Tutorial: Implementación de Always On VPN: configuración de la infraestructura para Always On VPN
En este tutorial, aprenderá a implementar conexiones VPN de Always On para equipos cliente unidos a un dominio remoto de Windows. Creará una infraestructura de ejemplo que muestra cómo implementar un proceso de conexión Always On VPN. El proceso consta de los siguientes pasos:
El cliente VPN de Windows usa un servidor DNS público para realizar una consulta de resolución de nombres para la dirección IP de la puerta de enlace de VPN.
El cliente VPN usa la dirección IP que DNS devuelve para enviar una solicitud de conexión a la puerta de enlace de VPN.
El servidor VPN también está configurado como cliente de Servicio de autenticación remota telefónica de usuario (RADIUS); el cliente RADIUS de VPN envía la solicitud de conexión al servidor NPS para el procesamiento de solicitudes de conexión.
El servidor NPS procesa la solicitud de conexión, incluida la realización de la autorización y la autenticación y determina si se debe permitir o denegar dicha solicitud.
El servidor NPS reenvía una respuesta de aceptación de acceso o de rechazo de acceso al servidor VPN.
La conexión se inicia o finaliza en función de la respuesta que el servidor VPN recibió del servidor NPS.
Requisitos previos
Para completar los pasos de este tutorial,
Necesitará acceso a cuatro equipos físicos o máquinas virtuales (VM).
Asegúrese de que la cuenta de usuario de todas las máquinas sea miembro de Administradores o equivalente.
Importante
No se admite el uso del acceso remoto en Microsoft Azure, incluida la VPN de acceso remoto y DirectAccess. Para más información, consulte Soporte técnico de software de servidor de Microsoft para máquinas virtuales de Microsoft Azure.
Creación del controlador de dominio
Instale Windows Server en el equipo que ejecutará el controlador de dominio.
Instale Active Directory Domain Services (AD DS). Para obtener información detallada sobre cómo instalar AD DS, consulte Instalación de Active Directory Domain Services.
Promueva el Windows Server a controlador de dominio. En este tutorial, creará un nuevo bosque y el dominio en ese nuevo bosque. Para obtener información detallada sobre cómo instalar el controlador de dominio, consulte Instalación de AD DS.
Instale y configure la Autoridad de certificación (CA) en el controlador de dominio. Para obtener información detallada sobre cómo instalar la entidad de certificación, consulte Instalación de la entidad de certificación.
Creación de una directiva de grupo de Active Directory
En esta sección, creará una directiva de grupo en el controlador de dominio para que los miembros del dominio soliciten automáticamente certificados de usuario y de ordenador. Esta configuración permite a los usuarios de VPN solicitar y recuperar certificados de usuario que autentican automáticamente las conexiones VPN. Esta directiva también permite al servidor NPS solicitar certificados de autenticación de servidor automáticamente.
Desde el controlador de dominio, abra Administración de directivas de grupo.
En el panel izquierdo, haga clic con el botón derecho en el dominio (por ejemplo, corp.contoso.com). Seleccione Crear un GPO en este dominio y vincularlo aquí.
En el cuadro de diálogo Nuevo GPO, en Nombre, escriba Directiva de inscripción automática. Seleccione Aceptar.
En el panel izquierdo, haga clic con el botón derecho en Directiva de inscripción automática. Seleccione Editar para abrir el Editor de administración de directiva de grupo.
En el Editor de administración de directiva de grupo, complete los pasos siguientes para configurar la inscripción automática de certificados de equipo:
En el panel izquierdo, vaya a Configuración del equipo>Directivas >Configuración de Windows>Configuración de seguridad>Directivas de clave pública.
En el panel de detalles, haga clic con el botón derecho en Cliente de Servicios de certificados: Inscripción automática. Seleccione Propiedades.
En el cuadro de diálogo Cliente de Servicios de certificados: propiedades de inscripción automática, en Modelo de configuración, seleccione Habilitado.
Seleccione Renovar certificados expirados, actualizar certificados pendientes y quitar certificados revocados y Actualizar certificados que usan plantillas de certificado.
Selecciona Aceptar.
En el Editor de administración de directiva de grupo, complete los pasos siguientes para configurar la inscripción automática de certificados de usuario:
En el panel izquierdo, vaya a Configuración del usuario>Directivas >Configuración de Windows>Configuración de seguridad>Directivas de clave pública.
En el panel de detalles, haga clic con el botón derecho en Cliente de Servicios de certificados: inscripción automática y seleccione Propiedades.
En el cuadro de diálogo Cliente de Servicios de certificados: propiedades de inscripción automática, en Modelo de configuración, seleccione Habilitado.
Seleccione Renovar certificados expirados, actualizar certificados pendientes y quitar certificados revocados y Actualizar certificados que usan plantillas de certificado.
Selecciona Aceptar.
Cierre el Editor de administración de directivas de grupo.
Cierre Administración de directivas de grupo.
Creación del servidor NPS
Instale Windows Server en el equipo que ejecutará el servidor NPS.
En el servidor NPS, instale el rol Servicios de acceso y directivas de red (NPS). Para obtener información detallada sobre cómo instalar NSP, consulte Instalación del servidor de directivas de red.
Registre el servidor NPS en Active Directory. Para obtener información sobre cómo registrar el servidor NPS en Active Directory, vea Registrar un NPS en un Dominio de Active Directory.
Asegúrese de que los firewalls permiten el tráfico necesario para que las comunicaciones VPN y RADIUS funcionen correctamente. Para más información, consulte Configurar firewalls para el tráfico RADIUS.
Creación del grupo de servidores NPS:
En el controlador de dominio, abra Usuarios y equipos de Active Directory.
En el dominio, haga clic con el botón derecho en Equipos. Seleccione Nuevo y, después, Grupo.
En Nombre de grupo, escriba Servidores NPS y seleccione Aceptar.
Haga clic con el botón derecho en Servidores NPS y seleccione Propiedades.
En la pestaña Miembros del cuadro de diálogo Propiedades de los servidores NPS, seleccione Agregar.
seleccione Tipos de objeto, seleccione la casilla Equipos y, después, Aceptar.
En Escriba los nombres de objeto que quiere seleccionar, escriba el nombre del equipo del servidor NPS. Seleccione Aceptar.
Cierre Usuarios y equipos de Active Directory.
Creación del servidor VPN
Instale Windows Server en el equipo que ejecutará el servidor VPN. Asegúrese de que la máquina tiene instalados dos adaptadores de red físicos: uno para conectarse a Internet y otro para conectarse a la red donde se encuentra el controlador de dominio.
Identifique qué adaptador de red se conecta a Internet y qué adaptador de red se conecta al dominio. Configure el adaptador de red orientado a Internet con una dirección IP pública, mientras que el adaptador orientado a la intranet puede usar una dirección IP de la red local.
Para el adaptador de red que se conecta al dominio, establezca la dirección IP preferida de DNS en la dirección IP del controlador de dominio.
Una el servidor VPN al dominio. Para obtener información sobre cómo unir un servidor a un dominio, vea Unir un servidor a un dominio.
Abra las reglas de firewall para permitir que los puertos UDP 500 y 4500 entrantes a la dirección IP externa se apliquen en la interfaz pública del servidor VPN.
En el adaptador de red que se conecta al dominio, habilite los siguientes puertos: UDP1812, UDP1813, UDP1645 y UDP1646.
Cree el grupo de servidores VPN:
En el controlador de dominio, abra Usuarios y equipos de Active Directory.
En el dominio, haga clic con el botón derecho en Equipos. Seleccione Nuevo y, después, Grupo.
En Nombre de grupo, escriba Servidores VPN y seleccione Aceptar.
Haga clic con el botón derecho en Servidores VPN y seleccione Propiedades.
En la pestaña Miembros del cuadro de diálogo Propiedades de los servidores VPN, seleccione Agregar.
seleccione Tipos de objeto, seleccione la casilla Equipos y, después, Aceptar.
En Escriba los nombres de objeto que quiere seleccionar, escriba el nombre del equipo del servidor VPN. Seleccione Aceptar.
Cierre Usuarios y equipos de Active Directory.
Siga los pasos descritos en Instalación del acceso remoto como servidor VPN para instalar el servidor VPN.
Abra la herramienta Enrutamiento y acceso remoto desde el Administrador del servidor.
Haga clic con el botón derecho del ratón en el servidor VPN y seleccione Propiedades.
En Propiedades, seleccione la pestaña Seguridad y haga lo siguiente:
Seleccione Proveedor de autenticación y seleccione Autenticación RADIUS.
Seleccione Configurar para abrir el cuadro de diálogo Autenticación RADIUS.
Seleccione Agregar para abrir el cuadro de diálogo Agregar servidor RADIUS.
En Nombre del servidor, escriba el nombre de dominio completo (FQDN) del servidor NPS. En este tutorial, el servidor NPS es el servidor del controlador de dominio. Por ejemplo, si el nombre NetBIOS del servidor NPS y del controlador de dominio es dc1 y el nombre de dominio es corp.contoso.com, escriba dc1.corp.contoso.com.
En Secreto compartido, seleccione Cambiar para abrir el cuadro de diálogo Cambiar secreto.
En Nuevo secreto, escriba una cadena de texto.
En Confirmar nuevo secreto, escriba la misma cadena de texto y seleccione Aceptar.
Guarde este secreto. Lo necesitará al agregar este servidor VPN como cliente RADIUS más adelante en este tutorial.
Seleccione Aceptar para cerrar el cuadro de diálogo Agregar servidor RADIUS.
Seleccione Aceptar para cerrar el cuadro de diálogo Autenticación de Radius.
En el cuadro de diálogo Propiedades del servidor VPN, seleccione Métodos de autenticación....
Seleccione Permitir autenticación de certificados de máquina para IKEv2.
Seleccione Aceptar.
En Proveedor de contabilidad, seleccione Contabilidad de Windows.
Seleccione Aceptar para cerrar el cuadro de diálogo de Propiedades.
Un cuadro de diálogo le pedirá que reinicie el servidor. Seleccione Sí.
Creación de un cliente VPN de Windows
Instale Windows 10 o posterior en el equipo que será el cliente VPN.
Una el cliente VPN a su dominio. Para obtener información sobre cómo unir un equipo a un dominio, consulte Unir un equipo a un dominio.
Creación de un usuario y un grupo de VPN
Cree un usuario de VPN siguiendo estos pasos:
En el controlador de dominio, abra Usuarios y equipos de Active Directory.
En el dominio, haga clic con el botón derecho en Usuarios. Seleccione Nueva. En Nombre de inicio de sesión de usuario, escriba cualquier nombre de inicio de sesión. Seleccione Next (Siguiente).
Elija una contraseña para el usuario.
Quite la selección de El usuario debe cambiar la contraseña en el siguiente inicio de sesión. Seleccione La contraseña nunca expira.
Seleccione Finalizar. Mantenga abierto Usuarios y equipos de Active Directory.
Cree un grupo de usuarios de VPN siguiendo estos pasos:
En el dominio, haga clic con el botón derecho en Usuarios. Seleccione Nuevo y, después, Grupo.
En Nombre de grupo, escriba Usuarios de VPN y seleccione Aceptar.
Haga clic con el botón derecho en Usuarios de VPN y seleccione Propiedades.
En la pestaña Miembros del cuadro de diálogo Propiedades de los usuarios de VPN, seleccione Agregar.
En el cuadro de diálogo Seleccionar usuarios, agregue el usuario de VPN que creó y seleccione Aceptar.
Configuración del servidor VPN como cliente RADIUS
En el servidor NPS, abra las reglas de firewall para permitir los puertos UDP 1812, 1813, 1645 y 1646 entrantes.
En la consola de NPS, haga doble clic en Clientes y servidores RADIUS
Haga clic con el botón derecho en Clientes RADIUS y seleccione Nuevo para abrir el cuadro de diálogo Nuevo cliente RADIUS.
Compruebe que la casilla Habilitar este cliente RADIUS está activada.
En Nombre descriptivo, escriba un nombre para mostrar para el servidor VPN.
En Dirección (IP o DNS), escriba la dirección IP o el FQDN del servidor VPN.
Si escribe el FQDN, seleccione Comprobar si desea comprobar que el nombre es correcto y se asigna a una dirección IP válida.
En Secreto compartido:
Asegúrese de que la opción Manual está seleccionada.
Escriba el secreto que creó en la sección Creación del servidor VPN.
En Confirmar secreto compartido, vuelva a escribir el secreto compartido.
Seleccione Aceptar. El servidor VPN debería aparecer en la lista de clientes RADIUS configurados en el servidor NPS.
Configuración del servidor NPS como servidor RADIUS
Nota:
En este tutorial, el servidor NPS se instala en el controlador de dominio con el rol de CA; y no es necesario registrar un certificado de servidor NPS independiente. Sin embargo, en un entorno en el que se instala el servidor NPS en un servidor independiente, se debe inscribir un certificado de servidor NPS antes de poder realizar estos pasos.
En la consola NPS, seleccione NPS(Local).
En Configuración estándar, asegúrese de que esté seleccionada la opción Servidor RADIUS para conexiones VPN o de acceso telefónico.
Seleccione Configurar VPN o Acceso telefónico para abrir el Asistente para la configuración de VPN o acceso telefónico.
Seleccione Conexiones de red privada virtual (VPN) y seleccione Siguiente.
En Especificar servidor VPN o de acceso telefónico, en clientes RADIUS, seleccione el nombre del servidor VPN.
Seleccione Next (Siguiente).
En Configurar métodos de autenticación, complete los pasos siguientes:
Desactive Autenticación cifrada de Microsoft versión 2 (MS-CHAP v2).
Seleccione Protocolo de autenticación extensible.
En Tipo, seleccione Microsoft: Protected EAP (PEAP). A continuación, seleccione Configurar para abrir el cuadro de diálogo Editar propiedades de Protected EAP.
Seleccione Quitar para quitar el tipo de EAP Contraseña segura (EAP-MSCHAP v2).
Seleccione Agregar. Se abre el cuadro de diálogo Agregar EAP.
Seleccione Tarjeta inteligente u otro certificado y, a continuación, seleccione Aceptar.
Seleccione Aceptar para cerrar Editar propiedades de EAP protegido.
Seleccione Next (Siguiente).
En Especificar grupos de usuarios, complete los pasos siguientes:
Seleccione Agregar. Se abre el cuadro de diálogo Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos.
Escriba Usuarios de VPN y, a continuación, seleccione Aceptar.
Seleccione Siguiente.
En Especificar filtros IP, seleccione Siguiente.
En Especificar configuración de cifrado, seleccione Siguiente. No realice ningún cambio.
En Especificar un nombre de dominio kerberos, seleccione Siguiente.
Seleccione Finalizar para cerrar el asistente.
Pasos siguientes
Ahora que ha creado la infraestructura de ejemplo, está listo para configurar la entidad de certificación.