En este tutorial, explicaré cómo configurar un servidor VPN en Windows Server con el rol de acceso remoto y configurar el acceso con NPS.
Al configurar un servidor VPN con Windows, se instalan 3 tipos de servicio VPN:
- PPTP
- L2TP
- SSTP
En este tutorial, veremos cómo usar PPTP y SSTP. Al configurar el cliente VPN en Windows, se configura automáticamente y probará las conexiones en los diferentes puertos para encontrar el tipo de servicio VPN.
Para limitar el derecho de conexión VPN, la política se configurará para permitir a los usuarios que pertenecen al grupo de Active Directory GRP_SRV_VPN_ALLOW.
Las direcciones IP serán distribuidas por un servidor DHCP.
Al configurar el cliente VPN en Windows, el tipo de VPN se configura automáticamente, durante la conexión probará los diferentes tipos para establecer la conexión. Hay varios métodos para forzar un tipo:
- Configuración en el cliente VPN.
- Configuración de puertos a nivel de firewall.
- Configuración de NPS en la política.
Instalación de la función de acceso remoto
Desde el administrador del servidor, haga clic en Agregar roles y características 1.
Cuando se inicie el asistente, haga clic en Siguiente 1.
Elija instalación basada en funciones o funciones 1 y haga clic en Siguiente 2.
Seleccione el servidor 1 y haga clic en Siguiente 2.
Compruebe el caché de la función de acceso remoto 1 y haga clic en Siguiente 2.
Omita la lista de funciones haciendo clic en Siguiente 1.
Un resumen del rol de Acceso Remoto explicando los diferentes servicios disponibles como Acceso Directo, servidor VPN, WAF, Enrutamiento …. Haga clic en Siguiente 1 para ir a la selección de servicios.
Marque DirectAccess y VPN (acceso remoto) 1 que es el servicio que permite la instalación de un servidor VPN.
Haga clic en el botón Agregar funciones 1 para instalar las consolas de administración y los roles dependientes.
El servicio DirectAcces y VPN está seleccionado, haga clic en Siguiente 1.
El rol de IIS debe estar instalado, se muestra un resumen del mismo, haga clic en Siguiente 1.
Deje los servicios IIS por defecto, haga clic en Siguiente 1.
Se muestra un resumen de la instalación, confirme haciendo clic en Instalar 1.
Espere mientras se instalan los roles necesarios para configurar el servidor VPN …
Una vez finalizada la instalación, haga clic en Cerrar 1 para salir del asistente.
Ahora que las funciones necesarias para instalar un servidor VPN están instaladas, pasaremos a la configuración.
Configuración del servidor VPN
Configurar el servicio VPN
Desde el administrador del servidor, haga clic en el icono de notificación 1 y luego en Abrir el Asistente de inicio 2.
Haga clic en Implementar VPN solamente 1, esta acción abrirá la consola de Enrutamiento y acceso remoto.
Una vez que la consola esté abierta, haga clic derecho en el servidor 1 y haga clic en Configurar y activar el enrutamiento y el acceso remoto 2.
Se inicia un nuevo asistente, haga clic en Siguiente 1.
Seleccione Configuración personalizada 1 y luego haga clic en Siguiente 2.
Seleccione el servicio de acceso VPN 1 para configurar el servidor VPN y haga clic en Siguiente 2.
Haga clic en Finalizar 1.
Haga clic en Iniciar servicio 1.
El servidor VPN ahora está operativo, por defecto la autorización de acceso al servicio VPN la realizan las propiedades del usuario en el Active Directory en el nivel de la pestaña Acceso remoto. En un entorno grande, esta forma de operar rápidamente se vuelve engorrosa para el administrador, ahora usaremos las funciones de NPS (Servidor de políticas de red) para otorgar derechos de conexión a un grupo de Active Directory.
Configurar los permisos de acceso al servicio VPN
Inicie la consola del servidor NPS en el servidor.
Expanda el nodo Estrategias 1, luego haga clic con el botón derecho en Estrategias de red 2 y haga clic en Nuevo 3.
Nombre la estrategia 1 y elija el tipo Servidor de acceso remoto (VPN-Dial-up) 2 luego haga clic en Siguiente 3.
Aquí es donde configuraremos las condiciones de acceso al servicio, es posible agregar varias condiciones incluyendo horas de acceso. Haga clic en el botón Agregar 1.
Elija Grupos de usuarios 1 y luego haga clic en Agregar 2.
Se abre una nueva ventana, haga clic en Agregar 1 para elegir el grupo, una vez que 2 seleccione haga clic en Aceptar 3.
Una vez agregadas las condiciones, haga clic en Siguiente 1.
Configure la autorización para saber si la política es un acceso concedido 1 o una política denegada y haga clic en Siguiente 2 para validar.
Esta parte de la configuración es importante para lo siguiente, en particular en la configuración del cliente VPN y el nivel de seguridad. No es obligatorio agregar un tipo de protocolo EAP, pero se recomienda encarecidamente, haga clic en el botón Agregar 1.
Seleccione Microsoft: Contraseña segura (EAP-MSCHAP versión 2) 1 y haga clic en Aceptar 2.
Una vez seleccionados los tipos y métodos de autenticación, haga clic en Siguiente 1.
Si se muestra un mensaje sobre los métodos de autenticación, haga clic en No para no abrir la ayuda.
En la política no se configurará ningún opuesto, pero es posible agregar algunos como horas de acceso o forzar un tipo de VPN (NAS). Haga clic en Siguiente 1.
Se muestra un resumen de la estrategia, haga clic en Finalizar 1 para confirmar la creación.
Se agregó la política 1. Se tratan como en un cortafuegos, se leen de arriba a abajo. Si tiene más de una política, una de las cuales no se aplica, verifique que el tráfico no pase por una política anterior.
Antes de poder utilizar el servidor VPN, debe registrar el servidor NPS en Active Directory para que las autorizaciones de acceso sean procesadas por él, haga clic con el botón derecho en NPS (Local) 1 y haga clic en Registrarse un servidor en Active Directory 2.
Haga clic en Aceptar en los dos mensajes de confirmación que aparecen.
Antes de pasar por la configuración del cliente, busque la consola de Administración de acceso remoto en las herramientas y haga clic en ella para abrirla. Esta consola le permite ver el estado de los servicios del servidor VPN y ver las conexiones en curso …
Configurar la conexión VPN en Windows 10
El servidor VPN está configurado y accesible desde Internet, para configurar la VPN en Windows 10, abra la configuración y vaya a Red e Internet. Haga clic en Configurar una nueva conexión 1.
Elija la opción de conexión: Conéctese a su espacio de trabajo 1 y haga clic en Siguiente 2.
Haga clic en Usar mi conexión a Internet (VPN) 1.
Ingrese la dirección IP o el nombre DNS 1 para la conexión VPN, nombre la conexión 2 y haga clic en Crear 3.
La conexión se agrega 1 en la parte VPN 2.
Haga clic en la conexión 1 y haga clic en Conectar 2.
Ingrese las credenciales de una cuenta que sea miembro del grupo configurado en la política.
Se establece la conexión.
La conexión a la VPN también está disponible a nivel de tarjeta de red en Windows.
El acceso rápido también está disponible a través del área de notificación haciendo clic en el icono de red.
En la consola de administración de acceso remoto, es posible monitorear los clientes conectados.
Si no ha configurado un protocolo EAP, debe modificar las propiedades de la conexión VPN pasando por el panel de control / Centro de redes y recursos compartidos / Modificar los parámetros de la tarjeta, haga clic con el botón derecho en la tarjeta de red VPN y vaya a Propiedades. Vaya a la pestaña Seguridad 1, elija Autorizar estos protocolos 2 y verifique los protocolos de autenticación 3 a usar y luego valide haciendo clic en Aceptar 4.
En la captura, vemos que el tipo de VPN es automático, durante la conexión probará todos los tipos conocidos.
VPN a PPTP
En esta parte, veremos cómo forzar el PPTP VPN en la configuración del cliente y en la consola NPS para forzar este tipo de túnel.
Cliente VPN
En las propiedades de conexión de la pestaña Seguridad 1, elija el tipo de red VPN PPTP (Protocolo de túnel punto a punto) 2 y valide haciendo clic en Aceptar 3.
NPS
En la consola NPS, vaya al nodo Política de red 1, haga clic con el botón derecho en la política de acceso VPN 2 y haga clic en Propiedades 3.
Vaya a la pestaña Condiciones 1 y haga clic en Agregar 2.
Elija la condición de tipo de túnel 1 y haga clic en Agregar 2.
Marque la casilla Protocolo de túnel punto a punto (PPTP) 1 y haga clic en Aceptar 2.
Se ha agregado la condición del tipo de túnel PPTP.
VPN en SSTP
El túnel SSTP se basa en el puerto 443 (HTTPS) que permite su uso en la mayoría de las conexiones WIFI.
La configuración de la VPN SSTP requiere la configuración del certificado utilizado para la conexión. Debe instalarse en la tienda personal de la computadora.
Para que funcione, los clientes deben conocer la autoridad del certificado.
Es posible utilizar un certificado autofirmado en el servidor, en cuyo caso el certificado debe instalarse en los clientes en la tienda Trusted Root Certification Authority. Si está utilizando una CA corporativa o independiente, solo necesita implementar el certificado de la autoridad.
Configuración del servicio VPN: enrutamiento y acceso remoto
En el servidor VPN desde la consola de Enrutamiento y acceso remoto, abra las propiedades del servidor, en la pestaña Seguridad 1 en la sección de enlace del certificado SSL, elija el certificado 2 y luego valide haciendo clic en Aplicar 3 y OK 4.
Los cambios requieren un reinicio del servicio, confirme haciendo clic en Sí 1.
Configuración del cliente
El nombre del host de conexión en la pestaña general debe ser un nombre DNS 1 presente en el certificado.
En cuanto al túnel VPN PPTP, es posible forzar el tipo en la pestaña Seguridad 1 seleccionando SSTP 2.
NPS
En cuanto al túnel PPTP, es posible forzar el túnel SSTP en la política de red.
Error: la función de revocación no pudo verificar la revocación porque el servidor de revocación estaba desconectado
Si utiliza un certificado autofirmado o emitido por una CA privada que no publica la lista de revocación en Internet, debe agregar una clave de registro al cliente para omitir esta verificación.
Abra el editor de registro y vaya a la ubicación: HLM \ SYSTEM \ CurrentControlSet \ Services \ SstpSvc \ Parameters y agregue la clave (DWORD) NoCertRevocationCheck asignándole el valor 1.