Conectando Sitios por VPN (Site to Site VPN)
Una de las más usadas configuraciones en la pequeña y mediana empresa es conectar los diferentes sitios geográficos que poseen a través de Internet usando VPNs. No es en general la mejor de todas las opciones pero es la que está al alcance en forma económica para todos los presupuestos
Hace ya un tiempo hice una nota similar pero con Windows Server 2008-R2, y me he decidido a hacer esta con Windows Server 2012 porque hay varias diferencias y por supuesto mejoras
Aprovecharé también, y ya que es lo más común en la pequeña empresa que al tener poca disponibilidad de servidores, utilicen el mismo equipo para hacer la VPN y proveer conectividad a Internet a los clientes
Es un opcional si quieren hacerlo esto último, sólo lo mostraré porque está prácticamente incluido en la configuración objeto, esto es conectar dos sitios geográficos diferentes a través de VPN, y por su uso generalizado
Lo que sí es importante, es que estos servidores que crearán la conexión no sean Controladores de Dominio ya que es un riesgo muy grande de seguridad
Inclusive, y por seguridad, en la configuración que mostraré, los dos servidores VPN no pertenecerán a ningún Dominio, simplemente estarán en grupo de trabajo (Workgroup), ya que durante la autenticación se usarán cuentas locales, y en caso de compromiso de las mismas, no es lo mismo una cuenta local de un servidor que una del Dominio
Veamos el diagrama con las máquinas que utilizaremos. La máquina ISP es totalmente opcional y se utilizará sólo si quieren asegurarse que la conexión compartida a Internet funciona bien
El hecho de estar usando un Controlador de Dominio, es sólo porque luego usaré la misma infraestructura para una nota que incluya la configuración de Sitios de Active Directory. Lo mismo vale para DC2 que en realidad es, por ahora sólo un servidor miembro del Dominio, pero no es Controlador de Dominio
De todas formas repasemos la configuración de las máquina utilizadas
DC1 – Windows Server 2012
Nombre: dc1.root.guillermod.com.ar
Dirección IP 192.168.1.201/24 (/24 = 255.255.255.0)
Default Gateway 192.168.1.254
Controlador de Dominio (no necesario para esta demostración)
VPN1 – Windows Server 2012
Nombre: VPN1
Interfaz Interna:
Dirección IP 192.168.1.254/24
Interfaz Externa:
Dirección IP 131.107.0.1/16
Deshabilitados todos los protocolos, salvo TCP/IPv4
Deshabilitado NetBIOS sobre TCP/IP
No tiene ningún Default Gateway (Puerta de Enlace)
ISP – Windows Server 2012 (Opcional)
Nombre: ISP
Dirección IP 131.107.0.100/16
Instalado Web Server, sin ninguna configuración extra
VPN2 – Windows Server 2012
Nombre: VPN2
Interfaz Interna:
Dirección IP 192.168.2.254/24
Interfaz Externa:
Dirección IP 131.107.0.2/16
Deshabilitados todos los protocolos, salvo TCP/IPv4
Deshabilitado NetBIOS sobre TCP/IP
No tiene ningún Default Gateway (Puerta de Enlace)
DC2 – Windows Server 2012
Nombre: dc2.root.guillermod.com.ar
Dirección IP 192.168.2.202/24
Default Gateway 192.168.2.254
Servidor miembro del Dominio (no necesario para esta demostración)
IMPORTANTE: estos pasos los debemos ejecutar tanto en VPN1 como en VPN2
Comenzaremos agregando los roles necesarios de la forma habitual
Acá vemos una de las diferencias con Windows 2008-R2 ahora está dentro de un rol nuevo “Remote Access”
Por supuesto que agregamos la funcionalidad adicional requerida
Para el que le interese el tema, a mi sí, vean los comentaros que ya hice en la nota Compartir Conexión a Internet sobre la instalación forzada del IIS 🙁
Si quieren configurar también el acceso compartido a Internet, deben marcar además la opción “Routing”
Cuando finaliza la instalación nos ofrece, y aceptaremos, la configuración mediante asistente
Demorará unos momentos en aparecer el siguiente cuadro, y revisen porque a veces queda tapado por otra ventana. Como no implementaremos en esta ocasión Direct Access, marcamos la tercera opción
Nos abrirá la consola de “Routing and Remote Access” donde procederemos a la configuración, usando el asistente que accedemos con botón derecho
Si conjuntamente con VPN quieren configurar el uso compartido de Internet sigan el asistente. Si no les interesara el compartir Internet, marque la primera opción “Remote access (Dial-up or VPN)”
Muy importante, marquen cuál es la interfaz externa (la que conecta a Internet)
Debemos asignar el rango de direcciones IP que se asignarán a la VPN, como siempre yo prefiero un rango separado de la red
Se van a necesitar dos redes VPN, una para la conexión desde BAires (Buenos Aires) hacia Mendoza, y otra para Mendoza hacia BAires
Por lo tanto:
En VPN1 elegí 172.16.0.1 a 172.16.0.2
En VPN2 elegí 172.17.0.1 a 172.17.0.2
Una dirección del rango la necesita el servidor que recibe la VPN, y otra para asignarsela al servidor que se conecta.
Por lo tanto tomando sólo 2 IPs me aseguro que no se pueda conectar otro. Si tuvieran más de un sitio, o esperaran que se conecten usuarios deberían asignar más direcciones al rango: una para el servidor y una más por cada conexión esperada
Como lo usaré en un ambiente de Dominio Active Directory me tengo que asegurar que no interfiera en la resolución de nombres, ni en la asignación de IPs, por lo tanto elijo la segunda opción
Por supeusto que en este caso no usaremos RADIUS
Ya podrían probar el acceso desde DC1 al servidor web ISP, yo lo mostraré al final, cuando probamos todo
Atención que ahora viene la parte más delicada, y donde se suelen cometer los errores. Por ahora lo único que hemos hecho es la instalación y configuración de los servidores VPN, ahora necesitamos configurar las conexiones entre los dos sitios
Vamos a aclara algunas cosas para que luego resulte sencillo seguir los procedimientos
Yo estoy usando para la demostración dos sitios: BAires y Mendoza.
Y necesitaremos dos redes VPN: una desde BAires hacia Mendoza, y otra desde Mendoza hacia BAires ¿estamos de acuerdo? 😉
Por lo tanto tengo que establecer credenciales para cada una de las conexiones
Cuando BAires llame a Mendoza (VPN1 llame a VPN2) utilizará un nombre de usuario local que debe ser autenticado y autorizado por VPN2.
El nombre de la conexión será el nombre de la cuenta usada para validar
O sea, cuando BAires llame, usará el usuario BAires (con contraseña) que debe ser una cuenta válida y autorizada para acceso remoto en VPN2
En VPN1 debo crear una conexión llamada BAires, y en VPN2 debe haber una cuenta local llamada BAires autorizada para VPN
Así mismo, cuando Mendoza llame a BAires, usará una conexión llamada Mendoza, cuenta que debe estar creada y autorizada en Baires
Como lo anterior no fácil de comprender hasta que uno lo hace, a partir de este momento configuraremos en forma separada cada servidor
Lo siguiente solamente en VPN1
Debemos crear la conexión, comencemos en VPN1 creando la conexión hacia Mendoza
Y si deseamos que Mendoza también pueda inciar conexión marcamos “Add a user account so a remote router can dial in”
El próximo paso nos preguntará por la red de destino, para agregar la correspondiente entrada en la tabla de ruteo. Agregamos la red que estamos usando en Mendoza
Ahora nos solicita las credenciales que utilizará Mendoza cuando llame a BAires. Con esto creará en VPN1 una cuenta local autorizada para acceder por VPN
Debemos asignarle la contraseña correspondiente
Ahora nos está solicitando las credenciales que usará BAires para conectarse hacia Mendoza. Esta cuenta se deberá crear en VPN2 de Mendoza (lo hace el propio asistente de configuración)
Algo que seguramente necesitemos cambiar: que la tome como conexión permanente, esto es que no la desconecte por falta de actividad, lo que en muchos casos acarrearía que cambiara la dirección IP y tengamos que hacer el cambio en la interfaz.
Es altamente conveniente que veamos con el ISP de tener conexiones con IP fija
Dejamos VPN1, y vamos a VPN2
Lo siguiente solamente en VPN2
El proceso de configuración es totalmente análogo, salvo algunas pantallas donde indicaré los cambios respecto a lo hecho en VPN1
Estuvimos nombrando que hay que crear cuentas locales tanto en VPN1 como en VPN2 (Mendoza y BAires respectivamente). En versiones anteriores del sistema operativo esto debíamos hacerlo en este momento, pero con Windows Server 2012 esto ya lo ha hecho el asistente anterior
Si entramos en Computer Management de cada servidor veremos que se han creado las cuentas, y se les han marcado las opciones que no caduque la contraseña y que puedan ingresar por VPN
Muestro la cuenta creada en VPN1 (BAires), pero es análogo en VPN2 (Mendoza)
Bueno, esto llegó hasta acá, ya tenemos dos sitios conectados por VPN y verificada tanto la conectividad entre los sitios como el acceso a Internet
Esta estructura la usaré en la siguiente nota, donde procederemos a promocionar a DC2 como Controlador de Dominio del Dominio existente, y lo más importante crearemos la estructura de Sites, Subnets y Links necesaria para el correcto funcionaiento de nuestro Dominio
-
Chromebook
-
Switch
-
Acces Points
-
Impresoras
-
Servidores
- Activar diagnostico de licencias terminal server
- Actualizar certificado servidor de correo y Ispconfig
- Configurar RAID placa ASUS
- Diagnosticar mail que no llega
- Crear adaptador de red en Hyper-V
- Terminal Server error licencias
- Conectando Sitios por VPN (Site to Site VPN)
- Cambiar a versión completa Windows Server
- Error licencia instalación Windows
- Agregar versión de PHP a ISPconfig
- Replicación status tool fix
- Comprobar replicación
- Clave compartida de servidor rustdesk
-
Web
-
Pfsense
-
Software
- Sacar dispositivo del MDM(quitar perfil)
- Configurar desvío teléfono oficina
- Extensión HVEC
- Configurar Windows 11 sin internet
- Eliminar "Bitlocker esperando activación"
- Configurar RAID placa ASUS
- Convertir disco MBR a UEFI
- Reparar indexado outlook
- Adobe se cierra a los 15 segundos
- Facturae se queda cargando
- NDI
- Como clonar un Iphone a otro (MDM)
- Firefox coge certificado sin preguntar
- Quitar cuenta principal del perfil de outlook
- Poner calendario ICloud en Windows
- Quitar aviso "Tu licencia de autodesk no es válida"
- Forzar desinstalación programa Windows
- Quitar cuenta de Amazon Chime de Vectio
- Configurar calendarios Icloud
- Instalar impresora Sala de profesores Kyocera PSJ
- ¿Cómo Arreglar la Búsqueda de Correo Que No Funciona Después de la Instalación de macOS 12?
- Activaciones w10-w11-wserver
- Error interno en escritorio remoto
- Instalar aplicaciones en Disp. Móviles
- Doku Wiki Vectio
- Poner Firma HTML en MAC
- Formateo y pasos iniciales MAC vectio
- Error 1001 office
- Ampliar disco VM Linux
- Usuarios de MAC Vectio
- Contraseña para aplicaciones de terceros
- Instalar Sage 50 (puesto adicional)
- Instalar A3
- Configurar PTZ - NDI en OBS
- Reiniciar ID de Anydesk
- Citrix
- Recuperar contraseña administrador Windows
- Scripts importantes
- Quitar las noticias de la barra de tareas.
- Conexión VPN Windows
- Error Rdp Oracle de cifrado CredSSP
- Mostrar artículos restantes26 Ocultar artículos
-
Hardware
-
Antivirus