En este artículo os vamos a explicar como configurar un servidor VPN en Windows 2016 o 2012 para enrutar el tráfico a determinadas IPs por nuestra VPN.
Actualizar drivers tarjeta de red
Lo primero que debemos hacer es descargar drivers Latest virtio-win iso de https://fedoraproject.org/wiki/Windows_Virtio_Drivers, deberemos buscar la versión Latest, normalmente la URL de descarga es https://fedorapeople.org/groups/virt/virtio-win/direct-downloads/latest-virtio/virtio-win.iso
Iremos a descargas y montaremos el fichero ISO descargado (haremos doble clic).
En el escritorio haremos clic con el botón derecho en “Este equipo” y seleccionaremos propiedades, en la siguiente ventana haremos clic en “Administrador de Dispositivos“.
En el Administrador de Dispositivos desplegaremos “Adaptadores de Red” y haremos clic con el botón derecho sobre el primer adaptador de red y seleccionaremos “Actualizar software de controlador…“:
En la siguiente ventana haremos clic en “Buscar software de controlador en el equipo” y le daremos al botón examinar y buscaremos la ruta del CD, NetKVM y la carpeta que corresponda con nuestro sistema operativo, en el caso de este post: D:\NetKVM\2k16
Durante el proceso de actualización es normal que perdamos la conexión al servidor unos segundos, cuando acabe deberíamos ver una ventana como esta:
Repetir el paso anterior para el segundo adaptador de red.
En una ventana de símbolos de sistema ejecutaremos “ipconfig” dejaremos esa ventana abierta (queremos ver que adaptador tiene IP dirección IP pública, en este caso 46.183.XXX.XXX) e iremos a “Panel de control > Redes e Internet > Centro de redes y recursos compartidos” y haremos clic en “Cambiar la configuración del adaptador“. Haremos clic con el botón derecho sobre el adaptador que tenga la dirección IP pública (en este caso la 46.183.XXX.XXX) y haremos clic en “Propiedades”, en la ventana que se abre haremos doble clic sobre “Protocolo de Internet versión 4 (TCP/IPv4)“. En esta ventana activaremos la opción “Usar la siguiente dirección IP” y rellenaremos los datos (son los datos que muestra ipconfig) como se muestra a continuación pero con la IP de nuestro servidor:
Reiniciaremos nuestro servidor.
Agregar roles al servidor Windows
Entraremos en el “Administrador del servidor” y en la parte superior derecha haremos clic en “Administrar > Agregar roles y características“. En el asistente que nos aparece haremos clic en “Siguiente” hasta llegar a “Roles del Servidor“. En este apartado activaremos “Acceso Remoto" y "Servidor DCHP“:
Pulsaremos a “Siguiente” hasta llegar a “Acceso Remoto > Servicios de rol” aquí activaremos “Direct Access y VPN (RAS)” y “Enrutamiento“:
Es muy probable que al añadir estos roles nos instale otros como IIS, iremos pulsando a “Siguiente” hasta el último paso que nos aparecerá un botón de “Instalar“.
Crear Certificado SSL (Necesario para IPsec)
Abriremos el “Administrador de Internet Information Services (IIS)” haremos doble clic en el nombre de nuestro servidor y otra vez doble clic en “Certificados de servidor“. Dentro de la ventana que se ha abierto de Certificados haremos clic en la derecha a “Crear certificado autofirmado“, le pondremos un nombre y le daremos a “Aceptar”.
Configurar VPN
Ahora iremos a configurar la VPN, para ello haremos clic en la bandera de la parte superior del administrador del servidor y haremos clic en “Abrir el Asistente para introducción“:
En la siguiente ventana haremos clic en “Implementar solo VPN” y nos abrirá “Enrutamiento y acceso remoto”, haremos clic con el botón derecho sobre el servidor y seleccionaremos “Configurar y habilitar Enrutamiento y acceso remoto“. En la siguiente ventana pulsamos a “Siguiente” y activamos la opción “Acceso a red Privada Virtual (VPN) y NAT” y le damos a “Siguiente” y “Finalizar”. Volveremos a clic con el botón derecho sobre el servidor y seleccionaremos “Propiedades” iremos a la pestaña “Seguridad” y activaremos “Permitir la directiva IPsec….” y rellenaremos la casilla “Clave previamente compartida” en nuestro ejemplo: prekeyVPN y en Certificado buscaremos el certificado que hemos creado en el paso anterior.
En la pestaña “IPv4” cambiaremos el adaptador por el adaptador que tenga IP 10.0.0.1 (en nuestro caso Ethernet 3) y le daremos a “Aceptar”.
En la misma ventana de “Enrutamiento y acceso remoto” desplegaremos “IPv4” e iremos a “Agente de retransmisión DCHP” haremos clic con el botón derecho en la ventana derecha (se ve Interno) y le daremos a “Interfaz nueva” y seleccionaremos el adaptador que tenga la IP 10.0.0.1 (en nuestro caso Ethernet 3).
Ahora en la ventana “Enrutamiento y acceso remoto” iremos a “NAT” haremos clic con el botón derecho en la ventana derecha y le daremos a “Interfaz nueva” y seleccionaremos el adaptador que tenga la IP 46.183.XXX.XXX (en nuestro caso Ethernet 2).
Configurar DCHP
Una vez ha acabada la instalación lo primero de todo es “Completar la configuración DCHP“, para ello haremos clic en la bandera de la parte superior del administrador del servidor:
En la ventana que nos aparecerá solo debemos hacer clic en “Confirmar” y luego a “Cerrar”.
Ahora entraremos en “Herramientas administrativas > DCHP” expandiremos nuestro servidor y haremos clic con el botón derecho en “IPv4” y seleccionaremos “Ámbito Nuevo“.
En Nombre indicaremos “Ámbito 10.0.0.0” y pulsaremos a “Siguiente”, en la siguiente ventana rellenaremos conforme la siguiente imagen:
En “Agregar exclusiones y retraso” configuraremos el intervalo de direcciones IP haciendo clic en “Agregar”:
Iremos pulsando a “Siguiente” dejando todos los campos como están hasta llegar a “Finalizar“.
Una vez creado el ámbito, lo expandiremos y haremos clic con el botón derecho en “Opciones de ámbito” y seleccionaremos “Configurar opciones“. En la ventana que se nos abre iremos al final de todo y activaremos “121 Rutas estáticas sin clase” y pulsaremos al botón de “Agregar ruta…” añadiremos 2 rutas:
- 10.0.0.0 | 255.255.255.0 | 10.0.0.1 //rango privado
- 27.0.172.0/22 | 255.255.248.0 | 10.0.0.1 //rango Público Clouding
- 46.183.112.0/21 | 255.255.248.0 | 10.0.0.1 //rango Público Clouding
- 80.240.126.0/23 | 255.255.248.0 | 10.0.0.1 //rango Público Clouding
- 85.208.20.0/21 | 255.255.248.0 | 10.0.0.1 //rango Público Clouding
- 93.189.88.0/19 | 255.255.248.0 | 10.0.0.1 //rango Público Clouding
- 103.23.60.0/23 | 255.255.248.0 | 10.0.0.1 //rango Público Clouding
- 161.22.40.0/21 | 255.255.248.0 | 10.0.0.1 //rango Público Clouding
- 185.166.212.0/21 | 255.255.248.0 | 10.0.0.1 //rango Público Clouding
- 185.253.152.0/22 | 255.255.248.0 | 10.0.0.1 //rango Público Clouding
- 185.254.204.0/22 | 255.255.248.0 | 10.0.0.1 //rango Público Clouding
- 213.192.233.0/24 | 255.255.248.0 | 10.0.0.1 //rango Público Clouding
- 217.71.200.0/21 | 255.255.248.0 | 10.0.0.1 //rango Público Clouding
Ahora toca configurar nuestro segundo adaptador de red con la IP 10.0.0.1.
Crear usuarios con acceso a VPN
Entraremos en “Administración de equipos” iremos a “Usuarios y grupos locales” haremos clic con el botón derecho sobre “Usuarios” y seleccionaremos “Usuario nuevo…” en nuestro ejemplo usaremos como usuario userVPN y contraseña passVPN (Utilizar contraseñas seguras, esto es un ejemplo)
Ahora haremos doble clic sobre el usuario que hemos creado e iremos a la pestaña de “Marcado” y cambiaremos “Permiso de acceso a redes” a “Permitir acceso”.
Podemos repetir los pasos anteriores para crear más usuarios en caso que queramos controlar quien se conecta.
Configuración firewall Clouding
Para conectarnos a nuestra VPN mediante protocolo PPTP deberemos añadir las siguientes reglas a nuestro firewall de Clouding:
Para conectarnos a nuestra VPN mediante protocolo IPsec deberemos añadir las siguientes reglas a nuestro firewall de Clouding: