Compartir a través de

Tutorial: Implementación de la infraestructura vpn de AlwaysOn

VPN AlwaysOn es una solución de acceso remoto en Windows Server que proporciona conectividad perfecta y segura para los usuarios remotos a redes corporativas. Admite métodos de autenticación avanzados e se integra con la infraestructura existente, ofreciendo una alternativa moderna a las soluciones de VPN tradicionales. En este tutorial se inicia la serie para implementar VPN AlwaysOn en un entorno de ejemplo.

En este tutorial, aprenderá a implementar una infraestructura de ejemplo para conexiones VPN AlwaysOn para equipos cliente Windows unidos a un dominio remoto. Para crear una infraestructura de ejemplo, haga lo siguiente:

  • Cree un controlador de dominio de Active Directory.
  • Configurará la directiva de grupo para la inscripción automática de certificados.
  • Cree un servidor de directivas de red (NPS).
  • Cree un servidor VPN.
  • Cree un usuario y un grupo de VPN.
  • Configure el servidor VPN como cliente RADIUS.
  • Configure el servidor NPS como servidor RADIUS.

Para más información sobre VPN AlwaysOn, incluidas las integraciones admitidas, las características de seguridad y conectividad, consulte Introducción a VPN AlwaysOn.

Requisitos previos

Para completar los pasos de este tutorial, debe cumplir los siguientes requisitos previos:

  • Tres servidores (físicos o virtuales) que ejecutan una versión compatible de Windows Server. Estos servidores son el controlador de dominio, el servidor NPS y el servidor VPN.

  • El servidor que use para el servidor NPS necesita dos adaptadores de red físicos instalados: uno para conectarse a Internet y otro para conectarse a la red donde se encuentra el controlador de dominio.

  • Una cuenta de usuario en todas las máquinas que sea miembro del grupo de seguridad Administradores local o equivalente.

Importante

No se admite el uso de acceso remoto en Microsoft Azure. Para más información, consulte Soporte técnico de software de servidor de Microsoft para máquinas virtuales de Microsoft Azure.

Creación del controlador de dominio

  1. En el servidor que desea ser el controlador de dominio, instale Active Directory Domain Services (AD DS). Para obtener información detallada sobre cómo instalar AD DS, consulte Instalación de Active Directory Domain Services.

  2. Promueva el Windows Server a controlador de dominio. En este tutorial, creará un nuevo bosque y el dominio para ese nuevo bosque. Para obtener información detallada sobre cómo instalar el controlador de dominio, consulte Instalación de AD DS.

  3. Instale y configure la Autoridad de certificación (CA) en el controlador de dominio. Para obtener información detallada sobre cómo instalar la entidad de certificación, consulte Instalación de la entidad de certificación.

Configuración de la directiva de grupo para la inscripción automática de certificados

En esta sección, creará una directiva de grupo en el controlador de dominio para que los miembros del dominio soliciten automáticamente certificados de usuario y equipo. Esta configuración permite a los usuarios vpn solicitar y recuperar certificados de usuario que autentican automáticamente las conexiones VPN. Esta directiva también permite al servidor NPS solicitar certificados de autenticación de servidor automáticamente.

  1. En el controlador de dominio, abra la consola de administración de directivas de grupo.

  2. En el panel izquierdo, haga clic con el botón derecho en el dominio (por ejemplo, corp.contoso.com). Seleccione Crear un GPO en este dominio y vincularlo aquí.

  3. En el cuadro de diálogo Nuevo GPO , en Nombre, escriba Directiva de inscripción automática. Seleccione Aceptar.

  4. En el panel izquierdo, haga clic con el botón derecho en Directiva de inscripción automática. Seleccione Editar para abrir el Editor de administración de directiva de grupo.

  5. En el Editor de administración de directivas de grupo, complete los pasos siguientes para configurar la inscripción automática de certificados de equipo:

    1. Vaya a Configuración del equipo>Directivas>Configuración de Windows>Opciones de seguridad>Directivas de clave pública.

    2. En el panel de detalles, haga clic con el botón derecho en Cliente de Servicios de certificados: Inscripción automática. Seleccione Propiedades.

    3. En el cuadro de diálogo Cliente de Servicios de certificados: propiedades de inscripción automática, en Modelo de configuración, seleccione Habilitado.

    4. Seleccione Renovar certificados expirados, actualizar certificados pendientes y quitar certificados revocados y Actualizar certificados que usan plantillas de certificado.

    5. Seleccione Aceptar.

  6. En el Editor de administración de directivas de grupo, complete los pasos siguientes para configurar la inscripción automática de certificados de usuario:

    1. Vaya a Configuración de usuario>Directivas>Configuración de Windows>Configuración de seguridad>Directivas de clave pública.

    2. En el panel de detalles, haga clic con el botón derecho en Cliente de Servicios de certificados: inscripción automática y seleccione Propiedades.

    3. En el cuadro de diálogo Cliente de Servicios de certificados: propiedades de inscripción automática, en Modelo de configuración, seleccione Habilitado.

    4. Seleccione Renovar certificados expirados, actualizar certificados pendientes y quitar certificados revocados y Actualizar certificados que usan plantillas de certificado.

    5. Seleccione Aceptar.

    6. Cierre el Editor de administración de directivas de grupo.

  7. Aplique la directiva de grupo a usuarios y equipos del dominio.

  8. Cierre la consola de Administración de directivas de grupo.

Creación del servidor NPS

  1. En el servidor en el que desea que actúe como servidor NPS, instale el rol Servicios de directiva de red y acceso (NPS). Para obtener información detallada sobre cómo instalar NPS, consulte Instalación del servidor de directivas de red.

  2. Registre el servidor NPS en Active Directory. Para obtener información sobre cómo registrar el servidor NPS en Active Directory, vea Registrar un NPS en un Dominio de Active Directory.

  3. Asegúrese de que los firewalls permiten el tráfico necesario para que las comunicaciones VPN y RADIUS funcionen correctamente. Para más información, consulte Configurar firewalls para el tráfico RADIUS.

  4. Creación del grupo de servidores NPS:

    1. En el controlador de dominio, abra Usuarios y equipos de Active Directory.

    2. En el dominio, haga clic con el botón derecho en Equipos. Seleccione Nuevo y, después, Grupo.

    3. En Nombre de grupo, escriba Servidores NPS y seleccione Aceptar.

    4. Haga clic con el botón derecho en Servidores NPS y seleccione Propiedades.

    5. En la pestaña Miembros del cuadro de diálogo Propiedades de los servidores NPS, seleccione Agregar.

    6. Seleccione Tipos de objeto, active la casilla Equipos y, a continuación, seleccione Aceptar.

    7. En Escriba los nombres de objeto que se van a seleccionar, escriba el nombre de host del servidor NPS. Seleccione Aceptar.

    8. Cierre Usuarios y equipos de Active Directory.

Creación del servidor VPN

  1. Para el servidor que ejecuta el servidor VPN, asegúrese de que la máquina tiene dos adaptadores de red físicos instalados: uno para conectarse a Internet y otro para conectarse a la red donde se encuentra el controlador de dominio.

  2. Identifique qué adaptador de red se conecta a Internet y qué adaptador de red se conecta al dominio. Configure el adaptador de red orientado a Internet con una dirección IP pública, mientras que el adaptador orientado a la intranet puede usar una dirección IP de la red local.

  3. Para el adaptador de red que se conecta al dominio, establezca la dirección IP preferida de DNS en la dirección IP del controlador de dominio.

  4. Una el servidor VPN al dominio. Para obtener información sobre cómo unir un servidor a un dominio, vea Unir un servidor a un dominio.

  5. Abra las reglas de firewall para permitir que los puertos UDP 500 y 4500 entrantes a la dirección IP externa se apliquen en la interfaz pública del servidor VPN. Para el adaptador de red que se conecta al dominio, permita los siguientes puertos UDP: 1812, 1813, 1645 y 1646.

  6. Cree el grupo de servidores VPN:

    1. En el controlador de dominio, abra Usuarios y equipos de Active Directory.

    2. En el dominio, haga clic con el botón derecho en Equipos. Seleccione Nuevo y, después, Grupo.

    3. En Nombre de grupo, escriba Servidores VPN y seleccione Aceptar.

    4. Haga clic con el botón derecho en Servidores VPN y seleccione Propiedades.

    5. En la pestaña Miembros del cuadro de diálogo Propiedades de los servidores VPN, seleccione Agregar.

    6. Seleccione Tipos de objeto, active la casilla Equipos y, a continuación, seleccione Aceptar.

    7. En Escriba los nombres de objeto que se van a seleccionar, escriba el nombre de host del servidor VPN. Seleccione Aceptar.

    8. Cierre Usuarios y equipos de Active Directory.

  7. Siga los pasos descritos en Instalación del acceso remoto como servidor VPN para instalar el servidor VPN.

  8. Abra Enrutamiento y acceso remoto desde el Administrador del servidor.

  9. Haga clic con el botón derecho en el nombre del servidor VPN y seleccione Propiedades.

  10. En Propiedades, seleccione la pestaña Seguridad y, a continuación, haga lo siguiente:

    1. Seleccione Proveedor de autenticación y seleccione Autenticación RADIUS.

    2. Seleccione Configurar para abrir el cuadro de diálogo Autenticación RADIUS.

    3. Seleccione Agregar para abrir el cuadro de diálogo Agregar servidor RADIUS.

      1. En Nombre del servidor, escriba el nombre de dominio completo (FQDN) del servidor NPS, que también es un servidor RADIUS. Por ejemplo, si el nombre NetBIOS del servidor NPS y del controlador de dominio es nps1 y el nombre de dominio es corp.contoso.com, escriba nps1.corp.contoso.com.

      2. En Secreto compartido, seleccione Cambiar para abrir el cuadro de diálogo Cambiar secreto.

      3. En Nuevo secreto, escriba una cadena de texto.

      4. En Confirmar nuevo secreto, escriba la misma cadena de texto y seleccione Aceptar.

      5. Guarde este secreto. Lo necesita al agregar este servidor VPN como cliente RADIUS más adelante en este tutorial.

    4. Seleccione Aceptar para cerrar el cuadro de diálogo Agregar servidor RADIUS .

    5. Seleccione Aceptar para cerrar el cuadro de diálogo Autenticación RADIUS .

  11. En el cuadro de diálogo Propiedades del servidor VPN, seleccione Métodos de autenticación....

  12. Seleccione Permitir autenticación de certificados de máquina para IKEv2.

  13. Seleccione Aceptar.

  14. En Proveedor de contabilidad, seleccione Contabilidad de Windows.

  15. Seleccione Aceptar para cerrar el cuadro de diálogo de Propiedades.

  16. Un cuadro de diálogo le pide que reinicie el servidor. Seleccione .

Creación de un usuario y un grupo de VPN

  1. Cree un usuario vpn siguiendo estos pasos:

    1. En el controlador de dominio, abra la consola Usuarios y equipos de Active Directory .
    2. En el dominio, haga clic con el botón derecho en Usuarios. Seleccione Nueva. En Nombre de inicio de sesión de usuario, escriba cualquier nombre. Seleccione Next (Siguiente).
    3. Elija una contraseña para el usuario.
    4. Quite la selección de El usuario debe cambiar la contraseña en el siguiente inicio de sesión. Seleccione La contraseña nunca expira.
    5. Seleccione Finalizar. Mantenga abierto Usuarios y equipos de Active Directory.

  2. Cree un grupo de usuarios vpn siguiendo estos pasos:

    1. En el dominio, haga clic con el botón derecho en Usuarios. Seleccione Nuevo y, después, Grupo.
    2. En Nombre de grupo, escriba Usuarios de VPN y seleccione Aceptar.
    3. Haga clic con el botón derecho en Usuarios de VPN y seleccione Propiedades.
    4. En la pestaña Miembros del cuadro de diálogo Propiedades de los usuarios de VPN, seleccione Agregar.
    5. En el cuadro de diálogo Seleccionar usuarios, agregue el usuario de VPN que creó y seleccione Aceptar.

Configuración del servidor VPN como cliente RADIUS

  1. En el servidor NPS, abra las reglas de firewall para permitir los puertos UDP 1812, 1813, 1645 y 1646 entrantes, incluido el Firewall de Windows.

  2. Abra la consola del servidor de directivas de red .

  3. En la consola de NPS, haga doble clic en Clientes y servidores RADIUS

  4. Haga clic con el botón derecho en Clientes RADIUS y seleccione Nuevo para abrir el cuadro de diálogo Nuevo cliente RADIUS .

  5. Compruebe que la casilla Habilitar este cliente RADIUS está activada.

  6. En Nombre descriptivo, escriba un nombre para mostrar para el servidor VPN.

  7. En Dirección (IP o DNS), escriba la dirección IP o el FQDN del servidor VPN.

    Si escribe el FQDN, seleccione Comprobar si desea comprobar que el nombre es correcto y se asigna a una dirección IP válida.

  8. En Secreto compartido:

    1. Asegúrese de que la opción Manual está seleccionada.
    2. Escriba el secreto que creó en la sección Creación del servidor VPN.
    3. En Confirmar secreto compartido, vuelva a escribir el secreto compartido.

  9. Seleccione Aceptar. El servidor VPN debería aparecer en la lista de clientes RADIUS configurados en el servidor NPS.

Configuración del servidor NPS como servidor RADIUS

  1. Registre un certificado de servidor para el servidor NPS, con un certificado que cumpla los requisitos de Configurar plantillas de certificado para los requisitos de PEAP y EAP. Para comprobar que los servidores de directivas de red (NPS) están inscritos con un certificado de servidor de la entidad de certificación (CA), consulte Comprobar la inscripción de un certificado de servidor.

  2. En la consola NPS, seleccione NPS (Local).

  3. En Configuración estándar, asegúrese de que está seleccionado el servidor RADIUS para las conexiones de acceso telefónico o VPN .

  4. Seleccione Configurar VPN o Acceso telefónico para abrir el Asistente para configurar VPN o acceso telefónico .

  5. Seleccione Conexiones de red privada virtual (VPN) y, a continuación, seleccione Siguiente.

  6. En Especificar servidor de acceso telefónico o VPN, en Clientes RADIUS, seleccione el nombre del servidor VPN.

  7. Seleccione Next (Siguiente).

  8. En Configurar métodos de autenticación, complete los pasos siguientes:

    1. Borre la autenticación cifrada de Microsoft versión 2 (MS-CHAPv2).

    2. Seleccione Protocolo de autenticación extensible.

    3. En Tipo, seleccione Microsoft: Protected EAP (PEAP). A continuación, seleccione Configurar para abrir el cuadro de diálogo Editar propiedades de EAP protegidas .

    4. Seleccione Quitar para quitar el tipo de EAP Contraseña segura (EAP-MSCHAP v2).

    5. Seleccione Agregar. Se abre el cuadro de diálogo Agregar EAP.

    6. Seleccione Tarjeta inteligente u otro certificado y, a continuación, seleccione Aceptar.

    7. Seleccione Aceptar para cerrar Editar propiedades de EAP protegido.

  9. Seleccione Next (Siguiente).

  10. En Especificar grupos de usuarios, complete los pasos siguientes:

    1. Seleccione Agregar. Se abre el cuadro de diálogo Seleccionar usuarios, equipos, cuentas de servicio o grupos .

    2. Escriba Usuarios de VPN y, a continuación, seleccione Aceptar.

    3. Seleccione Next (Siguiente).

  11. En Especificar filtros IP, seleccione Siguiente.

  12. En Especificar configuración de cifrado, seleccione Siguiente. No realice ningún cambio.

  13. En Especificar un nombre de dominio kerberos, seleccione Siguiente.

  14. Seleccione Finalizar para cerrar el asistente.

Paso siguiente

Una vez que ha creado su infraestructura de ejemplo, está listo para empezar a configurar su entidad de certificación.

Tutorial: Configuración de plantillas de entidad de certificación para VPN AlwaysOn