• Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Mi Blog
⊕ Cómo instalar y configurar un servidor de VPN con PPTP en Windows 2008r2

⊕ Cómo instalar y configurar un servidor de VPN con PPTP en Windows 2008r2

Actualmente el teletrabajo es algo muy extendido en las empresas tecnológicas , en unas más que otras. Con ello se consigue tener acceso a todos los recursos de la empresa desde cualquier lugar del mundo, sin riesgo y con total confidencialidad. En este nuevo tutorial os enseñaré como crear una VPN a través de PPTP en Windows 2008r2. Este tipo de VPN es la más fácil de configurar y no se recomienda usarla en entornos empresariales con datos críticos. Utilizaré 3 equipos para simular un equipo remoto de Internet, el servidor de VPN y un cliente dentro ed la LAN-VPN.

Espero que os guste este nuevo tutorial de VPN-PPTP. Cualquier duda que tengas preguntad en los comentarios de abajo :) y os responderé lo antes posible.

¿Qué es PPTP?

PPTP es un protocolo de red creado por Microsoft que permite la realización de transferencias seguras desde clientes remotos a servidores emplazados en redes privadas, empleando para ello tanto líneas telefónicas conmutadas como Internet. En el escenario típico de PPTP, el cliente establecerá una conexión dial-up con el servidor de acceso a red (NAS) del proveedor del servicio, empleando para ello el protocolo PPP. Una vez conectado, el cliente establecerá una segunda conexión con el servidor PPTP (necesariamente Windows NT Server 4.0) el cual estará situado en la red privada. Dicho servidor será utilizado como intermediario de la conexión, recibiendo los datos del cliente externo y transmitiéndolos al correspondiente destino en la red privada.

PPTP encapsula los paquetes PPP en datagramas IP. Una vez que los datagramas llegan al servidor PPTP, son desensamblados con el fin de obtener el paquete PPP y desencriptados de acuerdo al protocolo de red transmitido. Por el momento, PPTP únicamente soporta los protocolos de red IP, IPX, y NetBEUI. El protocolo PPTP especifica además una serie de mensajes de control con el fin de establecer, mantener y destruir el túnel PPTP. Estos mensajes son transmitidos en paquetes de control en el interior de segmentos TCP. De este modo, los paquetes de control almacenan la cabecera IP, la cabecera TCP, el mensaje de control PPTP y los trailers apropiados.

La autenticación PPTP está basada en el sistema de acceso de Windows NT, en el cual todos los clientes deben proporcionar un par login/password. La autenticación remota de clientes PPTP es realizada empleando los mismos métodos de autenticación utilizados por cualquier otro tipo de servidor de acceso remoto (RAS). En el caso de Microsoft, la autenticación utilizada para el acceso a los RAS soporta los protocolos CHAP, MS-CHAP, y PAP. Los accesos a los recursos NTFS o a cualquier otro tipo, precisa de los permisos adecuados, para lo cual resulta recomendable utilizar el sistema de ficheros NTFS para los recursos de ficheros a los que deben acceder los clientes PPTP.

En cuanto a la encriptación de datos, PPTP utiliza el proceso de encriptación de secreto compartido en el cual sólo los extremos de la conexión comparten la clave. Dicha clave es generada empleando el estándar RSA RC-4 a partir del password del usuario. La longitud de dicha clave puede ser 128 bits (para usuarios de Estados Unidos y Canada) o 40 bits (para el resto de usuarios).

Por último, PPTP puede ser utilizado conjuntamente con cortafuegos y routers, para lo cual deberá habilitarse el paso del tráfico destinado al puerto TCP 1723 (tráfico PPTP) y protocolo 47 (IP).

PPTP L2TP/IPSec OpenVPN
ENCRIPTACIÓN VPN 128-bits 256-bits

160-bits

256-bits

SEGURIDAD DE VPN Encriptación básica La máxima encriptación. Comprueba la integridad de los datos y encapsula los datos dos veces. La máxima encriptación. Autentifica los datos con certificados digitales.
VELOCIDAD DE VPN Rápido debido a la encriptación más baja. Necesita más proceso de la CPU para encapsular los datos dos veces. Protocolo con mejor rendimiento. Velocidades elevadas, incluso en conexiones con alta latencia y a grandes distancias.
ESTABILIDAD Funciona bien en la mayoría de puntos de acceso Wi-Fi, muy estable. Compatible con dispositivos NAT. La más fiable y estable, incluso tras routers inalámbricos, en redes no fiables, y en puntos de acceso Wi-Fi.
COMPATIBILIDAD Nativo en la mayoría de los sistemas operativos de dispositivos de sobremesa, portátiles y tablets. Nativo en la mayoría de los sistemas operativos de dispositivos de sobremesa, portátiles y tablets. Compatible con la mayoría de los sistemas operativos de ordenadores de sobremesa y dispositivos Android móviles y tabletas.
CONCLUSIÓN PPTP es un protocolo rápido, fácil de usar. Es una buena elección si su dispositivo no soporta OpenVPN. L2TP/IPsec es una buena elección si su dispositivo no soporta OpenVPN y la seguridad es la prioridad máxima. OpenVPN es el protocolo recomendado para equipos de sobremesa incluyendo Windows, Mac OS X y Linux. El máximo rendimiento - rápido, seguro y fiable.

1.- ELEMENTOS UTILIZADOS EN ESTE TUTORIAL

  • [Servidor VPN] - Windows 2008 Server R2
  • [Cliente VPN] - Windows 7
  • [Cliente LAN] - GNU/Linux Debian 8

2.- ESQUEMA DE RED

Para este tutorial, usaré un total de 3 equipos. Uno de ellos (192.168.1.1 y 80.80.80.80) será el servidor de VPN con Windows 2008r2. Este equipo se encargará de dar acceso a los equipos externos a nuestra red interna LAN. Podemos imaginar que la LAN es una oficina y queremos acceder a los equipos de ella desde cualquier lugar del mundo. El equipo remoto tendrá la IP 80.80.80..81 y dentro de la LAN configuraremos un servidor de SSH en un equipo con GNU/Linux Debian 8 y con la IP 192.168.1.2. El esquema queda de la siguiente forma:

Servidor VPN PPTP Windows 2008r2Esquema de red

2.- INSTALACIÓN DEL SERVIDOR WEB APACHE

Antes de comenzar la instalación del software necesario en el servidor de VPN, debemos asegurarnos que tenemos configuradas las 2 interfaces de red correctamente. En mi caso, a una de ellas la llamaré INTERNET y tendrá la IP 80.80.80.80/255.255.255.0 y no le pondré ni DNS ni puerta de enlace. La otra será la interfaz de LAN y tendrá la IP 192.168.1.1/255.255.255.0, no le pondré DNS pero si puerta de enlace 192.168.1.1, aunque no es necesaria.

Servidor VPN PPTP Windows 2008r2Interfaces de red

Ahora, desde "Administrador del Servidor" añadiremos el nuevo rol para que nuestro equipo Windows 2008r2 puede gestionar las conexiones de VPN entrantes. Para ello instalaremos el rol de "Servicios de acceso y directivas de redes":

Servidor VPN PPTP Windows 2008r2Nuevo rol

A continuación, debemos añadir al rol el servicio de "Servicio de acceso remoto":

Servidor VPN PPTP Windows 2008r2Servicio de acceso remoto

Una vez finalizada la instalación del nuevo rol, tendremos una nueva opción en nuestro menú de "Inicio->Herramientas administrativas->Enrutamiento y acceso remoto":

Servidor VPN PPTP Windows 2008r2Nueva opción en el menú

Por defecto, el servicio de VPN está desactivado. En el menú vertical izquierdo podemos ver una flecha roja hacia abajo indicando que el servicio no está arrancado. Tampoco está configurado obviamente:

Servidor VPN PPTP Windows 2008r2Pantalla principal enrutamiento y acceso remoto

Ahora vamos a proceder a configurar nuestro servidor de VPN PPTP. Para ello pincharemos en el nombre de nuestro equipo y luego con el botón derecho haremos click en "Configurar y habilitar Enrutamiento y acceso remoto":

Servidor VPN PPTP Windows 2008r2Configurar y habilitar enrutamiento

En el siguiente menú debemos seleccionar la primera de las opciones: "Acceso remoto (acceso telefónico o red privada virtual)":

Servidor VPN PPTP Windows 2008r2Tipo de acceso al servidor VPN

Las conexiones al servidor puede ser a través de VPN ó a través de acceso telefónico. En nuestro caso usaremos VPN PPTP, por tanto, marcaremos la primera opción (VPN) y seguimos adelante:

Servidor VPN PPTP Windows 2008r2Conexión tipo VPN

En la siguiente pantalla, se muestran las interfaces de red de las que dispone el servidor. Los clientes se conectarán a la IP 80.80.80.80 en la interfaz INTERNET y podrán acceder a la red internet 192.168.1.0/24 de la interfaz LAN. Si queremos incrementar la seguridad, marcaremos el check de "Habilitar seguridad..." Con este check, conseguimos filtrar y dejar pasar todas las conexiones de tipo VPN al servidor. Cuidado porque si marcamos la opción no funcionará cualquier otro protocolo, marcadlo con cuidado:

Servidor VPN PPTP Windows 2008r2Interfaces de red del servidor

Cuando un cliente en una red externa se conecta a la VPN, se le otorga una dirección IP del mismo rango que la dirección de red de la LAN a la que accede. Para ello, podemos dejar que sea el servidor DHCP el que gestione el rango de IPs ó podemos seleccionar entre que IPs queremos que mueven los clientes de la VPN. En mi caso voy a seleccionar "Intervalo de direcciones personalizado":

Servidor VPN PPTP Windows 2008r2Asignación de direcciones IP

Configuraré la IP inicial en 192.168.1.240 y la final en 192.168.1.254, por tanto, tendremos un total de 15 direcciones IP disponibles:

Servidor VPN PPTP Windows 2008r2Intervalo de direcciones

Tenemos la opción de realizar la autenticación de usuarios contra un servidor RADIUS. En entornos domésticos/pymes no suele haber tantos usuarios como para necesitar un servidor RADIUS, por tanto, seleccionaremos "No" (por defecto) y continuamos la configuración:

Servidor VPN PPTP Windows 2008r2Servidor RADIUS

En este punto, la configuración básica ha finalizado. Ahora podremos configurar algunos otros parámetros desde el menú de la izquierda. Para ello, pincharemos en nuestro equipo y con el botón derecho haremos click en Propiedades. En la pestaña "General" habilitaremos el Enrutador IPv4 y el servicio de IPv4. Si estás usando IPv4, deberás marcar esta opción aunque es raro que uses ya está nueva versión:

Servidor VPN PPTP Windows 2008r2IPv4

En la pestaña "Seguridad" debemos asegurarnos que tenemos "Autenticación de Windows" y "Cuentas de Windows". Estas opciones vienen marcadas por defecto y no necesitarás cambiarlas casi con total seguridad:

Servidor VPN PPTP Windows 2008r2Seguridad

Haciendo click en "Métodos de autenticación", dejaremos las opciones tal y como vemos en la siguiente imagen. Si por algún motivo necesitas alguna de las otras opciones, la marcaremos y aceptaremos:

Servidor VPN PPTP Windows 2008r2Métodos de autenticación

Ahora, en el menú izquierdo en "puertos" haremos click y con el botón derecho dejamos solamente activado el PPTP, los demás los dejamos desactivados ya que no vamos a utilizarlos:

Servidor VPN PPTP Windows 2008r2Puertos PPTP

Desde la Administración de Equipos, debemos crear un usuario (ó modificarlo si ya existe) y asignarle permisos para conectar a través de VPN. Si no hacemos esto, el usuario no podrá conectar aunque las credenciales sean correctas:

Servidor VPN PPTP Windows 2008r2Administración de usuarios

Seleccionaremos el usuario que queramos y en Propiedades->Marcado, deberemos activar la opción de "Permitir acceso":

Servidor VPN PPTP Windows 2008r2Marcado remoto

3.- CONFIGURAR EL CLIENTE VPN CON WINDOWS 7

La configuración en el cliente con Windows 7 es sumamente sencilla y apenas se tarda 5 minutos en realizar la conexión. Para ello, debemos crear una nueva conexión desde el "Centro de redes y recursos compartidos", donde seleccionaremos "Conectarse a una red":

Servidor VPN PPTP Windows 2008r2Centro de redes y recursos compartidos

Dentro de los diferentes tipos de conexión que nos ofrece el asistente, seleccionaremos "Conectarse a un área de trabajo" la cual nos sirve para conectar a un equipo remoto a través de una VPN:

Servidor VPN PPTP Windows 2008r2Conectarse a un área de trabajo

En caso de tener ya creada alguna otra conexión de tipo VPN, el asistente nos avisará si queremos crear una nueva conexión o usar la existente. Como queremos una conexión nueva, seleccionamos "No, crea una nueva conexión":

Servidor VPN PPTP Windows 2008r2Conexión existente ó conexión nueva

Podemos conectar remotamente a través de VPN o con marcado de teléfono. Seleccionamos la opción de VPN:

Servidor VPN PPTP Windows 2008r2Usar conexión de Internet (VPN)

Las pruebas las estoy realizando con máquinas virtuales, y el equipo cliente 80.80.80.81 no tiene salida a Internet. El asistente nos da la posibilidad de configurar el acceso a Internet si queremos. Como no me interesa configurarlo, marcaré la opción de "Configuraré más tarde una conexión a Internet":

Servidor VPN PPTP Windows 2008r2Configurar conexión a Internet

Introduciremos el nombre DNS del equipo ( si tiene ) ó la dirección IP del servidor VPN y le ponemos un nombre de conexión:

Servidor VPN PPTP Windows 2008r2Dirección servidor VPN

Introducimos el nombre de usuario y la contraseña del usuario que tiene permisos de marcado en remoto:

Servidor VPN PPTP Windows 2008r2Usuario y contraseña de VPN

Una vez que hemos finalizado la configuración de la nueva conexión VPN, procederemos a conectar con Doble Click ó botón derecho->Conectar:

Servidor VPN PPTP Windows 2008r2Conectar VPN

El asistente nos pide el usuario y contraseña, lo ponemos y damos a Conectar:

Servidor VPN PPTP Windows 2008r2Credenciales VPN

Una vez se ha establecido la conexión , podemos ver el estado de la misma:

Servidor VPN PPTP Windows 2008r2Estado general de VPN

Con un poco mas de detalle, podemos ver que la conexión es PPTP y la autenticación usada es MS CHAP V2. Podemos ver la IP del servidor remoto y la local asignada:

Servidor VPN PPTP Windows 2008r2Detalles del estado de la conexión VPN-PPTP

4.- COMPROBACIÓN DEL SERVICIO VPN PPTP

Para probar si la VPN funciona correctamente, desde el equipo externo tenemos acceso a los equipos de la red privada VPN, realizaremos una conexión de SSH desde el quipo remoto 80.80.80.81 hasta el equipo GNU/Linux de la LAN con IP 192.168.1.2:

Servidor VPN PPTP Windows 2008r2Conexión con Kitty

En la siguiente imagen se ve como se puede hacer login sin problema en el equipo de la LAN y a través de la VPN:

Servidor VPN PPTP Windows 2008r2Conexión satisfactoria SSH-VPN

5.- REQUERIMIENTOS ADICIONALES

Debemos tener en cuenta que si el servidor está detrás de un Router, será necesario hacer NAT del puerto 1723 TCP. Si no hacemos esto, las conexiones entrantes nunca conseguirán llegar hasta nuestro servidor de VPN tras el router.

ENJOY!


Escribir un comentario

Información básica sobre Protección de Datos

Responsable: Raúl Prieto Fernández +info

Finalidad: Moderar los comentarios a los artículos publicados en el blog. +info

Legitimación: Consentimiento del interesado +info

Destinatarios: No se comunicarán datos a persona u organización alguna. +info +info

Derechos: Tiene derecho a Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional. +info

Plazo de conservación de los datos: Hasta que no se solicite su supresión por el interesado.

Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos Personales en mi página web raulprietofernandez.net +info

     

Código de seguridad
Refescar


LOGIN / ENTRAR

BUSCAR EN EL BLOG

TWITTER TIMELINE

Booking.com

ENCUESTA

¿Cual es el mejor Sistema Operativo?

Como es lógico, esta web utiliza cookies propias y de terceros para elaborar información estadística y mostrar publicidad personalizada a través del análisis de tu navegación, conforme a la política de cookies.

  Si continúas navegando, aceptas su uso.