Vous êtes sur la page 1sur 24

CONFIGURACIÓN SERVIDOR

Cómo instalar y configurar un servidor de red privada


virtual en Windows Server 2003
Ver los productos a los que se aplica este artículo

Id. de : 323441
artículo

Última : lunes, 03 de diciembre de 2007


revisión

Versión : 8.3

Este artículo se publicó anteriormente con el número E323441


En esta página
Resumen
Introducción a las VPN
Componentes de una VPN
Cómo instalar y activar un servidor VPN
Cómo configurar el servidor VPN
Cómo configurar el servidor de acceso remoto como enrutador
Cómo modificar el número de conexiones simultáneas
Cómo administrar direcciones y servidores de nombres
Cómo administrar el acceso
Acceso mediante cuentas de usuario
Acceso mediante la pertenencia a grupos
Cómo configurar una conexión VPN desde un equipo cliente
Solucionar problemas
Solucionar problemas de VPN de acceso remoto

Resumen
En este artículo paso a paso se describe cómo instalar una red privada virtual (VPN) y cómo
crear una nueva conexión VPN en servidores que ejecutan Windows Server 2003.

Con una red privada virtual puede conectar componentes de red a través de otra red, por ejemplo
Internet. Puede convertir un equipo basado en Windows Server 2003 en un servidor de acceso
remoto de forma que otros usuarios puedan conectarse a él mediante VPN y, a continuación,
puedan iniciar sesión en la red y tener acceso a los recursos compartidos. Las VPN implementan
"túneles" a través de Internet o de otra red pública de manera que proporcionan la misma
seguridad y funcionalidad que una red privada. Los datos se envían a través de la red pública
utilizando su infraestructura de enrutamiento, pero para el usuario parece como si los datos se
enviaran a través de un vínculo privado dedicado.

Volver al principio

Introducción a las VPN


Una red privada virtual es una forma de conectarse a una red privada (por ejemplo, la red de
su oficina) mediante una red pública (como Internet). Una VPN combina las ventajas de una
conexión de acceso telefónico a un servidor con la facilidad y flexibilidad de una conexión a
Internet. Mediante la conexión a Internet, puede viajar por todo el mundo y aún así, en la mayoría
de los sitios, se podrá conectar con su oficina mediante una llamada local al número de teléfono
de acceso a Internet más próximo. Si dispone de una conexión a Internet de alta velocidad (por
ejemplo, por cable o DSL) en su equipo (y en su oficina), podrá comunicarse con su oficina a la
velocidad máxima de Internet, lo cual resulta mucho más rápido que cualquier conexión de acceso
telefónico que utilice un módem analógico. Esta tecnología permite a una empresa conectar con
sus sucursales o con otras compañías a través de una red pública al tiempo que mantiene unas
comunicaciones seguras. La conexión VPN a través de Internet funciona de manera lógica como un
vínculo dedicado de red de área extensa (WAN).

Las redes privadas virtuales utilizan vínculos autenticados para asegurarse de que sólo los
usuarios autorizados pueden conectarse a la red. Para asegurarse de que los datos están seguros
mientras viajan a través de la red pública, una conexión VPN utiliza el Protocolo de túnel punto a
punto (PPTP) o el Protocolo de túnel de capa 2 (L2TP) para cifrar los datos.

Volver al principio

Componentes de una VPN


Una VPN en servidores que ejecutan Windows Server 2003 consiste en un servidor VPN, un
cliente VPN, una conexión VPN (la parte de la conexión en la que los datos están cifrados) y el
túnel (la parte de la conexión en la que los datos están encapsulados). Los túneles se realizan a
través de uno de los protocolos de túnel que se incluyen con los servidores que ejecutan Windows
Server 2003, los cuales se instalan con el servicio Enrutamiento y acceso remoto. El servicio
Enrutamiento y acceso remoto se instala automáticamente durante la instalación de Windows
Server 2003. Sin embargo, de forma predeterminada, el servicio Enrutamiento y acceso remoto
está desactivado.
Los dos protocolos de túnel que se incluyen con Windows son:
• Protocolo de túnel punto a punto (PPTP): proporciona cifrado de datos mediante el Cifrado
punto a punto de Microsoft.
• Protocolo de túnel de capa 2 (L2TP): proporciona cifrado de datos, autenticación e
integridad mediante IPSec.
La conexión a Internet debe utilizar una línea dedicada como T1, T1 fraccional o Frame Relay. El
adaptador WAN debe estar configurado con la dirección IP y la máscara de subred asignadas al
dominio o proporcionadas por un proveedor de servicios Internet (ISP). El adaptador WAN
también debe estar configurado como puerta de enlace predeterminada del enrutador del ISP.

NOTA: para activar la VPN, debe haber iniciado sesión con una cuenta que tenga derechos
administrativos.

Volver al principio

Cómo instalar y activar un servidor VPN


Para instalar y activar un servidor VPN, siga estos pasos:
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y
acceso remoto.
2. Haga clic en el icono de servidor correspondiente al nombre del servidor local en el panel
izquierdo de la consola. Si el icono tiene un círculo de color rojo en la esquina inferior izquierda,
el servicio Enrutamiento y acceso remoto no está activado. Si el icono tiene una flecha de color
verde que señala hacia arriba en la esquina inferior izquierda, el servicio Enrutamiento y acceso
remoto está activado. Si el servicio Enrutamiento y acceso remoto se activó previamente, quizás
desee volver a configurar el servidor. Para reconfigurar el servidor:
a. Haga clic con el botón secundario del mouse (ratón) en el objeto servidor y, después, haga
clic en Deshabilitar el enrutamiento y el acceso remoto. Haga clic en Sí para continuar
cuando aparezca un mensaje informativo.
b. Haga clic con el botón secundario del mouse en el icono del servidor y, después, haga clic en
Configurar y habilitar Enrutamiento y acceso remoto para iniciar el Asistente para
instalación del servidor de enrutamiento y acceso remoto. Haga clic en Siguiente para
continuar.
c. Haga clic en Acceso remoto (acceso telefónico o red privada virtual) para activar los
equipos remotos de forma que puedan marcar o conectarse a esta red a través de Internet.
Haga clic en Siguiente para continuar.
3. Active VPN o Acceso telefónico, dependiendo de la función que vaya a asignar a este servidor.
4. En la ventana Conexión VPN, haga clic en la interfaz de red conectada a Internet y, después,
haga clic en Siguiente.
5. En la ventana Asignación de direcciones IP, haga clic en Automáticamente si se va a
utilizar un servidor DHCP para asignar direcciones a clientes remotos o haga clic en De un
intervalo de direcciones especificado si los clientes remotos sólo deben recibir direcciones
de un conjunto predefinido. En la mayoría de los casos, la opción DHCP es más fácil de
administrar. Sin embargo, si DHCP no está disponible, debe especificar un intervalo de
direcciones estáticas. Haga clic en Siguiente para continuar.
6. Si hizo clic en De un intervalo de direcciones especificado, se abrirá el cuadro de diálogo
Asignación de intervalo de direcciones. Haga clic en Nuevo. Escriba la primera dirección IP
del intervalo de direcciones que desee utilizar en el cuadro Dirección IP inicial. Escriba la
última dirección IP del intervalo en el cuadro Dirección IP final. Windows calcula
automáticamente el número de direcciones. Haga clic en Aceptar para volver a la ventana
Asignación de intervalo de direcciones. Haga clic en Siguiente para continuar.
7. Acepte la opción predeterminada No, usar Enrutamiento y acceso remoto para autenticar
las solicitudes de conexión y haga clic en Siguiente para continuar. Haga clic en Finalizar
para activar el servicio Enrutamiento y acceso remoto, y para configurar el servidor como
servidor de acceso remoto.
Volver al principio

Cómo configurar el servidor VPN


Para seguir configurando el servidor VPN como sea necesario, siga estos pasos.

Cómo configurar el servidor de acceso remoto como enrutador


Para que el servidor de acceso remoto reenvíe el tráfico correctamente dentro de la red, debe
configurarlo como un enrutador con rutas estáticas o con protocolos de enrutamiento de forma
que se pueda llegar a todas las ubicaciones de la intranet desde él.

Para configurar el servidor como un enrutador:


1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y
acceso remoto.
2. Haga clic con el botón secundario del mouse en el nombre del servidor y, a continuación, haga
clic en Propiedades.
3. Haga clic en la ficha General y, a continuación, active Enrutador bajo Habilitar este equipo
como.
4. Haga clic en Enrutamiento LAN y de marcado a petición y, después, haga clic en Aceptar
para cerrar el cuadro de diálogo Propiedades.

Cómo modificar el número de conexiones simultáneas


El número de conexiones de módem de acceso telefónico depende del número de módems que
se instalan en el servidor. Por ejemplo, si sólo hay un módem instalado en el servidor, sólo se
dispone de una conexión por módem cada vez.

El número de conexiones VPN de acceso telefónico depende del número de usuarios simultáneos
que desee permitir. De manera predeterminada, al ejecutar el procedimiento descrito en este
artículo se permiten 128 conexiones. Para cambiar el número de conexiones simultáneas, siga
estos pasos:
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y
acceso remoto.
2. Haga doble clic en el objeto de servidor, haga clic con el botón secundario del mouse en
Puertos y, después, haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades de Puertos, haga clic en Minipuerto WAN (PPTP) y,
después, haga clic en Configurar.
4. En el cuadro Número máximo de puertos, escriba el número de conexiones VPN que desea
permitir.
5. Haga clic en Aceptar, haga clic de nuevo en Aceptar, y cierre Enrutamiento y acceso remoto.

Cómo administrar direcciones y servidores de nombres


El servidor VPN debe tener disponibles las direcciones IP que asignará a la interfaz del servidor
virtual VPN y a los clientes VPN durante la fase de negociación del proceso de conexión del
Protocolo de control de IP (IPCP). La dirección IP asignada al cliente VPN se asigna a la interfaz
virtual del mismo.

Para los servidores VPN basados en Windows Server 2003, las direcciones IP asignadas a clientes
VPN se obtienen de manera predeterminada mediante DHPC. Asimismo, puede configurar un
conjunto de direcciones IP estáticas. El servidor VPN también debe estar configurado con
servidores de resolución de nombres, generalmente direcciones de servidores DNS y WINS, para
asignar al cliente VPN durante la negociación de IPCP.

Cómo administrar el acceso


Configure las propiedades de acceso telefónico en las cuentas de usuario y en las directivas de
acceso remoto para administrar el acceso a las conexiones de acceso telefónico y a las conexiones
VPN.

NOTA: de manera predeterminada, se deniega a los usuarios el acceso telefónico a redes.


Acceso mediante cuentas de usuario
Para conceder acceso telefónico a una cuenta de usuario si está administrando el acceso
remoto de cada uno de los usuarios, siga estos pasos:
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Usuarios y
equipos de Active Directory.
2. Haga clic con el botón secundario del mouse en la cuenta del usuario y, a continuación, haga clic
en Propiedades.
3. Haga clic en la ficha Marcado.
4. Haga clic en Permitir acceso para conceder al usuario permiso de marcado. Haga clic en
Aceptar.

Acceso mediante la pertenencia a grupos


Si administra el acceso remoto basándose en grupos, siga estos pasos:
1. Cree un grupo que contenga los miembros a los que se les permite crear conexiones VPN.
2. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y
acceso remoto.
3. En el árbol de consola, expanda Enrutamiento y acceso remoto, expanda el nombre del
servidor y haga clic en Directivas de acceso remoto.
4. Haga clic con el botón secundario del mouse en cualquier lugar del panel de la derecha,
seleccione Nuevo y haga clic en Directiva de acceso remoto.
5. Haga clic en Siguiente, escriba el nombre de la directiva y haga clic en Siguiente.
6. Haga clic en VPN para el método de acceso a una red privada virtual o en Marcado para el
acceso telefónico y, después, haga clic en Siguiente.
7. Haga clic en Agregar, escriba el nombre del grupo que ha creado en el paso 1 y haga clic en
Siguiente.
8. Siga las instrucciones que aparecerán en la pantalla para finalizar el asistente.

Si el servidor VPN ya permite los servicios de acceso telefónico a redes remoto, no elimine la
directiva predeterminada. En lugar de ello, muévala de forma que sea la última directiva en
evaluarse.

Volver al principio

Cómo configurar una conexión VPN desde un equipo cliente


Para configurar una conexión con una VPN, siga estos pasos. Para configurar un cliente para
acceso a una red privada virtual, siga estos pasos en la estación de trabajo cliente:

NOTA: para poder seguir estos pasos, debe haber iniciado sesión como miembro del grupo
Administradores.

NOTA: como hay varias versiones de Microsoft Windows, los pasos siguientes pueden ser
diferentes en su equipo. Si es así, consulte la documentación del producto para completarlos.
1. En el equipo cliente, confirme que la conexión a Internet está configurada correctamente.
2. Haga clic sucesivamente en Inicio, Panel de control y Conexiones de red. En Tareas de
red, haga clic en Crear una conexión nueva y, a continuación, haga clic en Siguiente.
3. Haga clic en Conectarse a la red de mi lugar de trabajo para crear la conexión de acceso
telefónico. Haga clic en Siguiente para continuar.
4. Haga clic en Conexión de red privada virtual y, después, haga clic en Siguiente.
5. Escriba un nombre descriptivo para esta conexión en el cuadro de diálogo Nombre de la
organización y haga clic en Siguiente.
6. Si el equipo está conectado a Internet de forma permanente, haga clic en No usar la
conexión inicial. Si el equipo se conecta a Internet a través de un proveedor de servicios
Internet (ISP), haga clic en Usar automáticamente esta conexión inicial y, después, haga
clic en el nombre de la conexión con el ISP. Haga clic en Siguiente.
7. Escriba la dirección IP o el nombre de host del equipo servidor VPN (por ejemplo,
ServidorVPN.DominioDeEjemplo.com).
8. Si desea permitir que cualquier usuario que inicie sesión en la estación de trabajo tenga acceso
a esta conexión telefónica, haga clic en El uso de cualquier persona. Si desea que la
conexión sólo esté disponible para el usuario que ha iniciado sesión actualmente, haga clic en
Sólo para mi uso. Haga clic en Siguiente.
9. Haga clic en Finalizar para guardar la conexión.
10. Haga clic sucesivamente en Inicio, Panel de control y Conexiones de red.
11. Haga doble clic en la nueva conexión.
12. Haga clic en Propiedades para seguir configurando opciones para la conexión. Para seguir
configurando opciones para la conexión, siga estos pasos:
• Si se va a conectar a un dominio, haga clic en la ficha Opciones y active la casilla de
verificación Incluir el dominio de inicio de sesión de Windows para especificar si se va
a solicitar información de dominio de inicio de sesión de Windows Server 2003 antes de
intentar la conexión.
• Si desea que se vuelva a marcar en caso de que la conexión se interrumpa, haga clic en la
ficha Opciones y active la casilla de verificación Volver a marcar si se interrumpe la
línea.
Para utilizar la conexión, siga estos pasos:
1. Haga clic en Inicio, seleccione Conectar a y haga clic en la nueva conexión.
2. Si actualmente no está conectado a Internet, Windows le ofrece la posibilidad de conectarse.
3. Una vez realizada la conexión a Internet, el servidor VPN le pide su nombre de usuario y su
contraseña. Escriba su nombre de usuario y su contraseña; a continuación, haga clic en
Conectar.
Sus recursos de red deben estar disponibles de la misma manera que cuando se conecta
directamente a la red.NOTA: para desconectarse de la VPN, haga clic con el botón secundario
del mouse en el icono de la conexión y, a continuación, haga clic en Desconectar.
Volver al principio

Solucionar problemas

Solucionar problemas de VPN de acceso remoto


No se puede establecer una conexión VPN de acceso remoto
• Causa: el nombre del equipo cliente es igual que el nombre de otro equipo de la red.

Solución: compruebe que todos los equipos de la red y los equipos que se conectan a la red
utilizan nombres de equipo únicos.
• Causa: el servicio Enrutamiento y acceso remoto no se inició en el servidor VPN.

Solución: compruebe el estado del servicio Enrutamiento y acceso remoto en el servidor VPN.

Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de cómo controlar el servicio Enrutamiento y acceso remoto, y cómo iniciar
y detener dicho servicio. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte
técnico de Windows Server 2003.
• Causa: el acceso remoto no está activado en el servidor VPN.

Solución: active el acceso remoto en el servidor VPN.

Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de cómo activar el servidor de acceso remoto. Haga clic en Inicio para
obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: los puertos PPTP o L2TP no están activados para las solicitudes entrantes de acceso
remoto.

Solución: active los puertos PPTP, L2TP o ambos, para las solicitudes entrantes de acceso
remoto.

Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de cómo configurar los puertos para acceso remoto. Haga clic en Inicio
para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: los protocolos LAN que utilizan los clientes VPN no están activados para el acceso
remoto en el servidor VPN.

Solución: active los protocolos LAN que utilizan los clientes VPN para el acceso remoto en el
servidor VPN.

Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de cómo ver las propiedades del servidor de acceso remoto. Haga clic en
Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: todos los puertos PPTP o L2TP del servidor VPN ya están siendo utilizados por clientes
de acceso remoto conectados o por enrutadores de marcado a petición.

Solución: compruebe que todos los puertos PPTP o L2TP del servidor VPN ya se están
utilizando. Para ello, haga clic en Puertos en Enrutamiento y acceso remoto. Si el número de
puertos PPTP o L2TP permitidos no es suficientemente alto, cámbielo para permitir más
conexiones simultáneas.

Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de cómo agregar puertos PPTP o L2TP. Haga clic en Inicio para obtener
acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el servidor VPN no admite el protocolo de túnel del cliente VPN.

De manera predeterminada, los clientes VPN de acceso remoto de Windows Server 2003
utilizan la opción de tipo de servidor Automático, lo que significa que intentarán establecer
primero una conexión VPN basada en L2TP sobre IPSec y, a continuación, intentarán una
conexión VPN basada en PPTP. Si los clientes VPN utilizan la opción de tipo de servidor
Protocolo de túnel punto a punto (PPTP) o Protocolo de túnel de capa 2 (L2TP),
compruebe que el servidor VPN admite el protocolo de túnel seleccionado.

De manera predeterminada, un equipo que ejecute Windows Server 2003 y el servicio


Enrutamiento y acceso remoto es un servidor PPTP y L2TP con cinco puertos L2TP y cinco
puertos PPTP. Para crear un servidor que sea sólo PPTP, establezca el número de puertos L2TP
en cero. Para crear un servidor que sea sólo L2TP, establezca el número de puertos PPTP en
cero.

Solución: compruebe que se ha configurado el número apropiado de puertos PPTP o L2TP.

Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de cómo agregar puertos PPTP o L2TP. Haga clic en Inicio para obtener
acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el cliente VPN y el servidor VPN junto con una directiva de acceso remoto no están
configurados para utilizar al menos un método de autenticación común.

Solución: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto
para utilizar al menos un método de autenticación común.

Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de cómo configurar la autenticación. Haga clic en Inicio para obtener
acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el cliente VPN y el servidor VPN junto con una directiva de acceso remoto no están
configurados para utilizar al menos un método de cifrado común.

Solución: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto
para utilizar al menos un método de cifrado común.

Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de cómo configurar el cifrado. Haga clic en Inicio para obtener acceso al
Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: la conexión VPN no tiene los permisos apropiados mediante las propiedades de acceso
telefónico de la cuenta de usuario y las directivas de acceso remoto.

Solución: compruebe que la conexión VPN tiene los permisos apropiados a través de las
propiedades de acceso telefónico de la cuenta de usuario y las directivas de acceso remoto.
Para que se establezca la conexión, la configuración del intento de conexión debe:
• Cumplir todas las condiciones de al menos una directiva de acceso remoto.
• Obtener el permiso de acceso remoto a través de la cuenta de usuario (establecido como
Permitir acceso) o a través de la cuenta de usuario (establecido como Controlar acceso
a través de la directiva de acceso remoto) y el permiso de acceso remoto de la
directiva de acceso remoto coincidente (establecido como Conceder permiso de acceso
remoto).
• Coincidir con todas las opciones de configuración del perfil.
• Coincidir con la configuración de las propiedades de acceso telefónico de la cuenta de
usuario.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener una
introducción a las directivas de acceso remoto y más información acerca de cómo aceptar un
intento de conexión. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte
técnico de Windows Server 2003.
• Causa: la configuración del perfil de la directiva de acceso remoto entra en conflicto con las
propiedades del servidor VPN.
Las propiedades del perfil de la directiva de acceso remoto y las propiedades del servidor VNP
contienen opciones de configuración para:
• Multivínculo.
• Protocolo de asignación de ancho de banda (BAP).
• Protocolos de autenticación.
Si la configuración del perfil de la directiva de acceso remoto coincidente entra en conflicto con
la configuración del servidor VPN, se rechaza el intento de conexión. Por ejemplo, si el perfil de
directiva de acceso remoto coincidente especifica que debe utilizarse el Protocolo de
autenticación extensible Seguridad de nivel de transporte (EAP-TLS, Extensible Authentication
Protocol - Transport Level Security) y EAP no está habilitado en el servidor VPN, se rechaza el
intento de conexión.

Solución: compruebe que la configuración del perfil de la directiva de acceso remoto no entra
en conflicto con las propiedades del servidor VPN.

Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca del multivínculo, BAP y los protocolos de autenticación. Haga clic en Inicio
para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el enrutador de respuesta no puede validar las credenciales del enrutador de llamada
(nombre de usuario, contraseña y nombre de dominio).

Solución: compruebe que las credenciales del cliente VPN (nombre de usuario, contraseña y
nombre de dominio) son correctas y pueden ser validadas por el servidor VPN.
• Causa: no hay suficientes direcciones en el conjunto de direcciones IP estáticas.

Solución: si el servidor VPN está configurado con un conjunto de direcciones IP estáticas,


compruebe que hay suficientes direcciones en el conjunto. Si todas las direcciones del conjunto
estático se han asignado a clientes VPN conectados, el servidor VPN no puede asignar una
dirección IP y el intento de conexión se rechaza. Si se han asignado todas las direcciones del
conjunto estático, modifique el conjunto. Consulte el Centro de ayuda y soporte técnico de
Windows Server 2003 para obtener más información acerca de TCP/IP y el acceso remoto, y
acerca de cómo crear un conjunto de direcciones IP estáticas. Haga clic en Inicio para obtener
acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el cliente VPN está configurado para solicitar su propio número de nodo IPX y el
servidor VPN no está configurado para permitir que los clientes IPX soliciten su propio número
de nodo IPX.

Solución: configure el servidor VPN para permitir que los clientes IPX soliciten su propio
número de nodo IPX.

Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de IPX y el acceso remoto. Haga clic en Inicio para obtener acceso al
Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el servidor VPN está configurado con un intervalo de números de red IPX que se están
utilizando en otro lugar de la red IPX.

Solución: configure el servidor VPN con un intervalo de números de red IPX que sea único en
la red IPX.

Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de IPX y el acceso remoto. Haga clic en Inicio para obtener acceso al
Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el proveedor de autenticación del servidor VNP no está configurado correctamente.

Solución: compruebe la configuración del proveedor de autenticación. Puede configurar el


servidor VPN para utilizar Windows Server 2003 o el Servicio de usuario de acceso telefónico de
autenticación remota (RADIUS) para autenticar las credenciales del cliente VPN.

Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de los proveedores de autenticación y de cuentas, y acerca de cómo utilizar
la autenticación RADIUS. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte
técnico de Windows Server 2003.
• Causa: el servidor VPN no puede tener acceso a Active Directory.

Solución: en el caso de un servidor VPN que sea servidor miembro de un dominio de Windows
Server 2003 en modo mixto o en modo nativo que esté configurado para la autenticación de
Windows Server 2003, compruebe lo siguiente:
• Existe el grupo de seguridad Servidores RAS e IAS. Si no existe, cree el grupo y
establezca su tipo como Seguridad y su ámbito como Dominio local.
• El grupo de seguridad Servidores RAS e IAS tiene permiso de lectura para el objeto
Comprobación de acceso a servidores RAS e IAS.
• La cuenta del equipo servidor VPN es miembro del grupo de seguridad Servidores RAS e
IAS. Puede usar el comando netsh ras show registeredserver para ver el registro
actual. Utilice el comando netsh ras add registeredserver para registrar el servidor en
un dominio específico.

Si agrega el equipo servidor VPN al grupo de seguridad Servidores RAS e IAS o lo quita,
el cambio no surtirá efecto inmediatamente (debido a la manera en la que Windows Server
2003 almacena en caché la información de Active Directory). Para que el cambio surta
efecto inmediatamente, reinicie el equipo servidor VPN.
• El servidor VPN es miembro del dominio.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de cómo agregar un grupo, cómo comprobar los permisos para el grupo de
seguridad RAS e IAS y acerca de los comandos netsh para acceso remoto. Haga clic en Inicio
para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: un servidor VPN basado en Windows NT 4.0 no puede validar las solicitudes de
conexión.

Solución: si los clientes VPN llaman a un servidor VPN con Windows NT 4.0 que es miembro de
un dominio en modo mixto de Windows Server 2003, compruebe que el grupo Todos se ha
agregado al grupo Acceso compatible con versiones anteriores de Windows 2000 mediante el
comando siguiente:
"net localgroup "Acceso compatible con versiones anteriores de Windows 2000""
Si no se ha agregado, escriba el comando siguiente en el símbolo del sistema de un equipo
controlador de dominio y reinicie el equipo controlador de dominio:
net localgroup "Acceso compatible con versiones anteriores de Windows 2000"
everyone /add
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca del servidor de acceso remoto de Windows NT 4.0 en un dominio de
Windows Server 2003. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte
técnico de Windows Server 2003.
• Causa: el servidor VPN no puede comunicar con el servidor RADIUS configurado.

Solución: si sólo puede llegar al servidor RADIUS a través de la interfaz de Internet, siga uno
de estos procedimientos:
• Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto
UDP 1812 (basado en RFC 2138, "Servicio de usuario de acceso telefónico de autenticación
remota (RADIUS)"). O bien
• Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto
UDP 1645 (en el caso de servidores RADIUS antiguos), para autenticación RADIUS y el
puerto UDP 1813 (basado en RFC 2139, "Administración de cuentas RADIUS"). O bien

• Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto


UDP 1646 (en el caso de servidores RADIUS antiguos) para la administración de cuentas
RADIUS.
Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de cómo agregar un filtro de paquetes. Haga clic en Inicio para obtener
acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: no se puede conectar con el servidor VPN a través de Internet mediante la utilidad
Ping.exe.

Solución: debido al filtrado de paquetes de PPTP y L2TP sobre IPSec configurado en la interfaz
de Internet del servidor VPN, se filtran los paquetes del Protocolo de mensajes de control de
Internet (ICMP) utilizados por el comando ping. Para activar el servidor VPN de forma que
responda a los paquetes ICMP (ping), agregue un filtro de entrada y un filtro de salida que
permitan el tráfico para el protocolo IP 1 (tráfico ICMP).

Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de cómo agregar un filtro de paquetes. Haga clic en Inicio para obtener
acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
No se puede enviar o recibir datos
• Causa: no se ha agregado la interfaz de marcado a petición apropiada al protocolo que se está
enrutando.
Solución: agregue la interfaz de marcado a petición apropiada al protocolo que se está
enrutando.

Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más
información acerca de cómo agregar una interfaz de enrutamiento. Haga clic en Inicio para
obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: no existen rutas en ninguno de los dos lados de la conexión VPN de enrutador a
enrutador que permitan el intercambio de tráfico en los dos sentidos.

Solución: a diferencia de las conexiones VPN de acceso remoto, una conexión VPN de
enrutador a enrutador no crea automáticamente una ruta predeterminada. Debe crear rutas en
ambos lados de la conexión VPN de enrutador a enrutador para que se pueda enrutar el tráfico
hacia y desde el otro lado de la conexión VPN de enrutador a enrutador.

Puede agregar rutas estáticas a la tabla de enrutamiento manualmente o puede agregarlas


mediante protocolos de enrutamiento. Para conexiones VPN persistentes, puede activar Abrir
primero la ruta de acceso más corta (OSPF, Open Shortest Path First o el Protocolo de
información de enrutamiento (RIP, Routing Information Protocol) en la conexión VPN. En el
caso de las conexiones VPN a petición, puede actualizar las rutas automáticamente mediante
una actualización RIP autoestática. Vea la Ayuda en pantalla de Windows Server 2003 para
obtener más información acerca de cómo agregar un protocolo de enrutamiento IP, cómo
agregar una ruta estática y cómo realizar actualizaciones autoestáticas. Haga clic en Inicio
para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
• Causa: el enrutador que responde, que se ha iniciado en dos sentidos como conexión de
acceso remoto, está interpretando una conexión VPN de enrutador a enrutador.

Solución: si el nombre de usuario de las credenciales del enrutador que llama aparece bajo
Clientes de marcado en Enrutamiento y acceso remoto, el enrutador que responde puede
interpretar que el enrutador que llama es un cliente de acceso remoto. Compruebe que el
nombre de usuario de las credenciales del enrutador que llama coincide con el nombre de una
interfaz de marcado a petición del enrutador que responde. Si el elemento que realiza la
llamada entrante es un enrutador, el puerto en el que se recibió la llamada muestra el estado
Activo y la interfaz de marcado a petición correspondiente tiene el estado Conectado.

Vea la Ayuda en pantalla de Windows Server 2003 para obtener más información acerca de
cómo comprobar el estado del puerto en el enrutador que responde y de la interfaz de marcado
a petición. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de
Windows Server 2003.
• Causa: los filtros de paquetes de las interfaces de marcado a petición del enrutador que llama
y del que responde impiden el flujo de tráfico.

Solución: compruebe que en las interfaces de marcado a petición del enrutador que llama y
del que responde no hay filtros de paquetes que impidan enviar o recibir tráfico. Puede
configurar cada interfaz de marcado a petición con filtros de entrada y de salida IP e IPX para
controlar la naturaleza exacta del tráfico TCP/IP e IPX al que se permite entrar y salir de la
interfaz de marcado a petición.

Vea la Ayuda en pantalla de Windows Server 2003 para obtener más información acerca de
cómo administrar los filtros de paquetes. Haga clic en Inicio para obtener acceso al Centro de
ayuda y soporte técnico de Windows Server 2003.
• Causa: los filtros de paquetes del perfil de la directiva de acceso remoto impiden el flujo del
tráfico IP.

Solución: compruebe que no hay filtros de paquetes TCP/IP configurados en las propiedades
del perfil de las directivas de acceso remoto en el servidor VPN (o el servidor RADIUS si se usa
el Servicio de autenticación Internet) que impidan el envío o la recepción del trafico TCP/IP.
Puede utilizar directivas de acceso remoto para configurar filtros de paquetes TCP/IP de
entrada y salida que controlen la naturaleza exacta del tráfico TCPIP permitido en la conexión
VPN. Compruebe que los filtros de paquetes TCP/IP del perfil no impiden el flujo de tráfico.

Vea la Ayuda en pantalla de Windows Server 2003 para obtener más información acerca de
cómo configurar las opciones IP. Haga clic en Inicio para obtener acceso al Centro de ayuda y
soporte técnico de Windows Server 2003.
Como crear una red privada virtual (VPN) en Windows XP
Alejandro Dobarro Ansede, Manuel Lagos Torres

Introducción
Cada vez es más habitual moverse en escenarios en donde se requiere el acceso a recursos
remotos desde cualquier lugar, incluso recursos que no están disponibles directamente en
Internet, pero sí en nuestra intranet. Mediante una VPN podemos acceder de forma segura a todos
los recursos de nuestra intranet usando una conexión pública como Internet y trabajabo como si
estuviésemos en la red local.

¿Qué aborda este artículo?


En este artículo abordaremos el tema de las VPN's domésticas, es decir, veremos como con
Windows 2000 y XP es posible crear rápidamente redes privadas que nos permiten compartir
nuestros recursos con otros usuarios de forma segura.

¿Qué no encontrarás en este artículo?


No analizaremos las VPN's a fondo, simplemente abordamos una solución sencilla para usuarios
domésticos. No trabajaremos con ningún servidor VPN ni de acceso remoto. Ese es tema para otro
artículo.

¿Qué es una VPN?


En pocas palabras una VPN es una red virtual que se crea "dentro" de otra red, como por ejemplo
Internet. Generalmente las redes privadas se crean en redes públicas, en las que se quiere crear
un entorno confidencial y privado. La VPN nos permitirá trabajar como si estuviésemos en la red
local, es totalmente transparente para el usuario.

Una vez establecida la conexión de la red privada virtual los datos viajan encriptados de forma que
sólo el emisor y el receptor son capaces de leerlos.

Para poder realizar una VPN se necesita un servidor (o host) que espera conexiones entrantes, y
uno o varios clientes, que se conectan al servidor para formar la red privada.

¿Qué podemos hacer con una VPN?


Al permitirnos establecer conexiones seguras entre otros equipos podremos acceder a los recursos
del otro equipo de forma segura y confidencial, por ejemplo a impresoras, documentos, servidores
de base de datos, aplicaciones específicas, etc.

¿Cómo funciona una VPN?


Como ya se ha dicho anteriormente se trata de un proceso totalmente transparente para el
usuario y para la mayoría de las aplicaciones. Funciona exactamente igual que cualquier otra
conexión de red, es decir, dentro de la VPN cada equipo tendrá una IP, todas las conexiones
usando esa IP estarán funcionando dentro de la VPN y serán encriptadas, el usuario simplemente
tendrá que usar las IPs de la VPN, y no preocuparse de nada más, el resto ya lo hace el cliente
VPN y el servidor VPN.

Cultura general sobre VPN's


Antes de comenzar a trabajar con VPN's es bueno poseer unas nociones básicas del mundo en el
que nos estamos metiendo.
Son dos las tecnologías más utilizadas para crear VPN's, en realidad son diferentes protocolos o
conjuntos de protocolos, PPTP y L2TP.

PPTP: Point to Point Tunneling Protocol


PPTP es un protocolo desarrollado por Microsoft y disponible en todas las plataformas Windows. Es
sencillo y fácil de implementar pero ofrece menor seguridad que L2TP.
En este artículo implementaremos una conexión VPN mediante PPTP usando MS-CHAP v2.
También es posible usar PPTP con EAP-TLS para soportar certificados de seguridad.

L2TP: Layer Two Tunneling Protocol


Se trata de un estándar abierto y disponible en la mayoría de plataformas Windows, Linux, Mac,
etc. Se implementa sobre IPSec y proporciona altos niveles de seguridad. Se pueden usar
certificados de seguridad de clave pública para cifrar los datos y garantizar la identidad de los
usuarios de la VPN.

Comparativa entre PPTP y L2TP


 Con PPTP, el cifrado de datos comienza después de que la conexión se procese (y, por
supuesto, después de la autentificación PPP). Con L2TP/IPSec, el cifrado de datos empieza
antes de la conexión PPP negociando una asociación de seguridad IPSec.
 Las conexiones PPTP usan MPPE, un método de cifrado basado en el algoritmo de
encriptación Rivest-Shamir-Aldeman (RSA) RC-4, y usa llaves de 40, 56 o 128 bits. Las
conexiones L2TP/IPSec usan Data Encryption Standard (DES), con llaves de 56 bits para
DES o tres llaves de 56 bits para 3-DES. Los datos se cifran en bloques (bloques de 64
bits para el caso de DES).
 Las conexiones PPTP requieren sólo autentificación a nivel de usuario a través de un
protocolo de autentificación basado en PPP. Las conexiones L2TP/IPSec requieren el
mismo nivel de autentificación a nivel de usuario y, además nivel de autentificación de
máquina usando certificados digitales.

Existen más diferencias, pero hacer un estudio más pormenorizado se saldría de la idea
inicial de este artículo por lo que lo dejaremos en estas tres diferencias fundamentales.

Caso práctico
La mejor forma de entender y ver como funciona es implementándolo, y eso es lo que haremos a
continuación.

 Escenario: Dos (o más) equipos distantes y conectados a Internet quieren compartir sus
recursos (ficheros, impresoras, etc.) entre ellos de forma privada y sencilla.
 Software: Windows XP o 2000, también es posible realizar la conexión con equipos con
Windows 98 y 95 descargando los ficheros de actualización de la web de Microsoft.
 Solución: Montar una VPN a través de Internet entre estos equipos.

Necesitamos establecer un equipo como servidor, éste será el encargado de la autenticación, el


resto de equipos establecerán la conexión con él.

Servidor VPN

 Vamos al Panel de control, y abrimos la carpeta de "Conexiones de red" y en el menú


Archivo seleccionamos "Nueva conexión".

 Ahora estamos en el "Asistente para conexión nueva". Pulsamos en el botón "Siguiente"


para continuar.
 Entre las opciones disponibles seleccionamos "Configurar una conexión avanzada", y
pulsamos en "Siguiente".

 Ahora seleccionamos "Aceptar conexiones entrantes" y pulsamos "Siguiente" para


continuar.
 En la pantalla "Dispositivos de conexiones entrantes" no seleccionamos ninguno, pues no
queremos que se conecten a este equipo haciendo una llamada o usando el puerto
paralelo. Pulsamos en "Siguiente".

 En la pantalla "Conexión de red privada virtual (VPN) entrante" debemos seleccionar


"Permitir conexiones virtuales privadas". Pulsamos en "Siguiente".
 En la pantalla "Permisos de usuarios" seleccionamos los usuarios que podrán conectarse a
nuestro equipo usando la VPN. Desde esta misma pantalla podremos crear nuevos
usuarios. Pulsamos en "Siguiente".

 Ahora debemos seleccionar los protocolos que habilitaremos en la VPN. Como queremos
compartir ficheros e impresoras marcaremos "Protocolo Internet (TCP/IP)", "Compartir
impresoras y archivos para redes Microsoft". Podremos agregar los protocolos que
queramos usando el botón Instalar. Seleccionamos el protocolo "Protocolo Internet
(TCP/IP)" y pulsamos en el botón Propiedades para proceder a configurarlo.
 Ahora podemos configurar las propiedades del protocolo TCP/IP. Si queremos que los
clientes que se conectan a nosotros puedan acceder a la red local en la que tenemos
nuestro servidor deberemos activar la primera casilla. Además podemos dejar que el
servidor asigne las IPs de los clientes o establecer un intervalo de IPs, o incluso permitir
que los clientes especifiquen su IP.

 Guardamos la configuración de TCP/IP y pulsamos en el botón siguiente del asistente y ya


habremos terminado. En este momento tendremos una nueva conexión en la carpeta de
Conexiones de red. Seleccionando la nueva conexión podremos ver el estado de ésta, los
clientes conectados, cambiar las opciones de configuración, etc.
Ahora ya tenemos configurado el servidor VPN y ya está listo para aceptar clientes VPN.
A continuación configuraremos una conexión VPN para que se conecte al servidor.

Cliente VPN

 Abrimos la carpeta de "Conexiones de red" y en el menú Archivo seleccionamos "Nueva


conexión". En el asistente para conexión nueva seleccionamos "Conectarse a la red de mi
lugar de trabajo", y pulsamos siguiente.

 Seleccionamos "Conexión de red privada virtual", y pulsamos siguiente.


En la siguiente ventana, marcaremos la opción "no usar conexion inicial" a menos que
queramos que con la vpn se utilice otra de nuestras conexiones a internet, si indicamos
que al activar esta conexión se active antes otra conexión, por ejemplo una conexión
telefónica, se conectará primero a Internet y luego se establecerá la VPN. Si disponemos
de cable o ADSL no es necesario activar ninguna de estas conexiones. Tampoco lo es si
estamos conectados a Internet cuando activamos la conexión VPN o no queremos que
ésta marque ninguna conexión. Por último indicamos la dirección IP del servidor VPN, esta
es la dirección IP pública, es decir, la que tiene en Internet en el momento de establecer
la conexión entre los clientes y el servidor.

 Al finalizar el asistente ya tendremos la conexión lista para activarse. Ahora debemos


indicar el usuario y las password que hemos activado en el servidor y ya podremos
conectarnos con el servidor.
Si el servidor VPN se conecta a Internet usando un modem o Cable la IP puede cambiar
(IPs dinámicas) por lo que será necesario indicarle la IP que tiene en cada momento.
Ya tenemos la conexión VPN lista para funcionar.
Si trabajamos con conexiones lentas (móden o similar) la VPN también irá lenta. Es recomendable
disponer de conexiones de banda ancha para sacarle todo el rendimiento a este tipo de
conexiones.

Para realizar las comunicaciones usando la VPN deberemos usar las IPs de la VPN. Es decir,
además de la IP de Internet que tiene el servidor y los clientes se han generado otras IPs internas
de la VPN, pues esas deberemos usar para comunicarnos con los equipos de la VPN, estas se
obtendrán como las habituales, pero en el icono de la nueva conexión que aparece en la barra de
notificación (junto al reloj).

En conexiones lentas, el Explorador de Windows no será capaz de mostrar los otros equipos de la
red, o le llevará mucho tiempo, en ese caso, podremos acceder a ellos escribiendo en la barra de
direcciones del Explorardor de Windows "\\ip_en_la_VPN" o "\\nombre_maquina" de la máquina a
la que queremos acceder, por ejemplo, si la IP (en la VPN) de la otra máquina es 169.254.3.117
pondremos \\169.254.3.117 en la barra de direcciones del Explorador de Windows y de esta forma
ya tendremos acceso a los ficheros e impresoras de la máquina indicada.
Para usar otros recursos, como servidores de base de datos, etc. simplemente usamos la IP en la
VPN de la máquina destino.

Además, si los equipos no tienen realizada la configuración de red adecuadamente, o tienen mal
asignados los permisos puede ocurrir que no se pueda acceder a recursos. Esto no es un problema
de la VPN sino de cómo se tienen establecidos los permisos en cada ordenador, al igual que pasa
en una red local.

Por último, y como recomendación final, es aconsejable mantener el equipo actualizado e instalar
los parches y services packs que va publicando Microsoft. Al tratarse de un servicio de red es muy
vulnerable a ser atacado y si no está convenientemente actualizado podemos ser víctimas de
ataques, o nuestros datos quizás no viajen lo suficientemente seguros como esperábamos.
PUERTOS A REDIRIGIR EN EL ROUTER

Para PPTP hay que redirigir los puertos TCP 1723 y UDP 47 al servidor que gestiona
las VPN.

Para L2TP hay que abrir el puerto TCP 1701; si se va a utilizar además IPSec, se debe
abir el puerto UDP 500 y los protocolos de Id. (UDP?) 50 (IPSec ESP) y 51 (IPSec
AH).

También habrá que permitir esos puertos en el Firewall del servidor.

CONFIGURACIÓN CLIENTES

Esta configuración es válida para los sistemas operativos Windows 2000, XP y Vista; el
resto necesitarán clientes VPN con IPSec (los de los fabricantes u otros)

La configuración de la VPN es la siguiente:

1.- Desde INICIO > CONFIGURACION pulsamos doble clic sobre conexiones de red.

.
En la pantalla anterior pulsamos siguiente.
En la pantalla de arriba seleccionamos “Conectarse a la red de mi lugar de trabajo” y
pulsamos siguiente.

En el campo de arriba tecleamos la descripción de la conexión de red. Este campo solo


es descriptivo.
Seleccionamos “Conexión de red privada virtual” y pulsamos siguiente.

Seleccionamos la opción “No usar conexión inicial” y pulsamos siguiente.


Arriba tecleamos la dirección IP pública del router o el nombre DNS.

Seleccionamos si queremos que cualquier usuario que inicie sesión en el pc tenga la


conexión VPN o solo nuestro usuario.
Hemos terminado la configuración de la conexión VPN. Si seleccionamos el ‘check
botton’ se agregará la conexión al escritorio.

Una vez que ejecutemos la conexión la primera vez aparece la pantalla anterior donde
escribimos el usuario y contraseña y si queremos guardarla para las siguientes
ocasiones.
Podremos configurar las opciones de la conexión VPN a través del botón propiedades,
por ejemplo:

- Para poder conectar a internet mientras se está conectado a la VPN es necesario


desmarcar la casilla “Usar la puerta de enlace predeterminada de la red remota”
en Funciones de red – Protocolo TCP/IP – Opciones avanzadas – General

- Para que se conecte a la VPN de forma automática sin tener que confirmar hay
que desmarcar la casilla “Pedir el nombre y contraseña” en la pestaña Opciones.
Si queremos que se conecte nada más arrancar tendremos que incluir el acceso
directo en el menú inicio.