Hola, ¿qué respuestas necesitas?
Imprimir

Conectando Sitios por VPN (Site to Site VPN)

Una de las más usadas configuraciones en la pequeña y mediana empresa es conectar los diferentes sitios geográficos que poseen a través de Internet usando VPNs. No es en general la mejor de todas las opciones pero es la que está al alcance en forma económica para todos los presupuestos

Hace ya un tiempo hice una nota similar pero con Windows Server 2008-R2, y me he decidido a hacer esta con Windows Server 2012 porque hay varias diferencias y por supuesto mejoras

 

Aprovecharé también, y ya que es lo más común en la pequeña empresa que al tener poca disponibilidad de servidores, utilicen el mismo equipo para hacer la VPN y proveer conectividad a Internet a los clientes

Es un opcional si quieren hacerlo esto último, sólo lo mostraré porque está prácticamente incluido en la configuración objeto, esto es conectar dos sitios geográficos diferentes a través de VPN, y por su uso generalizado

Lo que sí es importante, es que estos servidores que crearán la conexión no sean Controladores de Dominio ya que es un riesgo muy grande de seguridad

Inclusive, y por seguridad, en la configuración que mostraré, los dos servidores VPN no pertenecerán a ningún Dominio, simplemente estarán en grupo de trabajo (Workgroup), ya que durante la autenticación se usarán cuentas locales, y en caso de compromiso de las mismas, no es lo mismo una cuenta local de un servidor que una del Dominio

Veamos el diagrama con las máquinas que utilizaremos. La máquina ISP es totalmente opcional y se utilizará sólo si quieren asegurarse que la conexión compartida a Internet funciona bien

El hecho de estar usando un Controlador de Dominio, es sólo porque luego usaré la misma infraestructura para una nota que incluya la configuración de Sitios de Active Directory. Lo mismo vale para DC2 que en realidad es, por ahora sólo un servidor miembro del Dominio, pero no es Controlador de Dominio

De todas formas repasemos la configuración de las máquina utilizadas

DC1 – Windows Server 2012
Nombre: dc1.root.guillermod.com.ar
Dirección IP 192.168.1.201/24 (/24 = 255.255.255.0)
Default Gateway 192.168.1.254
Controlador de Dominio (no necesario para esta demostración)

VPN1 – Windows Server 2012
Nombre: VPN1
Interfaz Interna:
Dirección IP 192.168.1.254/24
Interfaz Externa:
Dirección IP 131.107.0.1/16
Deshabilitados todos los protocolos, salvo TCP/IPv4
Deshabilitado NetBIOS sobre TCP/IP
No tiene ningún Default Gateway (Puerta de Enlace)

ISP – Windows Server 2012 (Opcional)
Nombre: ISP
Dirección IP 131.107.0.100/16
Instalado Web Server, sin ninguna configuración extra

VPN2 – Windows Server 2012
Nombre: VPN2
Interfaz Interna:
Dirección IP 192.168.2.254/24
Interfaz Externa:
Dirección IP 131.107.0.2/16
Deshabilitados todos los protocolos, salvo TCP/IPv4
Deshabilitado NetBIOS sobre TCP/IP
No tiene ningún Default Gateway (Puerta de Enlace)

DC2 – Windows Server 2012
Nombre: dc2.root.guillermod.com.ar
Dirección IP 192.168.2.202/24
Default Gateway 192.168.2.254
Servidor miembro del Dominio (no necesario para esta demostración)

 

IMPORTANTE: estos pasos los debemos ejecutar tanto en VPN1 como en VPN2

Comenzaremos agregando los roles necesarios de la forma habitual

Acá vemos una de las diferencias con Windows 2008-R2 ahora está dentro de un rol nuevo “Remote Access”

Por supuesto que agregamos la funcionalidad adicional requerida
Para el que le interese el tema, a mi sí, vean los comentaros que ya hice en la nota Compartir Conexión a Internet sobre la instalación forzada del IIS 🙁

Si quieren configurar también el acceso compartido a Internet, deben marcar además la opción “Routing”

Cuando finaliza la instalación nos ofrece, y aceptaremos, la configuración mediante asistente

Demorará unos momentos en aparecer el siguiente cuadro, y revisen porque a veces queda tapado por otra ventana. Como no implementaremos en esta ocasión Direct Access, marcamos la tercera opción

Nos abrirá la consola de “Routing and Remote Access” donde procederemos a la configuración, usando el asistente que accedemos con botón derecho

Si conjuntamente con VPN quieren configurar el uso compartido de Internet sigan el asistente. Si no les interesara el compartir Internet, marque la primera opción “Remote access (Dial-up or VPN)”

Muy importante, marquen cuál es la interfaz externa (la que conecta a Internet)

Debemos asignar el rango de direcciones IP que se asignarán a la VPN, como siempre yo prefiero un rango separado de la red

Se van a necesitar dos redes VPN, una para la conexión desde BAires (Buenos Aires) hacia Mendoza, y otra para Mendoza hacia BAires

Por lo tanto:
En VPN1 elegí 172.16.0.1 a 172.16.0.2
En VPN2 elegí 172.17.0.1 a 172.17.0.2

Una dirección del rango la necesita el servidor que recibe la VPN, y otra para asignarsela al servidor que se conecta.
Por lo tanto tomando sólo 2 IPs me aseguro que no se pueda conectar otro. Si tuvieran más de un sitio, o esperaran que se conecten usuarios deberían asignar más direcciones al rango: una para el servidor y una más por cada conexión esperada

Como lo usaré en un ambiente de Dominio Active Directory me tengo que asegurar que no interfiera en la resolución de nombres, ni en la asignación de IPs, por lo tanto elijo la segunda opción

Por supeusto que en este caso no usaremos RADIUS

Ya podrían probar el acceso desde DC1 al servidor web ISP, yo lo mostraré al final, cuando probamos todo

Atención que ahora viene la parte más delicada, y donde se suelen cometer los errores. Por ahora lo único que hemos hecho es la instalación y configuración de los servidores VPN, ahora necesitamos configurar las conexiones entre los dos sitios

Vamos a aclara algunas cosas para que luego resulte sencillo seguir los procedimientos

Yo estoy usando para la demostración dos sitios: BAires y Mendoza.
Y necesitaremos dos redes VPN: una desde BAires hacia Mendoza, y otra desde Mendoza hacia BAires ¿estamos de acuerdo? 😉
Por lo tanto tengo que establecer credenciales para cada una de las conexiones

Cuando BAires llame a Mendoza (VPN1 llame a VPN2) utilizará un nombre de usuario local que debe ser autenticado y autorizado por VPN2.

El nombre de la conexión será el nombre de la cuenta usada para validar

O sea, cuando BAires llame, usará el usuario BAires (con contraseña) que debe ser una cuenta válida y autorizada para acceso remoto en VPN2
En VPN1 debo crear una conexión llamada BAires, y en VPN2 debe haber una cuenta local llamada BAires autorizada para VPN

Así mismo, cuando Mendoza llame a BAires, usará una conexión llamada Mendoza, cuenta que debe estar creada y autorizada en Baires

Como lo anterior no fácil de comprender hasta que uno lo hace, a partir de este momento configuraremos en forma separada cada servidor

 

Lo siguiente solamente en VPN1

Debemos crear la conexión, comencemos en VPN1 creando la conexión hacia Mendoza

Y si deseamos que Mendoza también pueda inciar conexión marcamos “Add a user account so a remote router can dial in”

El próximo paso nos preguntará por la red de destino, para agregar la correspondiente entrada en la tabla de ruteo. Agregamos la red que estamos usando en Mendoza

Ahora nos solicita las credenciales que utilizará Mendoza cuando llame a BAires. Con esto creará en VPN1 una cuenta local autorizada para acceder por VPN
Debemos asignarle la contraseña correspondiente

Ahora nos está solicitando las credenciales que usará BAires para conectarse hacia Mendoza. Esta cuenta se deberá crear en VPN2 de Mendoza (lo hace el propio asistente de configuración)

Algo que seguramente necesitemos cambiar: que la tome como conexión permanente, esto es que no la desconecte por falta de actividad, lo que en muchos casos acarrearía que cambiara la dirección IP y tengamos que hacer el cambio en la interfaz.

Es altamente conveniente que veamos con el ISP de tener conexiones con IP fija

Dejamos VPN1, y vamos a VPN2

Lo siguiente solamente en VPN2

El proceso de configuración es totalmente análogo, salvo algunas pantallas donde indicaré los cambios respecto a lo hecho en VPN1

Estuvimos nombrando que hay que crear cuentas locales tanto en VPN1 como en VPN2 (Mendoza y BAires respectivamente). En versiones anteriores del sistema operativo esto debíamos hacerlo en este momento, pero con Windows Server 2012 esto ya lo ha hecho el asistente anterior

Si entramos en Computer Management de cada servidor veremos que se han creado las cuentas, y se les han marcado las opciones que no caduque la contraseña y que puedan ingresar por VPN

Muestro la cuenta creada en VPN1 (BAires), pero es análogo en VPN2 (Mendoza)

Bueno, esto llegó hasta acá, ya tenemos dos sitios conectados por VPN y verificada tanto la conectividad entre los sitios como el acceso a Internet

Esta estructura la usaré en la siguiente nota, donde procederemos a promocionar a DC2 como Controlador de Dominio del Dominio existente, y lo más importante crearemos la estructura de Sites, Subnets y Links necesaria para el correcto funcionaiento de nuestro Dominio