Servidor VPN con Windows Server: instalación y configuración


Windows Server 2016 Windows Server 2019

En este tutorial, explicaré cómo configurar un servidor VPN en Windows Server con el rol de acceso remoto y configurar el acceso con NPS.

Al configurar un servidor VPN con Windows, se instalan 3 tipos de servicio VPN:

  • PPTP
  • L2TP
  • SSTP

En este tutorial, veremos cómo usar PPTP y SSTP. Al configurar el cliente VPN en Windows, se configura automáticamente y probará las conexiones en los diferentes puertos para encontrar el tipo de servicio VPN.

Para limitar el derecho de conexión VPN, la política se configurará para permitir a los usuarios que pertenecen al grupo de Active Directory GRP_SRV_VPN_ALLOW.

Las direcciones IP serán distribuidas por un servidor DHCP.

Al configurar el cliente VPN en Windows, el tipo de VPN se configura automáticamente, durante la conexión probará los diferentes tipos para establecer la conexión. Hay varios métodos para forzar un tipo:

  • Configuración en el cliente VPN.
  • Configuración de puertos a nivel de firewall.
  • Configuración de NPS en la política.

Instalación de la función de acceso remoto

Desde el administrador del servidor, haga clic en Agregar roles y características 1.

Add features

Cuando se inicie el asistente, haga clic en Siguiente 1.

Wizard add features

Elija instalación basada en funciones o funciones 1 y haga clic en Siguiente 2.

Install type

Seleccione el servidor 1 y haga clic en Siguiente 2.

Select server

Compruebe el caché de la función de acceso remoto 1 y haga clic en Siguiente 2.

Select Remote Access

Omita la lista de funciones haciendo clic en Siguiente 1.

pass the features

Un resumen del rol de Acceso Remoto explicando los diferentes servicios disponibles como Acceso Directo, servidor VPN, WAF, Enrutamiento …. Haga clic en Siguiente 1 para ir a la selección de servicios.

Aperçu des rôles dont Serveur VPN / Overview of roles including VPN Server

Marque DirectAccess y VPN (acceso remoto) 1 que es el servicio que permite la instalación de un servidor VPN.

Choisir DirectAccess et VPN pour le serveur VPN / Choose DirectAccess and VPN for the VPN server

Haga clic en el botón Agregar funciones 1 para instalar las consolas de administración y los roles dependientes.

Dépendances pour le serveur VPN / Dependencies for the VPN server

El servicio DirectAcces y VPN está seleccionado, haga clic en Siguiente 1.

Services sélectionnés pour le serveur vpn / Services selected for the vpn server

El rol de IIS debe estar instalado, se muestra un resumen del mismo, haga clic en Siguiente 1.

Overview Web Server IIS

Deje los servicios IIS por defecto, haga clic en Siguiente 1.

IIS features

Se muestra un resumen de la instalación, confirme haciendo clic en Instalar 1.

Démarrer l'installation du serveur VPN / Start the VPN server installation

Espere mientras se instalan los roles necesarios para configurar el servidor VPN …

Una vez finalizada la instalación, haga clic en Cerrar 1 para salir del asistente.

Installation completed

Ahora que las funciones necesarias para instalar un servidor VPN están instaladas, pasaremos a la configuración.

Configuración del servidor VPN

Configurar el servicio VPN

Desde el administrador del servidor, haga clic en el icono de notificación 1 y luego en Abrir el Asistente de inicio 2.

Open the VPN Server Configuration Wizard

Haga clic en Implementar VPN solamente 1, esta acción abrirá la consola de Enrutamiento y acceso remoto.

Configuration Wizard

Una vez que la consola esté abierta, haga clic derecho en el servidor 1 y haga clic en Configurar y activar el enrutamiento y el acceso remoto 2.

Start configuration

Se inicia un nuevo asistente, haga clic en Siguiente 1.

Wizard configuration

Seleccione Configuración personalizada 1 y luego haga clic en Siguiente 2.

Custom configuration

Seleccione el servicio de acceso VPN 1 para configurar el servidor VPN y haga clic en Siguiente 2.

Accès VPN pour configurer un serveur VPN / VPN access to configure a VPN server

Haga clic en Finalizar 1.

Configuration completed

Haga clic en Iniciar servicio 1.

Start the service to make the VPN server accessible

El servidor VPN ahora está operativo, por defecto la autorización de acceso al servicio VPN la realizan las propiedades del usuario en el Active Directory en el nivel de la pestaña Acceso remoto. En un entorno grande, esta forma de operar rápidamente se vuelve engorrosa para el administrador, ahora usaremos las funciones de NPS (Servidor de políticas de red) para otorgar derechos de conexión a un grupo de Active Directory.

Configurar los permisos de acceso al servicio VPN

Inicie la consola del servidor NPS en el servidor.

Server NPS

Expanda el nodo Estrategias 1, luego haga clic con el botón derecho en Estrategias de red 2 y haga clic en Nuevo 3.

Creating a VPN server access policy

Nombre la estrategia 1 y elija el tipo Servidor de acceso remoto (VPN-Dial-up) 2 luego haga clic en Siguiente 3.

Name and type policy

Aquí es donde configuraremos las condiciones de acceso al servicio, es posible agregar varias condiciones incluyendo horas de acceso. Haga clic en el botón Agregar 1.

Adding access conditions to the VPN server

Elija Grupos de usuarios 1 y luego haga clic en Agregar 2.

Select Users Groups

Se abre una nueva ventana, haga clic en Agregar 1 para elegir el grupo, una vez que 2 seleccione haga clic en Aceptar 3.

Selecting the group allowed to connect to the VPN server

Una vez agregadas las condiciones, haga clic en Siguiente 1.

VPN server access conditions added

Configure la autorización para saber si la política es un acceso concedido 1 o una política denegada y haga clic en Siguiente 2 para validar.

Type of access authorization to the VPN server

Esta parte de la configuración es importante para lo siguiente, en particular en la configuración del cliente VPN y el nivel de seguridad. No es obligatorio agregar un tipo de protocolo EAP, pero se recomienda encarecidamente, haga clic en el botón Agregar 1.

Configuring authentication on the VPN server

Seleccione Microsoft: Contraseña segura (EAP-MSCHAP versión 2) 1 y haga clic en Aceptar 2.

Select EAP

Una vez seleccionados los tipos y métodos de autenticación, haga clic en Siguiente 1.

Configuring authentication on the VPN server

Si se muestra un mensaje sobre los métodos de autenticación, haga clic en No para no abrir la ayuda.

En la política no se configurará ningún opuesto, pero es posible agregar algunos como horas de acceso o forzar un tipo de VPN (NAS). Haga clic en Siguiente 1.

Configuring access constraints to the VPN server

Se muestra un resumen de la estrategia, haga clic en Finalizar 1 para confirmar la creación.

 Policy configured for VPN server access

Se agregó la política 1. Se tratan como en un cortafuegos, se leen de arriba a abajo. Si tiene más de una política, una de las cuales no se aplica, verifique que el tráfico no pase por una política anterior.

VPN server access policies

Antes de poder utilizar el servidor VPN, debe registrar el servidor NPS en Active Directory para que las autorizaciones de acceso sean procesadas por él, haga clic con el botón derecho en NPS (Local) 1 y haga clic en Registrarse un servidor en Active Directory 2.

Register the NPS server in the AD for VPN server access management

Haga clic en Aceptar en los dos mensajes de confirmación que aparecen.

Antes de pasar por la configuración del cliente, busque la consola de Administración de acceso remoto en las herramientas y haga clic en ella para abrirla. Esta consola le permite ver el estado de los servicios del servidor VPN y ver las conexiones en curso …

VPN server services

Configurar la conexión VPN en Windows 10

El servidor VPN está configurado y accesible desde Internet, para configurar la VPN en Windows 10, abra la configuración y vaya a Red e Internet. Haga clic en Configurar una nueva conexión 1.

Add VPN connection in Windows 10

Elija la opción de conexión: Conéctese a su espacio de trabajo 1 y haga clic en Siguiente 2.

Connection type

Haga clic en Usar mi conexión a Internet (VPN) 1.

Select VPN

Ingrese la dirección IP o el nombre DNS 1 para la conexión VPN, nombre la conexión 2 y haga clic en Crear 3.

VPN server address

La conexión se agrega 1 en la parte VPN 2.

VPN connection added

Haga clic en la conexión 1 y haga clic en Conectar 2.

Connect to

Ingrese las credenciales de una cuenta que sea miembro del grupo configurado en la política.

Credential

Se establece la conexión.

Connected to the VPN server

La conexión a la VPN también está disponible a nivel de tarjeta de red en Windows.

Network Connections

El acceso rápido también está disponible a través del área de notificación haciendo clic en el icono de red.

Network Connections

En la consola de administración de acceso remoto, es posible monitorear los clientes conectados.

Si no ha configurado un protocolo EAP, debe modificar las propiedades de la conexión VPN pasando por el panel de control / Centro de redes y recursos compartidos / Modificar los parámetros de la tarjeta, haga clic con el botón derecho en la tarjeta de red VPN y vaya a Propiedades. Vaya a la pestaña Seguridad 1, elija Autorizar estos protocolos 2 y verifique los protocolos de autenticación 3 a usar y luego valide haciendo clic en Aceptar 4.

VPN connection security

En la captura, vemos que el tipo de VPN es automático, durante la conexión probará todos los tipos conocidos.

VPN a PPTP

En esta parte, veremos cómo forzar el PPTP VPN en la configuración del cliente y en la consola NPS para forzar este tipo de túnel.

Cliente VPN

En las propiedades de conexión de la pestaña Seguridad 1, elija el tipo de red VPN PPTP (Protocolo de túnel punto a punto) 2 y valide haciendo clic en Aceptar 3.

Client force PPTP

NPS

En la consola NPS, vaya al nodo Política de red 1, haga clic con el botón derecho en la política de acceso VPN 2 y haga clic en Propiedades 3.

Edit policy

Vaya a la pestaña Condiciones 1 y haga clic en Agregar 2.

Add a condition to the VPN server

Elija la condición de tipo de túnel 1 y haga clic en Agregar 2.

Add a condition to the VPN server

Marque la casilla Protocolo de túnel punto a punto (PPTP) 1 y haga clic en Aceptar 2.

Select PPTP

Se ha agregado la condición del tipo de túnel PPTP.

condition added to the VPN server

VPN en SSTP

El túnel SSTP se basa en el puerto 443 (HTTPS) que permite su uso en la mayoría de las conexiones WIFI.

La configuración de la VPN SSTP requiere la configuración del certificado utilizado para la conexión. Debe instalarse en la tienda personal de la computadora.

Para que funcione, los clientes deben conocer la autoridad del certificado.

Es posible utilizar un certificado autofirmado en el servidor, en cuyo caso el certificado debe instalarse en los clientes en la tienda Trusted Root Certification Authority. Si está utilizando una CA corporativa o independiente, solo necesita implementar el certificado de la autoridad.

Configuración del servicio VPN: enrutamiento y acceso remoto

En el servidor VPN desde la consola de Enrutamiento y acceso remoto, abra las propiedades del servidor, en la pestaña Seguridad 1 en la sección de enlace del certificado SSL, elija el certificado 2 y luego valide haciendo clic en Aplicar 3 y OK 4.

Select certificate

Los cambios requieren un reinicio del servicio, confirme haciendo clic en Sí 1.

Restart service

Configuración del cliente

El nombre del host de conexión en la pestaña general debe ser un nombre DNS 1 presente en el certificado.

Connection host name

En cuanto al túnel VPN PPTP, es posible forzar el tipo en la pestaña Seguridad 1 seleccionando SSTP 2.

SSTP type

NPS

En cuanto al túnel PPTP, es posible forzar el túnel SSTP en la política de red.

VPN server type: SSTP

Error: la función de revocación no pudo verificar la revocación porque el servidor de revocación estaba desconectado

Si utiliza un certificado autofirmado o emitido por una CA privada que no publica la lista de revocación en Internet, debe agregar una clave de registro al cliente para omitir esta verificación.

Abra el editor de registro y vaya a la ubicación: HLM \ SYSTEM \ CurrentControlSet \ Services \ SstpSvc \ Parameters y agregue la clave (DWORD) NoCertRevocationCheck asignándole el valor 1.

NoCertRevocationCheck



Deja un comentario