Cómo configurar una VPN con SSTP y NAP en Windows Server 2012 (es-ES)

NAP (Network Access Protection) nos permite controlar el acceso completo o registringido a la red si cumplen las directivas de mantenimiento correspondientes, tanto en conexiones locales como de acceso remoto. Voy a tratar de explicar cómo podemos configurar NAP en una conexión VPN con SSTP, pero solo voy a comentar la configuración del NPS, puesto que la configuración del servidor RRAS con SSTP lo había publicado en su momento:

View

 

Este es el esquema que trataremos de configurar en este artículo

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_esquema.jpg

Una vez que tenemos configurado el servidor VPN, empezamos con la configuración del NPS. Primero debemos configurar el servidor RRAS para que la autenticación de los clientes VPN sea mediante RADIUS:http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_3.jpg
ahora debemos configurar en el servidor NPS  el cliente Radius, en este caso sería el servidor RRAShttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_4.jpg

escribimos un nombre descriptivo, el nombre o dirección IP del cliente radius y la clave compartida entre ambos
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_5.jpg
también debemos seleccionar que el cliente Radius es compatible con NAPhttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_6.jpg
Una vez que hemos configurado el cliente y servidor radius respectivamente, vamos a comenzar con la configuración de NAP. Seleccionamos el servidor de NPS (Local) y en la parte derecha pulsamos en Configurar NAP y continuamos con el asistente
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_7.jpg
seleccionamos como método de conexión de red la opción Red privada virtual (VPN), escribimos un nombre para esta directiva y pulsamos en Siguientehttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_8.jpg
agregamos el cliente radius (RRAS) que utilizarán esta directiva y pulsamos en Siguientehttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_9.jpg
agregamos el grupo de usuarios que tendrán acceso mediante VPN (ACL NPS VPN Usuarios) y pulsamos en Siguientehttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_10.jpg
ahora debemos seleccionar el certificado que utilizará el servidor para presentarle a los clientes VPN, sino es el que tiene seleccionado por defecto podemos elegir otro diferente. Además, seleccionaremos como se autenticarán los usuarios, en nuestro caso elegimos Tarjeta inteligente u otro certificado (EAP-TLS) y pulsamos en Siguientehttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_11.jpg
ahora debemos seleccionar los servidores de actualizaciones (WSUS) que tengamos disponibles para los equipos que no superen las SHV y también la URL de Ayuda si disponemos de ella

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_12.jpg
como no teníamos configurado el grupo de servidor de actualizaciones configurados, vamos a hacerlo sobre la marcha y pulsamos en Grupo Nuevo y añadimos nuestro servidor de actualizaciones

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_13.jpg
una vez configurado el grupo de servidores de actualizaciones pulsamos en Siguiente
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_14.jpg
ahora tenemos que indicarle que ocurrirá si el cliente cumple o no los requisitos de NAP, además habilitamos la corrección automática de equipos cliente. Y los clientes que no cumplan con NAP no se les permitirá acceso a la red de la empresa y pulsamos en Siguiente
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_15.jpg
ahora nos muestra el resumen de lo que hemos ido configurando y pulsamos en finalizarhttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_16.jpg
Si ahora revisamos las directivas de red veremos que tenemos tres creadas desde el asistente anterior:http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_17.jpg

Vamos a ver cada una de las directivas:

NAP VPN Compatible

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_18.jpg
como vemos tenemos configurada la directiva de mantenimiento NAP VPN Compatiblehttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_19.jpg
ahora veremos la directiva de mantenimiento para que veáis la configuración de la misma, para poder conectarse con esta directiva de mantenimiento debe cumplir todas las comprobaciones de SHV

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_20.jpghttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_21.jpg

Debemos seleccionar el método de autenticación desde el botón Agregar y seleccionamos**  Microsoft: Tarjeta inteligente u otro certificado** y desmarcamos el resto de métodos que viene seleccionados por defecto (MS-CHAP-v2 y MS-CHAP)http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_22.jpg
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_23.jpg
ahora revisamos las opciones de Cumplimiento NAP y por defecto está seleccionado Permitir acceso completo a la red y Habilitar corrección automática de equipo clienthttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_24.jpg

NAP VPN No Compatible

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_25.jpg

como vemos tenemos configurada la directiva de mantenimiento NAP VPN No Compatiblehttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_26.jpg

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_27.jpghttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_21.jpg
La configuración de autenticación es la misma en todas las directivas, por lo que vamos directamente a la Configuración NAP y ahora pulsamos en Configurarhttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_28.jpg
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_29.jpg

NAP VPN No Compatible con NAP

La configuración de esta directiva es igual que la NAP VPN No Compatible con la diferencia que en la configuración de compatibilidad con NAP se ha seleccionado que El equipo no es compatible con NAP. El resto de configuración es exactamente la misma que la directiva anterior.

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_30.jpg

Ahora debemos configurar el cliente que se conectará al servidor VPN, pero antes de configurar la conexión VPN debemos tener configurado los siguientes servicios en los equipos que se conectarán a la VPN:

 

Iniciar el servicio Agente de Protección de acceso a redes y cambiarla el Tipo de Inicio a Automático

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_31.jpg

Iniciar el servicio Centro de seguridad

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_32.jpg
y por último debemos habilitar el Cliente de aplicación de cuarentena de EAP desde la Configuración del cliente NAP (Inicio - Ejecutar - napclcfg.msc)http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_33.jpg

Como la máquina la cual he configurado el cliente VPN no está en el dominio, tengo que instalar el certificado raíz de confianza y el certificado personal del usuario. Yo he configurado una CA interna en mi DC y solicitaré ambos certificados desde el servidor Web de la CA. Accedemos al servidor WEB y nos autenticamos con los datos del usuario con el que nos vamos a conectar a la VPN, para que el certificado que nos emita será para dicho usuario:http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_38.jpg

Primero vamos a instalar la CA, para ello debéis hacerlo de la siguiente forma

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_39.jpg
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_40.jpg

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_41.jpg
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_42.jpg
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_43.jpg
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_44.jpg
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_45.jpg

Ahora vamos a solicitar en línea el certificado de usuario, para ello abrimos la misma URL pero elegimos otras opciones

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_46.jpg
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_47.jpg
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_48.jpg
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_49.jpg
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_50.jpg

Una vez que ha finalizado la solicitud e instalación del certificado vamos a verificar que lo tenemos instalado, para ello abrimos Internet Explorer y vamos a Herramientas - Opciones de Internet - Contenido - Certificados
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_51.jpg

Ahora si podemos proceder a configurar la conexión VPN, para ello vamos a la Centro de Redes y Recursos Compartidos y creamos una configuración de red con la siguiente configuración

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_34.jpghttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_35.jpg
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_36.jpghttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_37.jpg

Ahora debemos probar la conexión VPN para verificar que autentica y conecta  correctamente, pero como no tengo antivirus estoy restringido

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_52.jpg

Desde la consola del RRAS también puedo ver la conexión del cliente VPN y su estadohttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_60.jpg

Si ahora instalo el antivirus y pruebo a conectarme pero sigo sin poder conectarme y estoy "registringido" porque aún no he actualizado el antivirus

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_53.jpg

si actualizo el antivirus y vuelvo a conectarme ahora sí cumplo todos los requisitos
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_54.jpg

como hemos hecho antes podemos verificar los clientes conectados y su estado desde el RRAShttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_61.jpg

por supuesto tengo acceso a los recursos internos de la empresa

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_59.jpg

Si ahora que estoy conectado desactivo el antivirus el sistema me alertará de que estoy registringido restringido y me muestra cual es la razón

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_55.jpg

Si pulsamos en Más información nos llevará a la web de soporte que hemos configurado anteriormente (yo he puesto la página por defecto del IIS pero vosotros deberíais poner una web de ayuda)

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_56.jpg

Antes de conectaros  la VPN podéis comprobar el estado de vuestro equipo desde el Centro de Actividades (http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_58.jpg)

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/vpn_sstp_nap_57.jpg

Como veis podemos hacer muchas cosas y muy interesantes, además podemos hacer filtros IP, etc.. Es bastante sencillo y rápido de configurar, además es muy útil no solo para conexiones VPN sino también para DirectAccess, Redes Inalámbricas, DHCP, etc... casi todo lo que queráis implementar con NPS es posible implementarle NAP