VPN

¿Que es una VPN?

Realmente una VPN no es más que una estructura de red corporativa implantada sobre una red de recursos de carácter público, pero que utiliza el mismo sistema de gestión y las mismas políticas de acceso que se usan en las redes privadas, al fin y al cabo no es más que la creación en una red pública de un entorno de carácter confidencial y privado que permitirá trabajar al usuario como si estuviera en su misma red local. 

Es una red privada que se extiende, mediante un proceso de encapsulación y en su caso de encriptación, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras públicas de transporte.
Los paquetes de datos de la red privada viajan por medio de un "túnel" definido en la red pública. (ver figura siguiente)

Figura 1

Figura 2

En la figura anterior (figura 2) se muestra como viajan los datos a traves de una VPN ya que el servidor dedicado es del cual parten los datos, llegando a firewall que hace la función de una pared para engañar a los intrusos a la red, despues los datos llegan a nube de internet donde se genera un túnel dedicado unicamente para nuestros datos para que estos con una velocidad garantizada, con un ancho de banda tambien garantizado y lleguen a su vez al firewall remoto y terminen en el servidor remoto.
Las VPN pueden enlazar mis oficinas corporativas con los socios, con usuarios móviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec, Frame Relay, ATM como lo muestra la figura siguiente.

 
¿Como se instalan?
Instalación y configuración del servidor VPN.
El equipo servidor VPN se conectará a la Intranet de la empresa a través de la tarjeta de red instalada en él y se instalará el MODEM conectándolo a su puerto serie y éste a su vez a la Red Telefónica Básica.
Se instalará en el equipo servidor el paquete Windows 2000 Server, el cual contiene el software y los protocolos necesarios para establecer conexiones con los clientes de acceso remoto.
Configuración común del servidor VPN.
Para distribuir una solución VPN a la empresa interesada, se realizará un análisis y una toma de decisiones acerca de su diseño teniendo en cuenta lo siguiente:

• Configuración de la red.
• Configuración de las directivas de acceso remoto.
• Configuración del dominio.
• Configuración de la seguridad.

Configuración de la red
Los elementos clave de la configuración de la red son:

• La intranet de la empresa utiliza las direcciones 192.168.0.1 con la máscara de subred 255.255.255.0. El equipo servidor VPN está conectado a Internet las 24 horas a través de un ISP con una dirección IP fija.
• La dirección IP fija de Internet, asignada por el proveedor de servicios Internet (ISP) a la empresa, se supondrá que será la 207.46.130.1. En Internet se alude a la dirección IP mediante el nombre de dominio vpn.francisco.comerciales.com.
• El equipo servidor VPN está configurado con una dirección IP estática, con el fin de asignar clientes de acceso remoto.

La figura 1 muestra la configuración de red del servidor VPN

Configuración de red del servidor VPN.

El equipo servidor VPN se configura de la siguiente manera:

Se instala el hardware en el servidor VPN.

Se instalará el adaptador de red utilizado para conectar al segmento de Intranet, y el MODEM utilizado para la conexión a Internet siguiendo las instrucciones del fabricante de ambos adaptadores. Cuando los controladores estén instalados y en funcionamiento, ambos adaptadores aparecerán como conexiones de área local en la carpeta Conexiones de red y de acceso telefónico.

Configuración TCP/IP en los adaptadores LAN y WAN.

Para el adaptador de red de área local se configura la dirección IP 192.168.0.1 con la máscara de subred 255.255.255.0. Para el MODEM se configura la dirección IP 207.46.130.1 con la máscara de subred 255.255.255.255. Para ninguno de los dos elementos se configurará una puerta de enlace, o gateway, predeterminada. También se configurarán las direcciones de servidor DNS y WINS.

Instalación del Servicio de enrutamiento y acceso remoto.

Se ejecutará el Asistente para la instalación del servidor de enrutamiento y acceso remoto. En el asistente, se seleccionará la opción Servidor configurado manualmente. Para obtener más información, consultar el procedimiento "Habilitar el Servicio de enrutamiento y acceso remoto" en el anexo A.
Cuando el asistente finalice, se habrá configurado un conjunto de direcciones IP estáticas con la dirección IP inicial 192.168.0.1 y la dirección IP final 192.168.0.254. Esto crea un conjunto de direcciones estáticas para un máximo de 253 clientes VPN.
Para obtener más información, consulte el procedimiento "Crear un grupo de direcciones IP estáticas" en el anexo B.
El método predeterminado para autenticar el acceso remoto y las conexiones de marcado a petición consiste en utilizar la autenticación de Windows, que resulta apropiada para esta configuración que contiene únicamente un servidor VPN.

Configuración de rutas estáticas en el servidor VPN para llegar a ubicaciones de Internet.

Para llegar a ubicaciones de Internet, se establecerá una ruta estática con la siguiente configuración:

• Interfaz: el MODEM conectado a Internet
• Destino: 0.0.0.0
• Máscara de red: 0.0.0.0
• Puerta de enlace: 0.0.0.0
• Métrica: 1

Esta ruta estática resume todos los destinos en Internet. Permite que el servidor VPN responda a un cliente de acceso remoto o a una conexión VPN de enrutador de marcado a petición desde cualquier parte en Internet.

Aumentar el número de puertos PPTP y L2TP.

De forma predeterminada, únicamente cinco puertos L2TP y otros cinco PPTP están habilitados para conexiones VPN. El número de puertos L2TP y PPTP aumenta hasta 253. Para obtener más información, consultar el procedimiento "Agregar puertos PPTP o L2TP" en el anexo C.

Configuración de filtros de paquetes PPTP y L2TP sobre IPSec.

Tanto PPTP como L2TP sobre filtros de paquetes IPSec se configurarán en el MODEM conectado a Internet. Para evitar que el servidor VPN envíe o reciba tráfico en su interfaz de Internet, excepto el tráfico PPTP o L2TP sobre IPSec proveniente de clientes de acceso remoto, se configurarán PPTP y L2TP sobre filtros de entrada y salida IPSec en la interfaz de Internet. Debido a que el enrutamiento IP está habilitado en la interfaz de Internet, si no se configura L2TP sobre filtros IPSec y PPTP en la interfaz de Internet del servidor VPN, todo el tráfico recibido en esta interfaz se enrutará y es posible que se reenvíe tráfico no deseado a la intranet. Para obtener más información, consultar los procedimientos "Agregar filtros de paquetes PPTP" y "Agregar filtros de paquetes L2TP" en el anexo D.

Establecimiento del número de teléfono para los dispositivos PPTP y L2TP.

Para ayudar en la configuración de directivas de acceso remoto que limiten las conexiones VPN provenientes de usuarios de Internet, las propiedades de puerto para los dispositivos minipuerto WAN (PPTP) y minipuerto WAN (L2TP) se modificarán con la dirección IP de la interfaz de Internet del servidor VPN en el campo Número de teléfono para este dispositivo. Para obtener más información, consulte el procedimiento "Configurar un número de teléfono en un dispositivo" en el anexo E.
Configuración de la directiva de acceso remoto
El permiso de acceso remoto en todas las cuentas de usuario se establecerá como Controlar acceso a través de la directiva de acceso remoto. La concesión de permisos de acceso remoto a intentos de conexión se controlará mediante la configuración de permisos de acceso remoto en la primera directiva de acceso remoto correspondiente. Las directivas de acceso remoto se usan para aplicar diferentes configuraciones de conexión VPN basadas en la pertenencia a grupos y la directiva de acceso remoto predeterminada llamada Permitir el acceso si está habilitado el permiso de acceso telefónico se eliminará.
Configuración del dominio
Para aprovechar la capacidad para aplicar las diferentes configuraciones de conexión a distintos tipos de conexiones VPN se creará el siguiente grupo de Windows 2000:

• VPN_Usuarios (VPN_Users)

Se usa para las conexiones VPN de acceso remoto
Configuración de la seguridad
Para habilitar las conexiones L2TP sobre IPSec, el dominio de la empresa se configura para inscribir automáticamente certificados de equipo para todos los miembros del dominio.
Para obtener más información, consulte el procedimiento "Configurar la asignación automática de certificados" en el anexo F.
El acceso remoto para empleados de la empresa se distribuirá por Internet mediante las conexiones VPN de acceso remoto en función de la configuración establecida en la sección "Configuración común del servidor VPN" de este documento y en la configuración adicional siguiente.
La figura 2 muestra el servidor VPN que proporciona conexiones VPN de acceso remoto.

El servidor VPN que proporciona conexiones VPN de acceso remoto

Configuración del dominio
Para cada empleado con acceso a la red privada virtual:

• El permiso de acceso remoto en las propiedades de acceso telefónico de la cuenta del usuario se establecerá a Controlar acceso a través de la directiva de acceso remoto.
• La cuenta de usuario se agregará al grupo VPN_Usuarios de Windows 2000.

Configuración de la directiva de acceso remoto
Para definir los parámetros de autenticación y de cifrado para los clientes VPN de acceso remoto se creará la siguiente directiva de acceso remoto:

• Nombre de directiva: clientes VPN de acceso remoto

Condiciones:

• Puerto-NAS se establecerá a Virtual (VPN).
• Grupos-Windows se establecerá a VPN_Usuarios.
• Id-estación-llamada se establecerá a 207.46.130.1.

• El permiso se establecerá a Conceder permiso de acceso remoto.