Configurar VPN con Windows 2000
¿Has oído hablar de los beneficios mágicos de una red privada virtual? ¿Estás listo para probar sus beneficios en tu infraestructura de acceso remoto? Si es así, le complacerá saber que Windows 2000 proporciona una excelente plataforma VPN, especialmente para conectar pequeñas oficinas remotas y teletrabajadores que soportan trabajar desde casa. Se sorprenderá de lo fácil que es la configuración básica de una VPN en Windows 2000. Al mismo tiempo, Win2K ofrece mejoras significativas sobre la VPN básica de Windows NT en términos de funcionalidad y seguridad.
En este artículo, examinaremos qué hardware y software requiere su VPN, explicaremos cómo configurar un servidor VPN en su red corporativa y le mostraremos cómo configurar un teletrabajador para establecer una conexión VPN a su LAN corporativa. Nos centraremos en los conceptos básicos de la configuración de VPN, pero no cubriremos temas avanzados como configurar una VPN de servidor a servidor usando una red de oficina remota, configurar políticas de acceso remoto o configurar su conexión VPN para pasar a través de firewalls. y servidores proxy. Con eso en mente, comencemos a configurar su VPN de acceso remoto de Windows 2000.
Preparar la infraestructura
Lo primero que debe tener en cuenta son los requisitos de hardware de su servidor VPN. Recuerde que el propio Windows 2000 requiere muchos recursos de hardware. En un entorno corporativo, querrá que su servidor VPN sea un servidor dedicado, que ejecute solo Windows 2000 Server o Windows 2000 Advanced Server en la máquina. Para esta configuración, recomiendo al menos un Pentium III de 450 MHz y al menos 256 megabytes de RAM. Para pequeñas empresas o sucursales con menos de 100 usuarios y menos de 20 conexiones de acceso remoto, puede usar una máquina Pentium II o Celeron de 300 MHz (o superior) con al menos 128 megabytes de RAM.
Su servidor necesita tener dos tarjetas de red. Una tarjeta estará conectada a Internet y la otra tarjeta estará conectada a la red de área local. Como te habrás dado cuenta, esto significa que tu servidor VPN en realidad se parece más a un enrutador VPN que a un servidor. Autentica al usuario, crea un túnel seguro y luego, como cualquier enrutador, permite que el usuario acceda a los recursos en la subred a la que se está conectando, o en otra subred, según una tabla de enrutamiento. Recuerde que esto puede incluir recursos que no sean de Windows, como servidores NetWare y UNIX.
La última consideración importante es su conexión a Internet. El uso de un servidor VPN puede significar que podrá deshacerse de muchas de las líneas telefónicas actualmente dedicadas a RAS. Sin embargo, en cierto sentido, esto es robarle a Peter para pagarle a Paul, ya que es posible que desee considerar aumentar el ancho de banda de Internet en su oficina corporativa. Esto dependerá de cuánto ancho de banda tenga que comenzar a usar, su uso actual y la cantidad de usuarios y oficinas remotas que se conectarán a su servidor VPN. Además, una VPN funciona mejor si su red corporativa tiene una conexión a Internet siempre activa. Si tiene una conexión a Internet de acceso telefónico, la única solución VPN que recomiendo es una conexión de servidor a servidor entre su oficina corporativa y la oficina remota.
Configurar servidor VPN
Después de solucionar los problemas de hardware, debe instalar Windows 2000 Server y el Service Pack más reciente en la máquina. Asegúrese de no instalar otros servicios innecesarios como DNS, DHCP e IIS. También evite cargar cualquier otro software de terceros a menos que sea absolutamente necesario, como un proxy de respaldo.
Durante la instalación, debe optar por asignar direcciones IP de forma estática. Debe configurar una tarjeta de red con una dirección IP de Internet real y la puerta de enlace predeterminada de su enrutador de Internet. La otra NIC debe tener una dirección IP asignada a la red local y no debe contener una puerta de enlace predeterminada.
También deberá configurar un dominio/grupo de trabajo para su servidor VPN. Esta configuración dependerá de cómo decida autenticarse. Hay tres opciones básicas: el servidor VPN puede autenticar a los usuarios localmente, puede usar la seguridad de dominio de Windows 2000 o puede pasar la autenticación a un servidor RADIUS. Si tiene el servidor VPN para autenticar a los usuarios localmente, deberá configurar un grupo de trabajo para el servidor VPN, algo así como «Internet». Si desea utilizar Active Directory y permitir que un controlador de dominio de Windows 2000 maneje la autenticación, haga que el servidor VPN se una al dominio de Windows 2000. Si va a tener un grupo de servidores VPN, es posible que necesite usar un servidor RADIUS (como el Servicio de autenticación de Internet de Microsoft) para realizar la autenticación VPN. En este ejemplo, haremos que el servidor VPN autentique al usuario localmente.
Después de instalar Windows 2000 Server, vaya a Inicio | Programas | Herramientas administrativas | Enrutamiento y acceso remoto para abrir la Consola de administración de RRAS de Microsoft, como se muestra en la Figura A. Luego, haga clic en el ícono con el nombre de su servidor, luego haga clic en Acción | Configurar y habilite Enrutamiento y acceso remoto. Esto iniciará un asistente para configurar un nuevo servidor. Seleccione el servidor configurado manualmente y lo llevará a RRAS para iniciar la configuración. Es posible que desee elegir la opción VPN en el asistente, pero tome el control. El asistente de VPN todavía es un poco peculiar, y es mejor configurar manualmente algunas configuraciones básicas de VPN en RRAS para que sepa cómo solucionar problemas y ajustar en el futuro.
| Figura A |
 |
| Consola de administración de Microsoft RRAS |
Comience la configuración haciendo clic derecho en el icono con el nombre del servidor VPN y seleccionando Propiedades. Esto mostrará las principales opciones que utilizará para activar el servidor VPN. En la pestaña General, como se muestra en la Figura B, asegúrese de tener marcadas las opciones Enrutador y Servidor de acceso remoto, y que la opción Enrutamiento de marcado a petición y LAN esté seleccionada en Enrutador. Si el servidor VPN está realizando su propia autenticación, o si está utilizando un dominio de Windows para la autenticación, cambie a la pestaña Seguridad y seleccione Autenticación de Windows. Si está utilizando un servidor RADIUS, seleccione la autenticación RADIUS. En cuanto a PPP y registro de eventos, puede mantener la configuración predeterminada o ajustarla según sus preferencias.
| Figura B |
 |
| Pestaña General en el cuadro de diálogo Propiedades |
La configuración en la pestaña IP (que se muestra en la Figura C) es muy importante. Debe marcar Habilitar enrutamiento de IP y permitir el acceso remoto basado en IP y las conexiones de marcado a petición, luego configure DHCP para la asignación de direcciones IP o asigne un conjunto estático de direcciones (en la subred a la que desea que se conecten los clientes). Establezca la opción de adaptador en el adaptador conectado a la LAN. La configuración en la pestaña IP es fundamental porque regula la información de IP y red que recibirán los clientes VPN entrantes. En la mayoría de los casos, recomiendo usar DHCP para asignar información de IP a sus clientes VPN. Esto es especialmente efectivo cuando se usa el mismo servidor DHCP que usan los clientes en la LAN para recibir su información de IP. Los usuarios de VPN también pueden recibir direcciones IP estáticas, como vimos al hacer la configuración del cliente.
| Figura C |
 |
| Configuración en la pestaña IP |
Después de completar las propiedades del servidor VPN, solo es necesario configurar algunos ajustes. Si elige usar DHCP, deberá hacer clic con el botón derecho en el agente de retransmisión DHCP (contenedor bajo enrutamiento de IP), seleccionar Propiedades y agregar la dirección IP del servidor DHCP para su LAN. Después de eso, haga clic con el botón derecho en Puertos y seleccione Propiedades, y debería ver la configuración predeterminada de 10 puertos PPTP, 10 puertos L2TP y 1 puerto paralelo, como se muestra en la Figura D.
| Figura D |
 |
| Cuadro de diálogo Propiedades del puerto |
Puede dejar los puertos paralelos predeterminados solos, pero puede hacer doble clic en los puertos PPTP y L2TP y configurar la cantidad de puertos necesarios para esos protocolos. Desea asegurarse de que todos los usuarios y servidores remotos tengan suficientes puertos, pero no desea habilitar más puertos de los que necesita. Tenga en cuenta que Windows 2000 Professional es actualmente el único cliente que admite L2TP, por lo que la mayoría de los clientes utilizarán PPTP para conectarse. Si bien L2TP está destinado a convertirse en el nuevo estándar para las VPN, este artículo se centrará en la conexión mediante el protocolo PPTP, que es más simple y versátil.
Configurar clientes remotos
Ahora ha completado todos los pasos básicos para preparar un servidor VPN en su red corporativa. Ahora, veamos cómo conectar un cliente remoto. En este ejemplo, me concentraré en el mejor cliente VPN, Windows 2000 Professional. También puede obtener buenas conexiones VPN con Windows NT 4.0 y Windows 98, pero no son tan rápidas y funcionales como Win2K Pro. Sin embargo, antes de que cualquier cliente pueda conectarse a su servidor VPN, debe proporcionar acceso remoto a sus cuentas de usuario.
Si su servidor VPN autentica a los usuarios localmente, vaya a Inicio | Configurar acceso remoto de usuario. Programas | Herramientas administrativas | Administración de equipos | Usuarios y grupos locales | Usuarios y haga doble clic en el usuario (o cree un nombre de usuario) para el que desea habilitar el acceso remoto. A continuación, seleccione la pestaña Acceso telefónico, como se muestra en la Figura E, y seleccione la opción Permitir acceso. A medida que aprenda más sobre las VPN, puede elegir controlar el acceso a través de políticas de acceso remoto y usar políticas de acceso remoto para un mayor control y seguridad. La pestaña Acceso telefónico también le permite configurar usuarios para que reciban una dirección IP estática en lugar de recibir información de IP de DHCP cuando se conectan.
| Figura E |
 |
| Opciones en la pestaña de acceso telefónico |
En una computadora Windows 2000 Professional con conexión a Internet, conectarse al servidor VPN corporativo es simple. Primero, haga clic en Inicio | Configuración | Conexiones de red y de acceso telefónico | Crear una nueva conexión. Haga clic en Siguiente para iniciar el asistente y seleccione Conectarse a una red privada a través de Internet. En el siguiente mensaje, debe especificar cómo conectarse a Internet. Si tiene una conexión «siempre activa», como un módem por cable o DSL, seleccione «No marcar la conexión inicial». Si tiene una conexión de acceso telefónico, seleccione Marcar automáticamente esta conexión y seleccione su conexión de acceso telefónico a Internet de la lista. Ahora, debe elegir su dirección de destino, que será el nombre de dominio completo o la dirección IP de su servidor VPN. Elija si todos los usuarios pueden acceder a la conexión o solo yo. Luego, asigne un nombre a la conexión (recomiendo algo como Office VPN) y haga clic en Finalizar. Ahora, cuando abra su red y las conexiones de acceso telefónico, verá el ícono de Office VPN como se muestra en la Figura F.
| Figura F |
 |
| Ventana Conexiones de red y acceso telefónico |
Haga clic con el botón derecho en el icono de Office VPN y luego haga clic en Propiedades. Esto mostrará las opciones de VPN de su cliente, que utilizará para solucionar problemas y ajustar la configuración en el futuro. Ahora puede hacer doble clic en el ícono de Office VPN para mostrar la pantalla de inicio de sesión, como se muestra en la Figura G. Introduzca el nombre de usuario y la contraseña de un usuario con acceso remoto y haga clic en Conectar. Si tiene una conexión a Internet siempre activa, debería aparecer un cuadro de diálogo para seguir los pasos de autenticación. Si tiene una conexión de acceso telefónico, debería ver que la conexión de acceso telefónico se activa primero (es posible que deba hacer clic en conectar, luego hacer clic en conectar nuevamente para obtener la conexión VPN), y luego verá que se muestra el proceso de autenticación de VPN.
| Figura 7 |
 |
| Pantalla de inicio de sesión de VPN de Office |
generalizar
Este artículo proporciona una introducción a la configuración de una VPN con Windows 2000. Nos hemos centrado en las VPN como una solución de acceso remoto para teletrabajadores, pero las VPN en Windows 2000 van mucho más allá de los conceptos básicos discutidos aquí. Si va a probar Windows 2000 VPN en su negocio, le recomiendo que estudie más los conceptos de VPN y la resolución de problemas visitando el sitio web de VPN de Microsoft.
¿Planeando una VPN? Háganos saber si este artículo ayuda. Si desea compartir su opinión, inicie una discusión a continuación o envíe un correo electrónico al editor.
