Guía detallada de creación de una conexión de red privada

virtual de sitio a sitio

Publicado: septiembre 17, aaaa
Esta guía detallada proporciona instrucciones para crear una infraestructura del Servicio de
enrutamiento y acceso remoto (RRAS) compatible con una red privada virtual (VPN) de sitio a sitio
mediante conexiones de marcado a petición.
En esta página
Introducción

Introducción

Configurar el Servicio de enrutamiento y acceso remoto

Configurar interfaces de marcado a petición

Extender la seguridad de sitio a sitio mediante directivas de acceso

remoto

Configurar la clave compartida de IPSec y probar la conexión

Recursos adicionales

Introducción
Guías detalladas
Las guías detalladas de desarrollo de Windows Server 2003 proporcionan experiencia práctica para
muchas configuraciones de sistemas operativos. Las guías comienzan estableciendo una
infraestructura de red común a través de la instalación de Windows Server 2003, la configuración de
Active Directory®, la instalación de una estación de trabajo Windows XP Professional y, por último, la
incorporación de esta estación de trabajo a un dominio. Las guías detalladas posteriores asumen que
posee esta infraestructura de red común. Si no desea seguir esta infraestructura de red común, tendrá
que efectuar las modificaciones pertinentes mientras utiliza estas guías.
La infraestructura de red común requiere que se sigan las instrucciones de las guías siguientes.

• Parte I: Instalar Windows Server 2003 como un controlador de dominio

Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla a un
•
dominio
Una vez configurada la infraestructura de red común, pueden utilizarse todas las guías detalladas
adicionales. Tenga en cuenta que algunas guías detalladas pueden tener requisitos previos adicionales
además de los requisitos de infraestructura de red común. Todos los requisitos adicionales se
indicarán en la guía detallada específica.

Microsoft Virtual PC
Las guías detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de
laboratorio físico o mediante tecnologías de creación de entornos virtuales como Microsoft Virtual PC
2004 o Microsoft Virtual Server 2005. La tecnología de máquina virtual permite a los usuarios ejecutar
varios sistemas operativos simultáneamente en un único servidor físico. Virtual PC 2004 y Virtual
Server 2005 están diseñados para aumentar la eficacia operativa de las pruebas y desarrollo de
software, la migración de aplicaciones heredadas y los escenarios de consolidación de servidores.
En las guías detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones
se realizarán en un entorno de laboratorio físico, aunque la mayoría de ellas se pueden aplicar a un
entorno virtual sin necesidad de modificarlas.
La aplicación de los conceptos proporcionados en estas guías detalladas a un entorno virtual se escapa
al alcance de este documento.

Notas importantes
Las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico,
logotipos, personas, lugares y datos mencionados aquí son ficticios. No se pretende indicar, ni debe
deducirse ninguna asociación con compañías, organizaciones, nombres de dominio, direcciones de
correo electrónico, logotipos, personas, lugares o datos reales.
Esta infraestructura común está concebida para su uso en una red privada. El nombre ficticio de la
compañía y el nombre DNS (Sistema de nombres de dominio) utilizados en la infraestructura común
no están registrados para su uso en Internet. No debe utilizar estos nombres en una red pública ni en
Internet.
El objetivo de la estructura del servicio Active Directory para esta infraestructura común es mostrar
cómo funciona la administración de cambios y configuración de Windows Server 2003 con Active
Directory. No se ha diseñado como un modelo para configurar Active Directory en una organización.
Principio de la página

Introducción
Muchas organizaciones tienen oficinas en distintas ubicaciones geográficas y requieren conectividad
remota. El Servicio de enrutamiento y acceso remoto (RRAS) de Windows Server 2003 se puede
utilizar para implementar una solución de sitio a sitio rentable y segura.
Hasta ahora, en las organizaciones se han utilizado tecnologías de conexión de sitio a sitio de red de
área extensa (WAN), por ejemplo T-Carrier o Frame Relay, para conectar sitios remotos a través de
una red privada de datos. Con todo, estas líneas privadas son costosas. Por ejemplo, el costo de los
servicios de T-Carrier depende del ancho de banda y la distancia, con lo que las conexiones son
relativamente costosas. Además, T-Carrier requiere por lo general una infraestructura dedicada, con
enrutadores de unidades de servicio de canal/unidades de servicio digitales (CSU/DSU) y enrutadores
específicos de línea en ambos extremos de la conexión.
Por el contrario, la solución RRAS de Windows Server 2003 se puede integrar en la red actual de la
organización utilizando los servidores existentes. Con las conexiones de sitio a sitio que proporciona el
RRAS, se dispone de dos opciones frente a los vínculos de WAN convencionales: una conexión de
acceso telefónico de sitio a sitio o una conexión de sitio a sitio de VPN. Si implementa una solución
RRAS para reemplazar a la conexión WAN existente, o para implementar una nueva conexión, puede
optimizar la rentabilidad ajustando el tipo de conexión al volumen de tráfico. También puede
personalizar la seguridad para que se ajuste a las necesidades de la organización.
En una implementación de sitio a sitio, RRAS admite el enrutamiento de marcado a petición,
denominado también enrutamiento de marcado a petición. Mediante el uso de una interfaz de
marcado a petición, el enrutador puede iniciar una conexión con un sitio remoto cuando recibe el
paquete que se debe enrutar. La conexión pasa a estar activa sólo cuando se envían datos al sitio
remoto. Cuando no se han enviado datos a través del vínculo durante un periodo de tiempo
especificado, se desconecta el vínculo.
RRASS también admite filtros y horas de marcado a petición. Los filtros de marcado a petición se
pueden usar para especificar los tipos de tráfico admitidos para crear la conexión. Los filtros de
marcado a petición son independientes de los filtros de paquetes del Protocolo Internet (IP), que se
configuran para especificar el tráfico que puede entrar y salir de una interfaz una vez que se ha
establecido la conexión. Se pueden definir horas de marcado, que especifican cuándo puede un
enrutador hacer llamadas para establecer conexiones de marcado a petición. Se puede configurar
cuándo acepta el enrutador conexiones entrantes a través de directivas de acceso remoto.
Nota: RRAS es compatible con conexiones de sitio a sitio entre oficinas remotas y conexiones de
acceso remoto para equipos independientes. Esta guía detallada se centra en la implementación de
una conexión de VPN de sitio a sitio mediante Seguridad del protocolo Internet (IPSec) con una clave
compartida.

Requisitos previos
• Parte 1: Instalar Windows Server 2003 como un controlador de dominio

• Guía detallada de configuración de controladores de dominio adicionales

• Guía detallada de administración de Active Directory

Requisitos de esta guía

Para la configuración de una solución VPN de sitio a sitio, los enrutadores de llamada y de respuesta
•
se deben configurar como servidores con multialojamiento. En consecuencia, cada servidor debe
tener una tarjeta de interfaz de red secundaria (NIC) lista para su uso. En los procedimientos
descritos en esta guía, se usa la siguiente configuración de la NIC secundaria.
HQ-CON-DC-01 - Dirección IP: 20.0.0.1, MÁSCARA IP: 255.0.0.0, Puerta de enlace
•
predeterminada: En blanco, Servidor DNS: 127.0.0.1
HQ-CON-DC-02 - Dirección IP: 20.0.0.2, MÁSCARA IP: 255.0.0.0, Puerta de enlace
•
predeterminada: En blanco, Servidor DNS: 127.0.0.1
Para simular correctamente una conexión de marcado a petición de sitio a sitio, todos los equipos
•
que estén en el dominio secundario, vancouver, se deben trasladar a otra red, o disponer de otra
interfaz de red lista para su uso. En las siguientes secciones, cada equipo del dominio secundario
vancouver se ha configurado con una tercera interfaz de red. Cada interfaz está configurada con
una dirección de red 30.0.0.0. Si decide segmentar físicamente el dominio Vancouver, debe instalar
y configurar DNS en HQ-CON-DC-02.
Advertencia: Las instrucciones de esta guía proporcionan una introducción general a las
configuraciones necesarias para crear una conexión VPN de sitio a sitio de marcado a petición
mediante una clave compartida de IPSec. En consecuencia, los procedimientos de esta guía sólo se
deben implementar en un entorno de prueba. Para obtener más información sobre cómo planear e
implementar VPN de Windows Server 2003, consulte Redes privadas virtuales para Windows Server
2003.
Principio de la página

Configurar el Servicio de enrutamiento y acceso remoto

Al ejecutar el Asistente para la instalación de servidor de enrutamiento y acceso remoto, se le pide
que elija la ruta de acceso de configuración más parecida a solución de acceso remoto que desea
implementar. Si no hay ninguna ruta de acceso de configuración satisface todos sus requisitos, puede
realizar más configuraciones del servidor cuando finalice el asistente, o puede elegir la ruta de acceso
de configuración personalizada.
Si bien el objetivo inmediato es configurar una conexión segura entre dos redes privadas, hay otras
guías en esta serie que describen de manera pormenorizada las funciones de RRAS mediante la
inclusión del acceso telefónico. Por ello, en las secciones siguientes, RRAS se configurará inicialmente
como servidor de VPN, mientras que la VPN de sitio a sitio se configurará manualmente.
Nota: Con una instalación básica de Windows Server 2003, los componentes para RRAS se instalan de
manera predeterminada, pero no se habilitan ni configuran.
Para habilitar y configurar el servicio de Enrutamiento y acceso remoto en HQ-CON-DC-01:
1. Haga clic en el botón Inicio, seleccione Todos los programas,
Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso
remoto.
2. En la consola de Enrutamiento y acceso remoto, haga clic con el botón secundario del mouse
(ratón) en HQ-CON-DC-01 y, a continuación, haga clic en Configurar y habilitar
Enrutamiento y acceso remoto.
3. En el Asistente para la instalación del servidor de enrutamiento y acceso remoto haga
clic en Siguiente.
4. Haga clic en el botón de opción Acceso remoto (acceso remoto o red privada virtual)
(predeterminado) y, a continuación, en Siguiente.
5. Active la casilla de verificación VPN como se muestra en la figura 1 y, a continuación, haga clic
en Siguiente.

Figura 1. Seleccionar un método de acceso remoto

6. En Interfaces de red, haga clic para resaltar el adaptador que representa la conexión de
Internet en la que funcionará esta VPN de sitio a sitio. Mantenga la selección predeterminada de
Habilitar seguridad y, a continuación, haga clic en Siguiente.
7. En la pantalla Asignación de direcciones IP, mantenga la opción predeterminada
Automáticamente haga clic en Siguiente para continuar.
Nota: Al configurar un servidor de RRAS, debe determinar si el servidor de acceso remoto
utilizará el Protocolo de configuración dinámica de host (DHCP) o un conjunto de direcciones IP
estáticas para obtener las direcciones de los clientes de acceso telefónico. Si utiliza un conjunto
de direcciones IP estáticas, debe determinar si el conjunto será de intervalos de direcciones que
son un subconjunto de direcciones de la red IP a la que está conectado el servidor u otra subred
 aparte. Si los intervalos de direcciones del conjunto de direcciones IP estáticas representan a
otra subred, asegúrese de que las rutas de los intervalos de direcciones existen en los
enrutadores de la intranet, para que el tráfico hacia los clientes de acceso remoto conectados se
reenvíe al servidor de acceso remoto.
8. En la pantalla Administrar servidores de acceso remoto múltiples, mantenga la opción
predeterminada para utilizar RRAS para autenticar las solicitudes de autenticación y, a
continuación, haga clic en Siguiente.
Nota: Si tiene más de un servidor de acceso remoto, en lugar de administrar las directivas de
acceso remoto de todos ellos por separado, puede configurar un solo servidor con el Servicio de
autenticación Internet (IAS) como servidor del Servicio de usuario de acceso telefónico de
autenticación remota (RADIUS) y configurar los servidores de acceso remoto como clientes
RADIUS El servidor IAS proporciona autenticación, autorización, contabilidad y auditoría
centralizadas para el acceso remoto.
9. En el Asistente para la instalación del servidor de enrutamiento y acceso remoto haga
clic en Finalizar.
10 En el cuadro de diálogo Enrutamiento y acceso remoto, que se muestra en la figura 2, haga
. clic en Aceptar para confirmar los requisitos de Retransmisión DHCP.
Nota: De manera predeterminada, los servicios DHCP que proporciona RRAS automáticamente
controlan todos los requisitos de la retransmisión DHCP. En una situación en que haya otro
servidor DHCP, debe asegurarse de que el servidor está configurado para retransmitir las
solicitudes DHCP.

Figura 2.  Retransmisión DHCP

Ver la imagen a tamaño completo
Para habilitar y configurar el servicio de Enrutamiento y acceso remoto en HQ-CON-DC-02:
1 Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas
. y, a continuación, haga clic en Enrutamiento y acceso remoto.
2 En la consola de Enrutamiento y acceso remoto, haga clic con el botón secundario del mouse
. en HQ-CON-DC-02 y, a continuación, haga clic en Configurar y habilitar Enrutamiento y
acceso remoto.
3 En el Asistente para la instalación del servidor de enrutamiento y acceso remoto haga clic
. en Siguiente.
4 Haga clic en el botón de opción Configuración personalizada y, a continuación, haga clic en
. Siguiente.
5 Haga clic en el botón de opción Conexiones de marcado a petición (utilizadas para
. enrutamiento de sucursales) y, a continuación, en Siguiente.
6 En el Asistente para la instalación del servidor de enrutamiento y acceso remoto haga clic
. en Finalizar.
7 En el cuadro de diálogo Enrutamiento y acceso remoto, haga clic en Sí para iniciar el servicio
. RRAS.
Principio de la página
Configurar interfaces de marcado a petición
Las interfaces de red permiten que cualquier servidor en que se ejecute RRAS se comunique con otros
equipos a través de redes públicas o privadas. Las interfaces de red están relacionadas con
Enrutamiento y acceso remoto de dos maneras: el hardware físico, por ejemplo un adaptador de red,
y la configuración de la interfaz de red.
En Enrutamiento y acceso remoto, hay dos categorías de interfaces de red.
Interfaz privada Una interfaz privada es un adaptador de red conectado físicamente a una red
•
privada. Prácticamente todas las redes privadas se configuran con un intervalo de direcciones IP de
red privada, y la interfaz privada se configura también con una dirección privada. Una red privada
está formada, en teoría, por usuarios y equipos conocidos, por lo que normalmente los aspectos de
seguridad de las interfaces privadas no son tan numerosos como los de las interfaces públicas.
Interfaz pública Una interfaz pública es un adaptador de red conectado físicamente a una red
•
pública, como Internet. La interfaz pública está configurada con una dirección IP pública. Las
interfaces públicas se pueden configurar de manera que realicen la traducción de direcciones de red
(NAT). Puesto que una interfaz pública es en teoría accesible para todos los usuarios de la red
pública, las consideraciones de seguridad suelen ser más importantes para las interfaces públicas
que para las privadas.
Interfaz de marcado a petición Las interfaces de marcado a petición conectan enrutadores
•
específicos de redes públicas o privadas. Una interfaz de marcado a petición puede ser a petición
(se activa sólo cuando es necesario) o persistente (siempre conectada).
Además de configurar cada interfaz de red como pública, privada o de marcado a petición, puede
configurar filtros de paquetes, direcciones y otras opciones para las interfaces de redes. Algunas de
las opciones para las interfaces públicas, como un servidor de seguridad básico, no están disponibles
para las interfaces privadas.
Para configurar una interfaz de marcado a petición en el servidor de respuesta (HQ-CON-
DC-01)
1. En la consola Enrutamiento y acceso remoto, haga clic en el signo más (+) que está junto a
HQ-CON-DC-01 para expandir el árbol.
2. En el árbol de HQ-CON-DC-01, haga clic con el botón secundario del mouse en Interfaces de
red, y, a continuación, haga clic en Nueva interfaz de marcado a petición.
3. En la primera pantalla del Asistente para interfaz de marcado a petición, haga clic en Siguiente
para empezar la configuración.
4. Como Nombre de la interfaz, escriba VPN_Vancouver y, a continuación, haga clic en
Siguiente.
5. En Tipo de conexión, mantenga la configuración predeterminada, Conectar usando red
privada virtual (VPN) y, a continuación, haga clic en Siguiente.
6. En la pantalla Tipo de VPN, seleccione Protocolo de túnel de capa 2 (L2TP) como se
muestra en la figura 3 y, a continuación, haga clic en Siguiente.
 Figura 3. Seleccionar el tipo de VPN
7. En la pantalla Dirección de destino, escriba 20.0.0.2 en Nombre de host o dirección IP y, a
continuación, haga clic en Siguiente.
8. En la pantalla Protocolos y Seguridad, active Enrutar paquetes IP en esta dirección y
Agregar una cuenta de usuario para que un enrutador remoto pueda conectarse y haga
clic en Siguiente.
9. En la pantalla Rutas estáticas para redes remotas, haga clic en Agregar. Escriba 30.0.0.0
en Destino y 255.0.0.0 en Máscara de red, haga clic en Aceptar y, a continuación, haga clic
en Siguiente.
Nota: En el paso anterior se asume que el dominio vancouver se ha vuelto a configurar para que
resida en una red 30.0.0.0.
10 En la pantalla Credenciales de marcado, escriba contraseña1 en los cuadros Contraseña y
. Confirmar contraseña y haga clic en Siguiente.
11 En la pantalla Credenciales de llamada saliente, escriba VPN_HQ en Nombre de usuario,
. VANCOUVER en Dominio y contraseña1 en Contraseña y Confirmar contraseña. Cuando
haya terminado, la configuración debe ser la que se muestra en la figura 4. Haga clic en
Siguiente para continuar.

Figura 4.  Configurar las credenciales de llamada saliente en HQ-CON-DC-01

12 En la página Finalización del Asistente para interfaz de marcado a petición, haga clic en
 . Finalizar.
Para configurar una interfaz de marcado a petición en el servidor de llamada (HQ-CON-DC-
02)
1. En la consola Enrutamiento y acceso remoto, haga clic en el signo más (+) que está junto a
HQ-CON-DC-02 para expandir el árbol.
2. En el árbol de HQ-CON-DC-02, haga clic con el botón secundario del mouse en Interfaces de
red, y, a continuación, haga clic en Nueva interfaz de marcado a petición.
3. En la primera pantalla del Asistente para interfaz de marcado a petición, haga clic en Siguiente
para empezar la configuración.
4. Como Nombre de la interfaz, escriba VPN_HQ y, a continuación, haga clic en Siguiente.
5. En Tipo de conexión, mantenga la configuración predeterminada, Conectar usando red
privada virtual (VPN) y, a continuación, haga clic en Siguiente.
6. En la pantalla Tipo de VPN, seleccione Protocolo de túnel de capa 2 (L2TP) como se
muestra en la figura 3 y, a continuación, haga clic en Siguiente.
7. En la pantalla Dirección de destino, escriba 20.0.0.1 en Nombre de host o dirección IP y, a
continuación, haga clic en Siguiente.
8. En la pantalla Protocolos y Seguridad, active Enrutar paquetes IP en esta dirección y
Agregar una cuenta de usuario para que un enrutador remoto pueda conectarse y haga
clic en Siguiente.
9. En la pantalla Rutas estáticas para redes remotas, haga clic en Agregar. Escriba 10.0.0.0
en Destino y 255.0.0.0 en Máscara de red, haga clic en Aceptar y, a continuación, haga clic
en Siguiente.
Nota: En el paso anterior se asume que el dominio raíz contoso sigue residiendo en la red
10.0.0.0.
10 En la pantalla Credenciales de marcado, escriba contraseña1 en los cuadros Contraseña y
. Confirmar contraseña y haga clic en Siguiente.
11 En la pantalla Credenciales de llamada saliente, escriba VPN_Vancouver en Nombre de
. usuario, CONTOSO en Dominio y contraseña1 en Contraseña y Confirmar contraseña.
Cuando haya terminado, la configuración debe ser la que se muestra en la figura 5.

Figura 5.  Configurar las credenciales de llamada saliente en HQ-CON-DC-02

12 Haga clic en Siguiente para continuar.
.
13 En la página Finalización del Asistente para interfaz de marcado a petición, haga clic en
. Finalizar.
Principio de la página
Extender la seguridad de sitio a sitio mediante directivas de acceso
remoto
Para RRAS en Windows Server 2003, la autorización de acceso a la red se concede en función de las
propiedades de marcado de la cuenta de usuario y las directivas de acceso remoto.
Las directivas de acceso remoto son un conjunto ordenado de reglas que definen cómo se autorizan o
rechazan las conexiones. Por cada regla hay una o varias condiciones, un conjunto de configuraciones
de perfil y una configuración de permiso de acceso remoto. Si se autoriza una conexión, el perfil de la
directiva de acceso remoto especifica un conjunto de restricciones de conexión. Las propiedades de
marcado de la cuenta de usuario también proporcionan un conjunto de restricciones. Siempre que sea
pertinente, las restricciones de conexión de la cuenta de usuario anulan a las del perfil de la directiva
de acceso remoto.
Existen dos formas de usar las directivas de acceso remoto para conceder la autorización.
Por usuario Si administra la autorización por usuario, establezca el permiso de acceso remoto en
•
la cuenta de usuario o equipo para que conceda o deniegue el permiso y, si lo desea, cree distintas
directivas de acceso remoto en función de distintos tipos de conexión. Por ejemplo, puede tener
una directiva de acceso remoto que se utilice para las conexiones de acceso telefónico y otra que se
utilice para las conexiones inalámbricas. La administración de la autorización por usuario sólo se
recomienda si el número de cuentas de usuario o equipo que se administra es reducido.
Por grupo Si administra la autorización por grupo, establezca el permiso de acceso remoto en la
•
cuenta de usuario en Controlar acceso a través de la directiva de acceso remoto y cree
directivas de acceso remoto en función de los distintos tipos de conexión y la pertenencia a grupos.
Por ejemplo, puede tener una directiva de acceso remoto para las conexiones de acceso telefónico
para los empleados (que pertenecen al grupo Empleados) y otra para las conexiones de acceso
telefónico para los contratistas (que pertenecen al grupo Contratistas).
Las condiciones de las directivas de acceso remoto son uno o varios atributos que se comparan con la
configuración del intento de conexión. Si hay varias conexiones, todas las condiciones deben coincidir
con la configuración del intento de conexión para que éste coincida con la directiva. Si se satisfacen
todas las condiciones de una directiva de acceso remoto, el permiso de acceso remoto se concede o se
deniega. Puede utilizar las opciones Conceder permiso de acceso remoto y Denegar permiso de acceso
remoto para definir el permiso de acceso remoto de una directiva.
En las siguientes secciones, se configuran directivas de acceso remoto para conceder la autorización
por grupo.
Para preparar directivas de acceso remoto para conceder la autorización por grupo:
1. En el servidor HQ-CON-DC-01, abra la consola Usuarios y equipos de Active Directory.
2. En la consola Usuarios y equipos de Active Directory, haga clic en el signo más (+) situado
junto a contoso.com para expandir el árbol.
3. En el árbol contoso.com, haga clic en la unidad organizativa (OU) Usuarios. En el panel de
resultados, haga doble clic en VPN_Vancouver.
4. En la página Propiedades de VPN_Vancouver, haga clic en la ficha Marcado.
5. En la sección Permisos de acceso remoto, haga clic en Controlar acceso a través de la
directiva de acceso remoto, como se muestra en la figura 6.
 Figura 6.  Establecer los permisos de acceso remoto a través de directivas RRAS
6. En la página Propiedades de VPN_Vancouver, haga clic en Aceptar.
7. En el árbol contoso.com, haga clic en la unidad organizativa Grupos, haga clic con el botón
secundario del mouse en la unidad organizativa Grupos, seleccione Nuevo y, a continuación,
haga clic en Grupo.
8. En la pantalla Nuevo objeto: grupo, escriba VPN de sucursal en Nombre de grupo y, a
continuación, haga clic en Aceptar.
9. En el panel de resultados, haga doble clic en VPN de sucursal. En la pantalla Propiedades de
VPN de sucursal, haga clic en la ficha Miembros. Haga clic en Agregar, escriba
VPN_Vancouver y, a continuación, haga clic en Aceptar dos veces.
10 Cierre la consola Usuarios y equipos de Active Directory.
.
Para configurar una directiva de acceso remoto para conceder la autorización por grupo:
1 En la consola Enrutamiento y acceso remoto, haga clic en Directivas de acceso remoto.
.
2 En el panel de resultados, haga doble clic en Conexiones al servidor de Enrutamiento y
. acceso remoto de Microsoft.
3 En Condiciones de la directiva, haga clic en Agregar. Haga doble clic en Grupos de
. Windows, haga clic en Agregar, escriba VPN de sucursal y, a continuación, haga clic en
Aceptar dos veces.
4 En la parte inferior de la página Propiedades, haga clic en Conceder permiso de acceso
. remoto y, a continuación, haga clic en Aceptar.
Principio de la página

Configurar la clave compartida de IPSec y probar la conexión

De manera predeterminada, el cliente L2TP y el servidor L2TP de Windows Server 2003 están
preconfigurados para la autenticación de IPSec basada en certificados. Al establecer una conexión de
L2TP sobre IPSec, se crea automáticamente una directiva de IPSec para especificar que Intercambio
de claves de Internet (IKE) utilizará la autenticación basada en certificados durante la negociación de
la configuración de seguridad para L2TP. Esto significa que el cliente L2TP y el servidor L2TP deben
tener instalado un certificado de equipo (conocido también como certificado de máquina) para que se
pueda establecer correctamente una conexión L2TP sobre IPSec. Ambos certificados de equipo deben
proceder de la misma autoridad emisora de certificados (CA) o el certificado raíz de la CA de cada
equipo debe estar instalado como CA raíz de confianza en el almacén de certificados raíz de confianza
del otro.
En algunos casos, no se desea tener un método de autenticación IPSec basado en certificados para las
conexiones VPN de enrutador a enrutador basadas en L2TP. En este caso, la directiva IPSec se puede
configurar manualmente para que use claves previamente compartidas al crear conexiones VPN de
enrutador a enrutador. Esta clave de autenticación compartida previamente actúa como una
contraseña sencilla en la negociación de IKE. Si ambos extremos pueden probar que conocen la
misma contraseña, pueden confiar uno en otro y continuarán con la negociación de claves de cifrado
simétricas y privadas y la configuración específica de seguridad para el tráfico L2TP.
Normalmente, se considera que el uso de una clave compartida previamente de IKE no es tan seguro
como el uso de certificados, porque la autenticación de IKE (y la confianza implícita) depende sólo del
valor de la clave, que se almacena como texto sin formato en la directiva de IPSec. Cualquier usuario
que vea la directiva puede ver el valor de la clave compartida previamente. Si un usuario
malintencionado ve la clave compartida previamente, podría configurar su sistema para que pueda
establecer la seguridad IPSec con el sistema de otro usuario. Sin embargo, la conexión L2TP requiere
autenticación en el nivel de usuario mediante un Protocolo punto a punto (PPP). Por ello, un usuario
malintencionado tendría que conocer la clave compartida previamente y las credenciales de usuario
correctas para poder establecer la conexión L2TP sobre IPSec.
Para configurar una clave compartida de IPSec en el servidor de respuesta (HQ-CON-DC-
01):
1 En la consola de Enrutamiento y acceso remoto, haga clic con el botón secundario del mouse
. en HQ-CON-DC-01 (local) y, a continuación, haga clic en Propiedades.
2 En la página Propiedades de HQ-CON-DC-01 (local), haga clic en la ficha Seguridad. Active
. Permitir la directiva personalizada IPSEC para la conexión L2TP, escriba 12345 en Clave
compartida previamente como se muestra en la figura 7 y, a continuación, haga clic en
Aceptar.

Figura 7.  Establecer una clave compartida previamente en el enrutador de respuesta

Para configurar una clave compartida de IPSec en el servidor de llamada (HQ-CON-DC-02):
1 En la consola de Enrutamiento y acceso remoto, en el árbol HQ-CON-DC-02 (local), haga clic
. en Interfaces de red y, a continuación, haga doble clic en VPN_HQ.
2 En la página Propiedades de VPN_HQ, haga clic en la ficha Seguridad y, a continuación, haga
 . clic en el botón Configuración IPSec.
3 En el cuadro de diálogo Configuración IPSec, active Usar clave previamente compartida al
. autenticar, escriba 12345 en Clave como se muestra en la figura 8 y, a continuación, haga clic
en Aceptar dos veces.

Figura 8.  Establecer una clave compartida previamente en el enrutador de llamada

Probar la conexión VPN de sitio a sitio
En la consola Enrutamiento y acceso remoto, haga clic con el botón secundario del mouse en
•
VPN_HQ y, a continuación, haga clic en Conectar.
Principio de la página

Recursos adicionales
Para obtener más información, consulte los siguientes recursos:
Redes privadas virtuales de Windows Server 2003 en
•
http://www.microsoft.com/windowsserver2003/technologies/networking/vpn/default.mspx (en
inglés).
Para obtener la información más reciente sobre Windows Server 2003, consulte el sitio Web de
•
Windows Server 2003 en
http://www.microsoft.com/windowsserver2003 (en inglés)