asistente. Osea el cliente cuando conecte lo hará por la ip pública, pero una vez conectado recibirá una ip privada del rango seleccionado, lo que le permitirá acceder a los recursos de la red interna de la empresa.

Selección del rango interno de IPs privadas

En la siguiente pregunta del asistente, nos indica si queremos configurar RADIUS.  RADIUS permite redirigir la autentificación a otro servidor y tarificarlo. En este caso seleccionamos que no.

Configuración de RADIUS en la VPN

Después de este paso, el asistente finaliza, habilita la VPN y ya tendremos el servidor configurado como VPN. Pero fallará….

La VPN fallará porque cuando se instaló creo una regla en el servidor de NAP indicando que el acceso remoto no es posible por defecto. Simplemente debemos instalar y entrar en NAP y habilitar el acceso remoto.

Para instalar NAP, seleccionamos la opción “Network Policy and Access Services” en los roles de Windows Server 2012

Instalación del rol de NAP

Una vez instalado abrimos la consola de NAP y si accedemos al nodo Policies, Network Policies, veremos que la conexión por acceso remoto está prohibida por una regla.

Acceso remoto deshabilitado por defecto en NAP

Para habilitar el acceso, simplemente accedemos a dicha regla y permitimos el acceso remoto. Veremos que la regla cambia al color verde.

Permitimos el acceso remoto en la regla creada en NAP

Ya sólo nos queda configurar el cliente. El cliente puede ser cualquier Windows aunque el ejemplo lo haremos con Windows 8.  Abrimos el centro de redes y recursos compartidos y creamos una una conexión de red.

Creación de una nueva conexión en Windows 8

Seleccionamos la opción de creación de una conexión a un servidor de VPN.

 Indicamos que la nueva conexión será una VPN

Indicamos al asistente que la conexión se hará utilizando la conexión de red conectada a internet (antiguamente se podía utilizar el módem).

Seleccionamos la conexión a internet

Seguidamente configuramos la IP del servidor VPN y le damos un nombre a la nueva conexión.

y creamos y guardamos la conexión. Veremos que aparece un nuevo icono para representar la nueva conexión VPN.

Podemos cambiar las propiedades con el botón derecho del ratón y seleccionamos Propiedades. En este post, vemos que el método de autentificación entre el servidor y el cliente de VPN será MS-CHAP v2.

Si hacemos doble clic sobre el icono de la nueva red VPN y Windows 8 nos indicará qué conexión queremos utilizar, seleccionamos la VPN y pulsamos en Connect.

Nos pedirá usuario y contraseña para autenticarnos.

Si los datos correctos, al momento veremos en las conexiones de Windows 8, que la conexión es correcta y estamos conectados.

Para comprobar desde el servidor que la conexión es correcta, podemos abrir Routing and Remote Access y ahí veremos la conexión entrante de nuestro nuevo cliente.

Si hacemos doble clic a la nueva conexión, podemos ver el tiempo de la conexión, bytes enviados/recibidos y la IP interna asignada del rango configurado en el servidor de acceso remoto.