Introducción
Configuración común del servidor VPN
Acceso remoto de VPN para empleados
Sucursal a petición
Sucursal persistente
Extranet para socios comerciales
VPN y conexión telefónica con autenticación RADIUS
Apéndice A: procedimientos
Resumen

Sistema operativo

Notas del producto

Resumen

El uso tanto de redes públicas como privadas para crear una conexión de red se denomina red privada virtual (VPN). En este escenario, Electronic Inc., una organización ficticia, ha distribuido las tecnologías de red privada virtual de Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol) y de Protocolo de túnel de capa dos (L2TP) para Windows 2000 con el fin de crear soluciones seguras de acceso remoto y conectividad entre sus socios comerciales y sus sucursales. En este documento se describe el diseño y la configuración de la infraestructura de red privada virtual y de acceso remoto telefónico de Electronic Inc.

Introducción

En este documento se describe la manera en que los escenarios habituales de red privada virtual se configuran mediante el sistema operativo Windows 2000 para una organización ficticia. Aunque la configuración de su red puede ser diferente a la descrita en este documento, los conceptos básicos de redes privadas virtuales son útiles para cualquier entorno de red.

El uso tanto de redes públicas como privadas para crear una conexión de red se denomina red privada virtual (VPN).

Una red privada virtual es la extensión de una red privada que comprende vínculos en redes compartidas o públicas como Internet. Con una VPN se pueden transmitir datos entre dos equipos a través de una red compartida o pública imitando el funcionamiento de un vínculo privado punto a punto. La interconexión de una red privada virtual es la creación y configuración de este tipo de redes.

Para imitar un vínculo punto a punto, los datos se encapsulan o se envuelven con un encabezado que proporciona información de enrutamiento, lo que permite que los datos atraviesen la red compartida o pública hasta llegar a su punto de destino. Para imitar un vínculo privado, los datos se cifran para conservar la confidencialidad. Los paquetes interceptados en la red compartida o pública no se pueden descifrar sin las claves de cifrado. El vínculo en el que se encapsulan y se cifran los datos privados es una conexión de red privada virtual (VPN).

Electronic Inc. es una organización ficticia de diseño y fabricación de productos electrónicos que posee su sede corporativa principal en Nueva York y tiene sucursales y socios comerciales de distribución repartidos por Estados Unidos. Electronic Inc. ha desarrollado una solución de red privada virtual mediante el sistema operativo Windows 2000 con el fin de conectar a los usuarios con acceso remoto, sucursales y socios comerciales.

El servidor VPN, que se encuentra en las oficinas corporativas, proporciona acceso remoto y conexiones VPN PPTP de enrutador a enrutador y L2TP. Además, el servidor VPN proporciona el enrutamiento de paquetes hacia ubicaciones en intranet o Internet.

A continuación se describen los siguientes escenarios de red privada virtual basados en la configuración habitual del servidor VPN:

• Acceso remoto de VPN para empleados.
• Acceso de sucursales a petición.
• Acceso persistente de las sucursales.
• Extranet para socios comerciales.
• VPN y conexión telefónica con autenticación RADIUS.

Nota Los ejemplos de compañías, organizaciones, productos, personas y acontecimientos descritos aquí son ficticios. No se pretende indicar ni se debe inferir ninguna relación con ninguna compañía, organización, producto, persona o acontecimiento reales.

Configuración común del servidor VPN

Para distribuir una solución VPN a Electronic Inc., el administrador de red realiza un análisis y toma decisiones acerca de su diseño teniendo en cuenta lo siguiente:

• Configuración de la red.
• Configuración de las directivas de acceso remoto.
• Configuración del dominio.
• Configuración de la seguridad.

Configuración de la red

Los elementos clave de la configuración de la red son:

• La intranet de Electronic Inc. utiliza las redes privadas de las direcciones 172.16.0.0 con la máscara de subred 255.240.0.0 y de las direcciones 192.168.0.0 con la máscara de subred 255.255.0.0. Los segmentos de red de la sede central utilizan las subredes de 172.16.0.0 mientras que las sucursales utilizan las subredes de 192.168.0.0.
• El equipo servidor VPN está conectado directamente a Internet mediante un vínculo de red de área extensa (WAN) dedicado T3 (también conocido como DS-3).
• La dirección IP del adaptador WAN en Internet, asignada por el proveedor de servicios Internet (ISP) a Electronic Inc., es la 207.46.130.1. En Internet se alude a la dirección IP del adaptador WAN mediante el nombre de dominio vpn.electronic.microsoft.com.
• El equipo servidor VPN está conectado directamente a un segmento de red de intranet que contiene un enrutador. Éste se conecta al resto de la intranet de la sede central de Electronic Inc. El identificador de red IP del segmento de red de la intranet es 172.31.0.0 y su máscara de subred es 255.255.0.0.
• El equipo servidor VPN está configurado con un conjunto estático de direcciones IP, que conforman un subconjunto del segmento de red de intranet (un conjunto de direcciones en subred), con el fin de asignar clientes de acceso remoto y enrutadores de llamada.

La figura 1 muestra la configuración de red del servidor VPN de Electronic Inc.

Figura 1 Configuración de red del servidor VPN de Electronic Inc.

En función de la configuración de red de la intranet de la sede corporativa de Electronic Inc., el equipo servidor VPN se configura de la siguiente manera:

1. Instale el hardware en el servidor VPN.

   Para la instalación del adaptador de red utilizado para conectar al segmento de intranet y del adaptador WAN utilizado para la conexión a Internet se han de seguir las instrucciones del fabricante de ambos adaptadores. Cuando los controladores estén instalados y en funcionamiento, ambos adaptadores aparecerán como conexiones de área local en la carpeta Conexiones de red y de acceso telefónico.

2. Configure TCP/IP en los adaptadores LAN y WAN.

   Para el adaptador de red de área local se configura la dirección IP 172.31.0.1 con la máscara de subred 255.255.0.0. Para el adaptador de red de área extensa se configura la dirección IP 207.46.130.1 con la máscara de subred 255.255.255.255. Para ninguno de los dos adaptadores se ha configurado una puerta de enlace, o gateway, predeterminada. También se configuran las direcciones de servidor DNS y WINS.

3. Instale el Servicio de enrutamiento y acceso remoto.

   Ejecute el Asistente para la instalación de servidor de enrutamiento y acceso remoto. En el asistente, se selecciona la opción Servidor configurado manualmente. Para obtener más información, consulte el procedimiento "Habilitar el Servicio de enrutamiento y acceso remoto" en el apéndice A.

   Cuando el asistente finalice, se habrá configurado un conjunto de direcciones IP estáticas con la dirección IP inicial 172.31.255.1 y la dirección IP final 172.31.255.254. Esto crea un conjunto de direcciones estáticas para un máximo de 253 clientes VPN.

   Para obtener más información, consulte el procedimiento "Crear un grupo de direcciones IP estáticas" en el apéndice A.

   El método predeterminado para autenticar el acceso remoto y las conexiones de marcado a petición consiste en utilizar la autenticación de Windows, que resulta apropiada para esta configuración que contiene únicamente un servidor VPN. Para obtener más información acerca del uso de la autenticación RADIUS (Servicio de usuario de acceso telefónico de autenticacion remota o Remote Authentication Dial-In User Service) para Electronic Inc., consulte la sección "Redes privadas virtuales y conexiones telefónicas con RADIUS" en este documento. Para obtener más información acerca del uso de Windows y de la autenticación RADIUS, consulte el tema acerca de la autenticación y la autorización en la Ayuda de Windows 2000 Server.

4. Habilite el método de autenticación EAP.

   Para habilitar el uso de clientes VPN de acceso remoto con tarjetas inteligentes y de enrutadores de llamada con certificados, el administrador de red habilita el Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol) en el servidor VPN.

   Para obtener más información, consulte el procedimiento "Habilitar EAP" en el apéndice A.

5. Configure rutas estáticas en el servidor VPN para llegar a ubicaciones de intranet y de Internet.

   Para llegar a ubicaciones de una intranet, se establece una ruta estática con la siguiente configuración:

   • Interfaz: el adaptador LAN conectado a la intranet
   • Destino: 172.16.0.0
   • Máscara de red: 255.240.0.0
   • Puerta de enlace: 172.31.0.2
   • Métrica: 1

   Esta ruta estática simplifica el enrutamiento al resumir todos los destinos en la intranet de Electronic Inc. Se usa esta ruta estática para no tener que configurar el servidor VPN con un protocolo de enrutamiento como RIP u OSPF. Para obtener más información acerca de los fundamentos del enrutamiento, consulte el documento acerca de los principios del enrutamiento de unidifusión en http://www.microsoft.com/NTServer/commserv/techdetails/prodarch/unicast.asp y la Ayuda de Windows 2000 Server.

   Para llegar a ubicaciones de Internet, se establece una ruta estática con la siguiente configuración:

   • Interfaz: el adaptador WAN conectado a Internet
   • Destino: 0.0.0.0
   • Máscara de red: 0.0.0.0
   • Puerta de enlace: 0.0.0.0
   • Métrica: 1

   Esta ruta estática resume todos los destinos en Internet. Permite que el servidor VPN responda a un cliente de acceso remoto o a una conexión VPN de enrutador de marcado a petición desde cualquier parte en Internet.

   Nota Debido a que el adaptador WAN crea una conexión punto a punto con el proveedor de servicios Internet, se puede establecer cualquier dirección para la puerta de enlace o gateway. La dirección de la puerta de enlace 0.0.0.0 es un ejemplo. 0.0.0.0 es una dirección IP sin especificar.

6. Aumente el número de puertos PPTP y L2TP.

   De forma predeterminada, únicamente cinco puertos L2TP y otros cinco PPTP están habilitados para conexiones VPN. El número de puertos L2TP y PPTP aumenta hasta 253. Para obtener más información, consulte el procedimiento "Agregar puertos PPTP o L2TP" en el apéndice A.

7. Configure filtros de paquetes PPTP y L2TP sobre IPSec.

   Tanto PPTP como L2TP sobre filtros de paquetes IPSec se configuran en el adaptador WAN conectado a Internet. Para evitar que el servidor VPN envíe o reciba tráfico en su interfaz de Internet, excepto el tráfico PPTP o L2TP sobre IPSec proveniente de enrutadores de sucursales o de clientes de acceso remoto, deben configurarse PPTP y L2TP sobre filtros de entrada y salida IPSec en la interfaz de Internet. Debido a que el enrutamiento IP está habilitado en la interfaz de Internet, si no configura L2TP sobre filtros IPSec y PPTP en la interfaz de Internet del servidor VPN, todo el tráfico recibido en esta interfaz se enrutará y es posible que se reenvíe tráfico no deseado a la intranet. Para obtener más información, consulte los procedimientos "Agregar filtros de paquetes PPTP" y "Agregar filtros de paquetes L2TP" en el apéndice A. Para obtener información acerca del filtrado de paquetes IP, consulte la Ayuda de Windows 2000 Server y la guía acerca de recursos de Internet incluida en el Kit de recursos de Microsoft Windows 2000 Server.

8. Establezca el número de teléfono para los dispositivos PPTP y L2TP.

   Para ayudar en la configuración de directivas de acceso remoto que limiten las conexiones VPN provenientes de usuarios de Internet, las propiedades de puerto para los dispositivos minipuerto WAN (PPTP) y minipuerto WAN (L2TP) se modifican con la dirección IP de la interfaz de Internet del servidor VPN en el campo Número de teléfono para este dispositivo. Para obtener más información, consulte el procedimiento "Configurar un número de teléfono en un dispositivo" en el apéndice A.

9. Configure una ruta estática en el enrutador de la intranet para llegar a todas las sucursales.

   Para llegar a la ubicación de las sucursales desde el enrutador de la intranet, se configura una ruta estática con la siguiente configuración:

   • Interfaz: el adaptador LAN conectado a la intranet
   • Destino: 192.168.0.0
   • Máscara de red: 255.255.0.0
   • Puerta de enlace: 172.31.0.1
   • Métrica: 1

   Esta ruta estática simplifica el enrutamiento al resumir todos los destinos en las sucursales de Electronic Inc.

Configuración de la directiva de acceso remoto

Electronic Inc. ha migrado a un dominio en modo nativo basado en Windows 2000 y el administrador de red para Electronic Inc. ha seleccionado un modelo administrativo de acceso por directiva. El permiso de acceso remoto en todas las cuentas de usuario está establecido como Controlar acceso a través de la directiva de acceso remoto. La concesión de permisos de acceso remoto a intentos de conexión se controla mediante la configuración de permisos de acceso remoto en la primera directiva de acceso remoto correspondiente. Las directivas de acceso remoto se usan para aplicar diferentes configuraciones de conexión VPN basadas en la pertenencia a grupos y la directiva de acceso remoto predeterminada llamada Permitir el acceso si está habilitado el permiso de acceso telefónico se elimina.

Para obtener más información, consulte el tema acerca de modelos administrativos de las directivas de acceso remoto en la Ayuda de Windows 2000 Server.

Configuración del dominio

Para aprovechar la capacidad para aplicar las diferentes configuraciones de conexión a distintos tipos de conexiones VPN se crean los siguientes grupos de Windows 2000:

• VPN_Usuarios (VPN_Users)

  Se usa para las conexiones VPN de acceso remoto

• VPN_Enrutadores (VPN_Routers)

  Se usa para conexiones VPN de enrutador a enrutador desde sucursales de Electronic Inc.

• VPN_Socios (VPN_Partners)

  Se usa para conexiones VPN de enrutador a enrutador desde socios comerciales de Electronic Inc.

Nota Todos los usuarios y grupos en este escenario se crean en el dominio de Active Directory™ electronic.microsoft.com.

Configuración de la seguridad

Para habilitar las conexiones L2TP sobre IPSec y la utilización de tarjetas inteligentes por parte de los clientes de acceso remoto, el dominio de Electronic Inc. se configura para inscribir automáticamente certificados de equipo para todos los miembros del dominio.

Para obtener más información, consulte el procedimiento "Configurar la asignación automática de certificados" en el apéndice A.

Acceso remoto de VPN para empleados

El acceso remoto para empleados de Electronic Inc. se distribuye por Internet mediante las conexiones VPN de acceso remoto en función de la configuración establecida en la sección "Configuración común del servidor VPN" de este documento y en la configuración adicional siguiente.

La figura 2 muestra el servidor VPN de Electronic Inc. que proporciona conexiones VPN de acceso remoto.

Si su explorador no admite marcos incrustados, haga clic aquí para ver el contenido en una página independiente.

Figura 2 El servidor VPN de Electronic Inc. que proporciona conexiones VPN de acceso remoto

Configuración del dominio

Para cada empleado con acceso a la red privada virtual:

• El permiso de acceso remoto en las propiedades de acceso telefónico de la cuenta del usuario se establece a Controlar acceso a través de la directiva de acceso remoto.
• La cuenta de usuario se agrega al grupo VPN_Usuarios de Windows 2000.

Configuración de la directiva de acceso remoto

Para definir los parámetros de autenticación y de cifrado para los clientes VPN de acceso remoto se crea la siguiente directiva de acceso remoto:

• Nombre de directiva: clientes VPN de acceso remoto

Condiciones:

• Puerto-NAS se establece a Virtual (VPN).
• Grupos-Windows se establece a VPN_Usuarios.
• Id-estación-llamada se establece a 207.46.130.1.

• El permiso se establece a Conceder permiso de acceso remoto.
  
  

Configuración del perfil:

• Ficha Autenticación:se selecciona Protocolo de autenticación extensible y se configura la tarjeta inteligente u otro certificado (TLS) para usar el certificado de equipo instalado. También se seleccionan Autenticación cifrada de Microsoft versión 2 (MS-CHAP v2) y Autenticación cifrada de Microsoft (MS-CHAP).
• Ficha Cifrado: Básica y Fuerte son las únicas opciones seleccionadas.

Nota La condición Id-estación-llamada se establece como la dirección IP de la interfaz de Internet para el servidor VPN. Únicamente se permiten los túneles iniciados desde Internet. No se permiten los túneles iniciados desde la intranet de Electronic Inc. Aquellos usuarios de Electronic Inc. que necesiten tener acceso a Internet desde la intranet de Electronic Inc. deben pasar por el servidor proxy de Electronic Inc. (que no se muestra aquí) donde se controla y supervisa el acceso a Internet.

Configuración del conjunto de direcciones IP

El Asistente para realizar conexión nueva se utiliza en equipos cliente con el fin de crear una conexión VPN con la siguiente configuración:

• Nombre de host o dirección IP: vpn.electronic.microsoft.com

La configuración de la conexión VPN se modifica de la siguiente manera:

En la ficha Funciones de red, el Tipo de servidor de acceso telefónico al que estoy llamando se establece a Protocolo de túnel punto a punto (PPTP). Esto está establecido así para proporcionar un mejor rendimiento en la conexión. Cuando Tipo de servidor de acceso telefónico al que estoy llamando se establece a Automático, se probará primero con una asociación de seguridad IPSec (SA) para una conexión L2TP. Si configura la conexión para PPTP, no se intenta la asociación de seguridad IPSec para una conexión L2TP.

Configuración de clientes de acceso remoto basada en L2TP

El equipo de acceso remoto inicia una sesión en el dominio de Electronic Inc. mediante una conexión de red de área local (LAN) con la intranet de esta organización y recibe un certificado por la inscripción automática. A continuación, el Asistente para realizar conexión nueva se usa para crear una conexión VPN con la siguiente configuración:

• Nombre de host o dirección IP: vpn.electronic.microsoft.com

La configuración de la conexión VPN se modifica de la siguiente manera:

• En la ficha Funciones de red, el Tipo de servidor de acceso telefónico al que estoy llamando se establece a Protocolo de túnel de capa 2 (L2TP). Cuando Tipo de servidor de acceso telefónico al que estoy llamando se establece a Automático, se probará primero con una asociación de seguridad IPSec (SA) para una conexión L2TP. Si la asociación de seguridad IPSec no se efectúa correctamente, se intentará una conexión PPTP. En este caso, el administrador de red de Electronic Inc. no admite clientes de acceso remoto que sean capaces de establecer una conexión L2TP para volver a una conexión PPTP.

Sucursal a petición

Las sucursales en Portland y Dallas de Electronic Inc. están conectadas a la oficina corporativa mediante conexiones VPN a petición de enrutador a enrutador. Tanto las oficinas de Portland como de Dallas tienen un pequeño número de empleados que únicamente necesitan una conectividad ocasional con la oficina central. Los enrutadores de Windows 2000 de las oficinas de Portland y Dallas están equipados con un adaptador RDSI (ISDN) que marca a un proveedor de servicios Internet local con el fin de obtener acceso a Internet y, a continuación, se efectúa una conexión VPN de enrutador a enrutador a través de Internet. Cuando la conexión VPN no se utiliza durante cinco minutos, los enrutadores de las sucursales la terminan.

La sucursal de Dallas utiliza el identificador de red IP 192.168.28.0 con la máscara de subred 255.255.255.0. La sucursal de Portland utiliza el identificador de red IP 192.168.4.0 con la máscara de subred 255.255.255.0.

Con el fin de simplificar la configuración, la conexión VPN siempre la inicia el enrutador de la sucursal en un único sentido. Para obtener más información, consulte el tema acerca de las conexiones de marcado a petición iniciadas en un único sentido, en la Ayuda de Windows 2000 Server.

La figura 3 muestra el servidor VPN de Electronic Inc. que proporciona conexiones con sucursales a petición.

Si su explorador no admite marcos incrustados, haga clic aquí para ver el contenido en una página independiente.

Figura 3 El servidor VPN de Electronic Inc. que proporciona conexiones con sucursales a petición

Para distribuir conexiones VPN de enrutador a enrutador a petición para conectar las sucursales de Portland y de Dallas a la oficina corporativa en función de la configuración especificada en la sección "Configuración común del servidor VPN" de este documento, se configuran los siguientes valores adicionales.

Configuración del dominio

Para realizar una conexión VPN con la sucursal de Dallas, se crea una la cuenta de usuario VPN_Dallas con la siguiente configuración:

• Contraseña nY7W{q8~=z3.
• Para las propiedades de marcado de la cuenta VPN_Dallas, el permiso de acceso remoto se establece a Controlar acceso a través de la directiva de acceso remoto y se agrega la ruta estática 192.168.28.0 con la máscara de subred 255.255.255.0.
• Para las propiedades de cuenta de la cuenta VPN_Dallas, se selecciona la opción de cuenta La contraseña nunca caduca.
• La cuenta VPN_Dallas se agrega al grupo VPN_Enrutadores.

Para realizar una conexión VPN con la sucursal de Portland, se crea una la cuenta de usuario VPN_Portland con la siguiente configuración:

• Contraseña P*4s=wq!Gx1.
• Para las propiedades de marcado de la cuenta VPN_Portland, el permiso de acceso remoto se establece a Controlar acceso a través de la directiva de acceso remoto y se agrega la ruta estática 192.168.4.0 con la máscara de subred 255.255.255.0.
• Para las propiedades de cuenta de la cuenta VPN_Portland, se selecciona la opción de cuenta La contraseña nunca caduca.
• La cuenta VPN_Portland se agrega al grupo VPN_Enrutadores.

Para definir los parámetros de autenticación y de cifrado para los enrutadores VPN se crea la siguiente directiva de acceso remoto:

Nombre de directiva: enrutadores VPN.

Condiciones:

Tipo-puerto-NAS se establece a Virtual (VPN)

Grupos-Windows se establece a VPN_Enrutadores

Id-estación-llamada se establece a 207.46.130.1

El permiso se establece a Conceder permiso de acceso remoto.

Configuración del perfil:

Ficha Autenticación: se selecciona Protocolo de autenticación extensible y se configura la tarjeta inteligente u otro certificado (TLS) para usar el certificado de equipo instalado. También se selecciona Autenticación cifrada de Microsoft versión 2 (MS-CHAP v2).

Ficha Cifrado: Básica y Fuerte son las únicas opciones seleccionadas.

Nota La condición Id-estación-llamada se establece como la dirección IP de la interfaz de Internet para el servidor VPN. Únicamente se permiten los túneles iniciados desde Internet. No se permiten los túneles iniciados desde la intranet de Electronic Inc. Aquellos usuarios de Electronic Inc. que necesiten tener acceso a Internet desde la intranet de Electronic Inc. deben pasar por el servidor proxy de Electronic Inc. (que no se muestra aquí) donde se controla y supervisa el acceso a Internet.

Las siguientes secciones describen una conexión de sucursal a petición basada en PPTP para la oficina de Dallas y una conexión de sucursal a petición basada en L2TP para la oficina de Portland.

Sucursal a petición basada en PPTP

La sucursal de Dallas se basa en PPTP y utiliza un enrutador de Windows 2000 para establecer una conexión VPN a petición de enrutador a enrutador con el servidor VPN en Nueva York cuando se necesita. Cuando se establece la conexión y permanece inactiva durante cinco minutos, ésta se termina.

Para distribuir una conexión VPN, a petición, PPTP y de enrutador a enrutador, iniciada en un único sentido en la oficina corporativa, en función de la configuración especificada en las secciones "Configuración común del servidor VPN" y "Sucursal a petición" de este documento, se configuran los siguientes valores adicionales en el enrutador de Dallas.

Interfaz de marcado a petición para la conexión con un proveedor de servicios Internet

Para conectar el enrutador de la oficina de Dallas a Internet mediante un proveedor de servicios Internet local, se crea una interfaz de marcado a petición con el Asistente para interfaz de marcado a petición y la configuración siguiente:

Nombre de interfaz

ISP

Tipo de conexión

Se selecciona Conectar usando un módem, un adaptador ISDN (RDSI) u otro dispositivo físico.

Seleccione un dispositivo

Se selecciona el dispositivo RDSI adecuado.

Número de teléfono o dirección

El número de teléfono del ISP de la oficina de Dallas.

Protocolos y seguridad

Se activa la casilla de verificación Enrutar paquetes IP en esta interfaz.

Credenciales de llamada saliente

Nombre de usuario: nombre de cuenta del ISP de la oficina de Dallas

Contraseña: contraseña de la cuenta del ISP de la oficina de Dallas

Confirmar contraseña: contraseña de la cuenta del ISP de la oficina de Dallas

Para ejecutar el Asistente para interfaz de marcado a petición, haga clic con el botón secundario del mouse (ratón) en Interfaces de enrutamiento y, a continuación, haga clic en Interfaz de marcado a petición nueva.

Interfaz de marcado a petición para la conexión VPN de enrutador a enrutador

Para conectar el enrutador de la oficina de Dallas al servidor VPN mediante una conexión VPN de enrutador a enrutador a través de Internet, se crea una interfaz de marcado a petición con el Asistente para interfaz de marcado a petición y la configuración siguiente:

Nombre de interfaz

CorpHQ

Tipo de conexión

Se selecciona Conectar usando red privada virtual (VPN).

Tipo de VPN

Se selecciona Protocolo de túnel punto a punto (PPTP).

Dirección de destino

207.46.130.1

Protocolos y seguridad

Se activa la casilla de verificación Enrutar paquetes IP en esta interfaz.

Credenciales de llamada saliente

Nombre de usuario: VPN_Dallas

Dominio: electronic.microsoft.com

Contraseña: nY7W{q8~=z3

Confirmar contraseña: nY7W{q8~=z3

Ruta estática para la sede central y las sucursales

Para hacer que sean accesibles todas las ubicaciones de la intranet corporativa, se configura la siguiente ruta estática:

Interfaz: CorpHQ

Destino: 172.16.0.0

Máscara de red: 255.240.0.0

Métrica: 1

Para hacer que sean accesibles todas las ubicaciones de las sucursales de Electronic Inc. se configura la siguiente ruta estática:

Interfaz: CorpHQ

Destino: 192.168.0.0

Máscara de red: 255.255.0.0

Métrica: 1

Ruta estática para el servidor VPN de Electronic Inc.

Para crear una conexión al proveedor de servicios Internet de Dallas cuando es necesario establecer una conexión VPN de enrutador a enrutador, se configura la siguiente ruta estática:

Interfaz: ISP

Destino: 207.46.130.1

Máscara de red: 255.255.255.255

Métrica: 1

Filtros de paquetes PPTP en la interfaz de marcado a petición conectada al proveedor de servicios Internet

Para asegurarse de que sólo se permite el tráfico basado en PPTP en la conexión a Internet, se configuran filtros de paquetes PPTP en la interfaz de marcado a petición del ISP. Para obtener más información, consulte el procedimiento "Agregar filtros de paquetes PPTP" en el apéndice A.

Sucursal a petición basada en L2TP

La sucursal de Portland se basa en L2TP y utiliza un enrutador de Windows 2000 para crear una conexión VPN a petición de enrutador a enrutador con el servidor VPN en Nueva York cuando se necesita. Cuando se establece la conexión y permanece inactiva durante cinco minutos, ésta se termina.

Para distribuir una conexión VPN, a petición, L2TP y de enrutador a enrutador, iniciada en un único sentido en la oficina corporativa, en función de la configuración especificada en las secciones "Configuración común del servidor VPN" y "Sucursal a petición" de este documento, se configuran los siguientes valores adicionales en el enrutador de Portland.

Configuración del certificado

El administrador de red de Electronic Inc. configuró el enrutador de Portland mientras éste estaba conectado físicamente a la intranet de Electronic Inc. y, a continuación, fue enviado al sitio de Portland. Mientras el enrutador de Portland estaba conectado a la intranet de Electronic Inc., se efectuó la instalación de un certificado de equipo por inscripción automática.

Interfaz de marcado a petición para la conexión con un proveedor de servicios Internet

Para conectar el enrutador de la oficina de Portland a Internet mediante un proveedor de servicios Internet local, se crea una interfaz de marcado a petición con el Asistente para interfaz de marcado a petición y la configuración siguiente:

Nombre de interfaz

ISP

Tipo de conexión

Se selecciona Conectar usando un módem, un adaptador ISDN (RDSI) u otro dispositivo físico.

Seleccione un dispositivo

Se selecciona el dispositivo RDSI adecuado.

Número de teléfono o dirección

Número de teléfono del ISP de la oficina de Portland.

Protocolos y seguridad

Se activa la casilla de verificación Enrutar paquetes IP en esta interfaz.

Credenciales de llamada saliente

Nombre de usuario: nombre de cuenta del ISP de la oficina de Portland.

Contraseña: contraseña de cuenta del ISP de la oficina de Portland.

Confirmar contraseña: contraseña de cuenta del ISP de la oficina de Portland.

Interfaz de marcado a petición para la conexión con VPN de enrutador a enrutador

Para conectar el enrutador de la oficina de Portland al servidor VPN mediante una conexión VPN de enrutador a enrutador a través de Internet, se crea una interfaz de marcado a petición con el Asistente para interfaz de marcado a petición y la configuración siguiente:

Nombre de interfaz

CorpHQ

Tipo de conexión

Se selecciona Conectar usando red privada virtual (VPN).

Tipo de VPN

Se selecciona Protocolo de túnel de capa 2 (L2TP).

Dirección de destino

207.46.130.1

Protocolos y seguridad

Se activa la casilla de verificación Enrutar paquetes IP en esta interfaz.

Credenciales de llamada saliente

Nombre de usuario: VPN_Portland

Dominio: electronic.microsoft.com

Contraseña: P*4s=wq!Gx1

Confirmar contraseña: P*4s=wq!Gx1

Ruta estática para la sede central y las sucursales

Para hacer que sean accesibles todas las ubicaciones de la intranet corporativa, se configura la siguiente ruta estática:

Interfaz: CorpHQ

Destino: 172.16.0.0

Máscara de red: 255.240.0.0

Métrica: 1

Para hacer que sean accesibles todas las ubicaciones de las sucursales de Electronic Inc. se configura la siguiente ruta estática:

Interfaz: CorpHQ

Destino: 192.168.0.0

Máscara de red: 255.255.0.0

Métrica: 1

Ruta estática para el servidor VPN de Electronic Inc.

Para crear una conexión al proveedor de servicios Internet de Portland cuando es necesario establecer una conexión VPN de enrutador a enrutador, se configura la siguiente ruta estática:

Interfaz: ISP

Destino: 207.46.130.1

Máscara de red: 255.255.255.255

Métrica: 1

Filtros de paquetes L2TP sobre IPSec en la interfaz de marcado a petición conectada al proveedor de servicios Internet

Para asegurarse de que sólo se permite el tráfico basado en L2TP sobre IPSec en la conexión a Internet, se configuran filtros de paquetes L2TP sobre IPSec en la interfaz de marcado a petición del proveedor de servicios Internet. Para obtener más información, consulte el procedimiento "Agregar filtros de paquetes L2TP" en el apéndice A.

Sucursal persistente

Las sucursales de Chicago y Phoenix de Electronic Inc. están conectadas a la oficina central mediante conexiones VPN persistentes de enrutador a enrutador que permanecen conectadas todo el día. Los enrutadores de Windows 2000 de las oficinas de Chicago y de Phoenix están equipados con adaptadores WAN T1 que tienen una conexión permanente con un proveedor de servicios Internet local para poder tener acceso a Internet.

La sucursal de Chicago utiliza el identificador de red IP 192.168.9.0 con la máscara de subred 255.255.255.0. El enrutador de la sucursal de Chicago utiliza la dirección IP pública 131.107.0.1 para su interfaz de Internet. La sucursal de Phoenix utiliza el identificador de red IP 192.168.14.0 con la máscara de subred 255.255.255.0. El enrutador de la sucursal de Phoenix utiliza la dirección IP pública 131.107.128.1 para su interfaz de Internet.

La conexión VPN es una conexión iniciada en dos sentidos. La conexión se inicia desde el enrutador de cualquiera de las dos sucursales o desde el servidor VPN. Las conexiones iniciadas en dos sentidos requieren que se creen interfaces de marcado a petición, directivas de acceso remoto, conjuntos de direcciones IP y filtros de paquetes en los enrutadores situados a ambos lados de la conexión.

La figura 4 muestra el servidor VPN de Electronic Inc. que proporciona conexiones persistentes con las sucursales.

Si su explorador no admite marcos incrustados, haga clic aquí para ver el contenido en una página independiente.

Figura 4 El servidor VPN de Electronic Inc. que proporciona conexiones persistentes con las sucursales

Para distribuir conexiones VPN persistentes de enrutador a enrutador para conectar las sucursales de Chicago y de Phoenix a la oficina central en función de la configuración especificada en la sección "Configuración común del servidor VPN" de este documento, se configuran los siguientes valores adicionales.

Configuración del dominio

Para la conexión VPN de la sucursal de Chicago iniciada por el enrutador de dicha oficina se crea la cuenta de usuario VPN_Chicago con la siguiente configuración:

Contraseña U9!j5dP(%q1.

El permiso de acceso remoto en las propiedades de acceso telefónico de la cuenta VPN_Chicago se establece como Controlar acceso a través de la directiva de acceso remoto.

Para las propiedades de cuenta de la cuenta VPN_Chicago, se selecciona la opción de cuenta La contraseña nunca caduca.

La cuenta VPN_Chicago se agrega al grupo VPN_Enrutadores.

Para la conexión VPN de la sucursal de Phoenix iniciada por el enrutador de dicha oficina se crea la cuenta de usuario VPN_Phoenix con la siguiente configuración:

Contraseña z2F%s)bW$4f.

El permiso de acceso remoto en las propiedades de acceso telefónico de la cuenta VPN_Phoenix se establece como Controlar acceso a través de la directiva de acceso remoto.

Para las propiedades de cuenta de la cuenta VPN_Phoenix se selecciona la opción de cuenta La contraseña nunca caduca.

La cuenta VPN_Phoenix se agrega al grupo VPN_Enrutadores.

Para la conexión VPN de las sucursales de Chicago y Phoenix iniciada por el servidor VPN se crea la cuenta de usuario VPN_CorpHQ con la siguiente configuración:

Contraseña o3\Dn6@`-J4.

El permiso de acceso remoto en las propiedades de acceso telefónico de la cuenta VPN_CorpHQ se establece como Controlar acceso a través de la directiva de acceso remoto.

La cuenta VPN_CorpHQ se agrega al grupo VPN_Enrutadores.

Configuración de la directiva de acceso remoto

Las directivas de acceso remoto deben configurarse en el servidor VPN y en los enrutadores de las oficinas de Chicago y Phoenix.

Configuración de las directivas de acceso remoto en el servidor VPN

La configuración de las directivas de acceso remoto en el servidor VPN es la misma que la descrita en la sección "Sucursal a petición" de este documento.

Configuración de las directivas de acceso remoto en el enrutador de la oficina de Chicago

Para definir los parámetros de autenticación y de cifrado de los enrutadores VPN, se elimina la directiva predeterminada Permitir el acceso si está habilitado el permiso de acceso telefónico y se crea la siguiente directiva de acceso remoto:

Nombre de directiva: enrutadores VPN

Condiciones:

Tipo-puerto-NAS se establece a Virtual (VPN)

Grupos-Windows se establece a VPN_Enrutadores

Id-estación-llamada se establece a 131.107.0.1

El permiso se establece a Conceder permiso de acceso remoto

Configuración del perfil:

Ficha Autenticación: se selecciona Protocolo de autenticación extensible y se configura la tarjeta inteligente u otro certificado (TLS)para usar el certificado de equipo instalado. También se selecciona Autenticación cifrada de Microsoft versión 2 (MS-CHAP v2).

Ficha Cifrado: Básica y Fuerte son las únicas opciones seleccionadas.

Nota La condición Id-estación-llamada se establece como la dirección IP de la interfaz de Internet para el enrutador de la sucursal. Únicamente se permiten los túneles iniciados desde Internet. No se permiten los túneles iniciados desde la red de las sucursales de Electronic Inc.

Configuración de las directivas de acceso remoto en el enrutador de la oficina de Phoenix

Para definir los parámetros de autenticación y de cifrado de los enrutadores VPN, se elimina la directiva predeterminada Permitir el acceso si está habilitado el permiso de acceso telefónico y se crea la siguiente directiva de acceso remoto:

Nombre de directiva: enrutadores VPN

Condiciones:

Puerto-NAS se establece a Virtual (VPN)

Grupos-Windows se establece a VPN_Enrutadores

Id-estación-llamada se establece a 131.107.128.1

El permiso se establece a Conceder permiso de acceso remoto

 

Configuración del perfil:

Ficha Autenticación: se selecciona Protocolo de autenticación extensible y se configura la tarjeta inteligente u otro certificado (TLS) para usar el certificado de equipo instalado. También se selecciona Autenticación cifrada de Microsoft versión 2 (MS-CHAP v2).

Ficha Cifrado: Básica y Fuerte son las únicas opciones seleccionadas.

Nota La condición Id-estación-llamada se establece como la dirección IP de la interfaz de Internet para el enrutador de la sucursal. Únicamente se permiten los túneles iniciados desde Internet. No se permiten los túneles iniciados desde la red de las sucursales de Electronic Inc.

Configuración del conjunto de direcciones IP

Los conjuntos de direcciones IP deben configurarse en el servidor VPN y en los enrutadores de las oficinas de Chicago y Phoenix.

Configuración del conjunto de direcciones IP en el servidor VPN

La configuración del conjunto de direcciones IP en el servidor VPN es la misma que la descrita en la sección "Configuración común del servidor VPN" de este documento.

Configuración del conjunto de direcciones IP en el enrutador de la oficina de Chicago

Se configura un conjunto de direcciones IP estáticas con la dirección IP 192.168.9.248 inicial y la dirección IP final 192.168.9.253. Esto crea un conjunto de direcciones estáticas para un máximo de cinco clientes VPN.

Para obtener más información, consulte el procedimiento "Crear un grupo de direcciones IP estáticas" en el apéndice A.

Configuración del conjunto de direcciones IP en el enrutador de la oficina de Phoenix

Se configura un conjunto de direcciones IP estáticas con la dirección IP 192.168.14.248 inicial y la dirección IP final 192.168.14.253. Esto crea un conjunto de direcciones estáticas para un máximo de cinco clientes VPN.

Para obtener más información, consulte el procedimiento "Crear un grupo de direcciones IP estáticas" en el apéndice A.

Las secciones siguientes describen una conexión persistente basada en PPTP con la sucursal para la oficina de Chicago y una conexión persistente basada en L2TP para la oficina de Phoenix.

Sucursal persistente basada en PPTP

La sucursal de Chicago se basa en PPTP y utiliza un enrutador de Windows 2000 para crear una conexión VPN persistente de enrutador a enrutador con el servidor VPN de Nueva York. La conexión no se termina nunca, ni siquiera estando inactiva.

Para distribuir una conexión VPN, persistente, PPTP y de enrutador a enrutador, iniciada en dos sentidos en la oficina central, en función de la configuración especificada en las secciones "Configuración común del servidor VPN" y "Sucursal a petición" de este documento, se configuran los siguientes valores adicionales en el enrutador de Chicago.

Configuración del servidor de red privada virtual

El servidor de red privada virtual está configurado con una interfaz de marcado a petición, con rutas estáticas y con filtros de paquete PPTP.

Interfaz de marcado a petición para la conexión con VPN de enrutador a enrutador

Para conectar el servidor de red privada virtual al enrutador de Chicago mediante una conexión VPN de enrutador a enrutador a través de Internet, se crea una interfaz de marcado a petición mediante el Asistente para interfaz de marcado a petición con la configuración siguiente:

Nombre de interfaz

VPN_Chicago

Tipo de conexión

Se selecciona Conectar usando red privada virtual (VPN).

Tipo de VPN

Se selecciona Protocolo de túnel punto a punto (PPTP).

Dirección de destino

131.107.0.1

Protocolos y seguridad

Se activa la casilla de verificación Enrutar paquetes IP en esta interfaz.

Credenciales de llamada saliente

Nombre de usuario: VPN_CorpHQ

Dominio: electronic.microsoft.com

Contraseña: o3\Dn6@`-J4

Confirmar contraseña: o3\Dn6@`-J4

Una vez creada la interfaz de marcado a petición tiene lugar el siguiente cambio:

Para las propiedades de la interfaz de marcado a petición, en la ficha Opciones, en Tipo de conexión, se selecciona Conexión persistente.

Ruta estática para la red de la oficina de Chicago

Para hacer que sean accesibles todas las ubicaciones de la red de Chicago, se configura la siguiente ruta estática:

Interfaz: VPN_Chicago

Destino: 192.168.9.0

Máscara de red: 255.255.255.0

Métrica: 1

Configuración del enrutador de Chicago

El enrutador de Chicago se configura con una interfaz de marcado a petición y con rutas estáticas.

Interfaz de marcado a petición para la conexión VPN de enrutador a enrutador

Para conectar el enrutador de la oficina de Chicago al servidor VPN mediante una conexión VPN de enrutador a enrutador a través de Internet, se crea una interfaz de marcado a petición mediante el Asistente para interfaz de marcado a petición con la configuración siguiente:

Nombre de interfaz

VPN_CorpHQ

Tipo de conexión

Se selecciona Conectar usando red privada virtual (VPN).

Tipo de VPN

Se selecciona Protocolo de túnel punto a punto (PPTP).

Dirección de destino

207.46.130.1

Protocolos y seguridad

Se activa la casilla de verificación Enrutar paquetes IP en esta interfaz.

Credenciales de llamada saliente

Nombre de usuario: VPN_Chicago

Dominio: electronic.microsoft.com

Contraseña: U9!j5dP(%q1

Confirmar contraseña: U9!j5dP(%q1

Una vez creada la interfaz de marcado a petición tiene lugar el siguiente cambio:

Para las propiedades de la interfaz de marcado a petición, en la ficha Opciones, en Tipo de conexión, se selecciona Conexión persistente. Para ver las propiedades de una interfaz de marcado a petición, haga clic en Interfaces de enrutamiento, haga clic con el botón secundario del mouse en la interfaz de marcado a petición deseada y, a continuación, haga clic en Propiedades.

Ruta estática para el servidor VPN de Electronic Inc.

Para hacer que sea accesible el servidor VPN de Electronic Inc. en Internet, se configura la siguiente ruta estática:

Interfaz: el adaptador WAN conectado a Internet

Destino: 207.46.130.1

Máscara de red: 255.255.255.255

Puerta de enlace: 0.0.0.0

Métrica: 1

Nota Debido a que el adaptador WAN crea una conexión punto a punto con el proveedor de servicios Internet, se puede establecer cualquier dirección para la puerta de enlace o gateway. La dirección de la puerta de enlace 0.0.0.0 es un ejemplo. 0.0.0.0 es una dirección IP sin especificar.

Ruta estática para la intranet corporativa y las sucursales

Para hacer que sean accesibles todas las ubicaciones de la intranet corporativa, se configura la siguiente ruta estática:

Interfaz: VPN_CorpHQ

Destino: 172.16.0.0

Máscara de red: 255.240.0.0

Métrica: 1

Para hacer que sean accesibles todas las ubicaciones de las sucursales de Electronic Inc. se configura la siguiente ruta estática:

Interfaz: VPN_CorpHQ

Destino: 192.168.0.0

Máscara de red: 255.255.0.0

Métrica: 1

Filtros de paquete PPTP en la interfaz de Internet

Para asegurarse de que sólo se permite el tráfico basado en PPTP en la conexión a Internet, puede configurar filtros de paquetes PPTP en la interfaz de Internet. Para obtener más información, consulte el procedimiento "Agregar filtros de paquetes PPTP" en el apéndice A.

Sucursal persistente basada en L2TP

La sucursal de Phoenix se basa en L2TP y utiliza un enrutador de Windows 2000 para crear una conexión VPN persistente de enrutador a enrutador con el servidor VPN de Nueva York. La conexión no se termina nunca, ni siquiera estando inactiva.

Para distribuir una conexión VPN, persistente, PPTP y de enrutador a enrutador, iniciada en dos sentidos en la oficina central, en función de la configuración especificada en las secciones "Configuración común del servidor VPN" y "Sucursal a petición" de este documento, se configuran los siguientes valores adicionales en el enrutador de Phoenix.

Configuración del servidor de red privada virtual

El servidor VPN se configura con una interfaz de marcado a petición y una ruta estática.

Interfaz de marcado a petición para la conexión con VPN de enrutador a enrutador

Para conectar el servidor de red privada virtual al enrutador de Phoenix mediante una conexión de red privada virtual de enrutador a enrutador a través de Internet, se crea una interfaz de marcado a petición mediante el Asistente para interfaz de marcado a petición con la configuración siguiente:

Nombre de interfaz

VPN_Phoenix

Tipo de conexión

Se selecciona Conectar usando red privada virtual (VPN).

Tipo de VPN

Se selecciona Protocolo de túnel de capa 2 (L2TP).

Dirección de destino

131.107.128.1

Protocolos y seguridad

Se activa la casilla de verificación Enrutar paquetes IP en esta interfaz.

Credenciales de llamada saliente

Nombre de usuario: VPN_CorpHQ

Dominio: electronic.microsoft.com

Contraseña: o3\Dn6@`-J4

Confirmar contraseña: o3\Dn6@`-J4

Una vez creada la interfaz de marcado a petición tiene lugar el siguiente cambio:

Para las propiedades de la interfaz de marcado a petición, en la ficha Opciones, en Tipo de conexión, se selecciona Conexión persistente.

Ruta estática para la red de la oficina de Phoenix

Para hacer que sean accesibles todas las ubicaciones de la red de Phoenix, se configura la siguiente ruta estática:

Interfaz: VPN_Phoenix

Destino: 192.168.14.0

Máscara de red: 255.255.255.0

Métrica: 1

Configuración del enrutador de Phoenix

El administrador de red de Electronic Inc. configuró el enrutador de Phoenix mientras éste estaba conectado a la intranet de Electronic Inc. y, a continuación, fue enviado al sitio de Phoenix. Mientras el enrutador de Phoenix estaba conectado a la intranet de Electronic Inc., se efectuó la instalación de un certificado de equipo por inscripción automática. Además, el equipo enrutador de Phoenix se configuró con una interfaz de marcado a petición y una ruta estática.

Interfaz de marcado a petición para la conexión con VPN de enrutador a enrutador

Para conectar el enrutador de la oficina de Phoenix al servidor VPN mediante una conexión VPN de enrutador a enrutador a través de Internet, se crea una interfaz de marcado a petición con el Asistente para interfaz de marcado a petición con la configuración siguiente:

Nombre de interfaz

VPN_CorpHQ

Tipo de conexión

Se selecciona Conectar usando red privada virtual (VPN).

Tipo de VPN

Se selecciona Protocolo de túnel de capa 2 (L2TP).

Dirección de destino

207.46.130.1

Protocolos y seguridad

Se activa la casilla de verificación Enrutar paquetes IP en esta interfaz.

Credenciales de llamada saliente

Nombre de usuario: VPN_Phoenix

Dominio: electronic.microsoft.com

Contraseña: z2F%s)bW$4f

Confirmar contraseña: z2F%s)bW$4f

Una vez creada la interfaz de marcado a petición tiene lugar el siguiente cambio:

Para las propiedades de la interfaz de marcado a petición, en la ficha Opciones, en Tipo de conexión, se selecciona Conexión persistente.

Ruta estática para el servidor VPN de Electronic Inc.

Para hacer que sea accesible el servidor VPN de Electronic Inc. en Internet, se configura la siguiente ruta estática:

Interfaz: el adaptador WAN conectado a Internet

Destino: 207.46.130.1

Máscara de red: 255.255.255.255

Puerta de enlace: 0.0.0.0

Métrica: 1

Nota Debido a que el adaptador WAN crea una conexión punto a punto con el proveedor de servicios Internet, se puede establecer cualquier dirección para la puerta de enlace o gateway. La dirección de la puerta de enlace 0.0.0.0 es un ejemplo. 0.0.0.0 es una dirección IP sin especificar.

Ruta estática para la intranet corporativa y las sucursales

Para hacer que sean accesibles todas las ubicaciones de la intranet corporativa, se configura la siguiente ruta estática:

Interfaz: VPN_CorpHQ

Destino: 172.16.0.0

Máscara de red: 255.240.0.0

Métrica: 1

Para hacer que sean accesibles todas las ubicaciones de las sucursales de Electronic Inc. se configura la siguiente ruta estática:

Interfaz: VPN_CorpHQ

Destino: 192.168.0.0

Máscara de red: 255.255.0.0

Métrica: 1

L2TP sobre filtros de paquetes IPSec en la interfaz de Internet

Para asegurarse de que sólo se permite el tráfico basado en L2TP sobre IPSec en la conexión a Internet, se configuran filtros de paquetes L2TP sobre IPSec en la interfaz de Internet. Para obtener más información, consulte el procedimiento "Agregar filtros de paquetes L2TP" en el apéndice A.

Extranet para socios comerciales

El administrador de red de Electronic Inc. ha creado una extranet, una parte de la red privada de Electronic Inc. que está disponible para socios comerciales a través de conexiones VPN seguras. La extranet de Electronic Inc. es la red conectada al servidor VPN de Electronic Inc. y contiene un servidor de archivos y un servidor Web. Los distribuidores de componentes Tasmanian Traders y Parnell Aerospace son socios comerciales de Electronic Inc. y se conectan a la extranet de ésta última a través de conexiones VPN de enrutador a enrutador a petición. Para asegurar que los socios comerciales sólo tengan acceso al servidor de archivos y al servidor Web de la extranet se utiliza una directiva adicional de acceso remoto.

El servidor de archivos de la extranet de Electronic Inc. se configura con la dirección IP 172.31.0.10 y el servidor Web se configura con la dirección IP 172.31.0.11. Tasmanian Traders utiliza el identificador de red pública 131.107.254.0 con la máscara de subred 255.255.255.0. Parnell Aerospace utiliza el identificador de red pública 131.107.250.0 con la máscara de subred 255.255.255.0. Para asegurarse de que el servidor Web y el servidor de archivos de la extranet puedan comunicarse con los socios comerciales, se configuran rutas estáticas en el servidor de archivos para cada una de las redes de los socios comerciales que utilizan la dirección de puerta de enlace 172.31.0.1

Para simplificar la configuración, la conexión VPN se inicia en un único sentido. El enrutador del socio comercial es el que siempre inicia la conexión. Para obtener más información consulte el tema acerca de las conexiones de marcado a petición iniciadas en un único sentido, en la Ayuda de Windows 2000 Server.

La figura 5 muestra el servidor VPN de Electronic Inc. que facilita a los socios comerciales la conexión a la extranet.

Si su explorador no admite marcos incrustados, haga clic aquí para ver el contenido en una página independiente.

Figura 5 El servidor VPN de Electronic Inc. que facilita a los socios comerciales la conexión a la extranet

Para distribuir conexiones VPN de enrutador a enrutador a petición iniciadas en un sentido con el fin de conectar a Tasmanian Traders y a Parnell Aerospace con la extranet de Electronic Inc. en función de la configuración especificada en la sección "Configuración común del servidor VPN" de este documento, se configuran los siguientes valores adicionales.

Configuración del dominio

Para la conexión VPN con Tasmanian Traders, se crea la cuenta de usuario PTR_Tasmanian con la configuración siguiente:

Contraseña Y8#-vR7?]fI.

Para las propiedades de marcado de la cuenta PTR_Tasmanian, el permiso de acceso remoto se establece a Controlar acceso a través de la directiva de acceso remoto y se agrega la ruta estática 131.107.254.0. con la máscara de subred 255.255.255.0.

Para las propiedades de cuenta de la cuenta PTR_Tasmanian, se activa la opción de cuenta La contraseña nunca caduca.

La cuenta PTR_Tasmanian se agrega al grupo VPN_Socios.

Para la conexión VPN con Parnell Aerospace, se crea una cuenta de usuario PTR_Parnell con la siguiente configuración:

Contraseña W@8c^4r-;2\.

Para las propiedades de marcado de la cuenta PTR_Parnell, el permiso de acceso remoto se establece a Controlar acceso a través de la directiva de acceso remoto y se agrega la ruta estática 131.107.250.0. con la máscara de subred 255.255.255.0.

Para las propiedades de cuenta de la cuenta PTR_Parnell se selecciona la opción de cuenta La contraseña nunca caduca.

La cuenta PTR_Parnell se agrega al grupo VPN_Socios.

Configuración de la directiva de acceso remoto

Para definir los parámetros de autenticación y de cifrado para las conexiones VPN de los socios comerciales se crea la siguiente directiva de acceso remoto:

Nombre de directiva: Socios VPN

Condiciones:

Puerto-NAS se establece a Virtual (VPN)

Grupos-Windows se establece a VPN_Socios

Id-estación-llamada se establece a 207.46.130.1

El permiso se establece a Conceder permiso de acceso remoto

Configuración del perfil:

En la ficha IP se configuran los siguientes filtros de paquetes TCP/IP:

Desde el cliente:

Acción de filtrado: Denegar todo el tráfico excepto el que se lista abajo

Filtro 1: dirección IP de la red de destino 172.31.0.10 y máscara de subred 255.255.255.255

Filtro 2: dirección IP de la red de destino 172.31.0.11 y máscara de subred 255.255.255.255

Al cliente:

Acción de filtrado: Denegar todo el tráfico excepto el que se lista abajo

Filtro 1: dirección IP de la red de origen 172.31.0.10 y máscara de subred 255.255.255.255

Filtro 2: dirección IP de la red de origen 172.31.0.11 y máscara de subred 255.255.255.255

Ficha Autenticación: se selecciona Protocolo de autenticación extensible y se configura la tarjeta inteligente u otro certificado (TLS) para usar el certificado de equipo instalado. También se selecciona Autenticación cifrada de Microsoft versión 2 (MS-CHAP v2).

Ficha Cifrado: Básica y Fuerte son las únicas opciones seleccionadas.

Nota La condición Id-estación-llamada se establece como la dirección IP de la interfaz de Internet para el servidor VPN. Únicamente se permiten los túneles iniciados desde Internet. No se permiten los túneles iniciados desde la intranet de Electronic Inc. Aquellos usuarios de Electronic Inc. que necesiten tener acceso a Internet desde la intranet de Electronic Inc. deben pasar por el servidor proxy de Electronic Inc. (que no se muestra aquí) donde se controla y supervisa el acceso a Internet.

En las secciones siguientes se describen dos extranets, una basada en PPTP para el socio comercial Tasmanian Traders y otra basada en L2TP para el socio comercial Parnell Aerospace.

Extranet basada en PPTP para socios comerciales

Tasmanian Traders es un socio comercial que utiliza un enrutador de Windows 2000 para crear una conexión VPN a petición, de enrutador a enrutador, basada en PPTP con el servidor VPN de Electronic Inc. en Nueva York, cuando se necesita. Cuando se crea la conexión y permanece inactiva durante cinco minutos, ésta se termina. El enrutador de Tasmanian Traders se conecta a Internet mediante una conexión de red de área extensa permanente.

Para distribuir una conexión VPN, a petición, PPTP y de enrutador a enrutador, iniciada en un único sentido en la oficina corporativa, en función de la configuración especificada en las secciones "Configuración común del servidor VPN" y "Extranet para socios comerciales" de este documento, se configuran los siguientes valores adicionales en el enrutador de Tasmanian Traders.

Interfaz de marcado a petición para la conexión con VPN de enrutador a enrutador

Para conectar el enrutador de Tasmanian Traders al servidor VPN de Electronic Inc. mediante una conexión VPN de enrutador a enrutador a través de Internet, se crea una interfaz de marcado a petición con el Asistente para interfaz de marcado a petición con la configuración siguiente:

Nombre de interfaz

Electronic

Tipo de conexión

Se selecciona Conectar usando red privada virtual (VPN).

Tipo de VPN

Se selecciona Protocolo de túnel punto a punto (PPTP).

Dirección de destino

207.46.130.1

Protocolos y seguridad

Se activa la casilla de verificación Enrutar paquetes IP en esta interfaz.

Credenciales de llamada saliente

Nombre de usuario: PTR_Tasmanian

Dominio: electronic.microsoft.com

Contraseña: Y8#-vR7?]fI

Confirmar contraseña: Y8#-vR7?]fI

Ruta estática para la extranet de Electronic Inc.

Para hacer que estén accesibles todas las ubicaciones de la extranet de Electronic Inc., se configura la siguiente ruta estática:

Interfaz: Electronic

Destino: 172.31.0.0

Máscara de red: 255.255.0.0

Métrica: 1

Filtros de paquete PPTP en la interfaz de Internet

Para asegurarse de que sólo se permite el tráfico basado en PPTP en la conexión a Internet, puede configurar filtros de paquetes PPTP en la interfaz de Internet. Para obtener más información, consulte el procedimiento "Agregar filtros de paquetes PPTP" en el apéndice A.

Extranet basada en L2TP para socios comerciales

Parnell Aerospace es un socio comercial que utiliza un enrutador de Windows 2000 para crear una conexión VPN a petición de enrutador a enrutador basada en L2TP con el servidor VPN de Electronic Inc. de Nueva York, cuando se necesita. Cuando se crea la conexión y permanece inactiva durante cinco minutos, ésta se termina. El enrutador de Parnell Aerospace se conecta a Internet mediante una conexión WAN permanente.

Para distribuir una conexión VPN a petición, L2TP, de enrutador a enrutador, iniciada en un sentido en la oficina central en función de la configuración especificada en las secciones "Configuración común del servidor VPN" y "Extranet para socios comerciales" de este documento, se configuran los siguientes valores adicionales en el enrutador de Parnell Aerospace.

Configuración del certificado

El administrador de red de Electronic Inc. configuró el enrutador de Parnell Aerospace mientras éste estaba conectado físicamente a la intranet de Electronic Inc. y, a continuación, fue enviado al administrador de red de Parnell Aerospace. Mientras el enrutador de Parnell Aerospace estaba conectado a la intranet de Electronic Inc., se efectuó la instalación de un certificado de equipo por inscripción automática.

Interfaz de marcado a petición para la conexión con VPN de enrutador a enrutador

Para conectar el enrutador de Parnell Aerospace al servidor VPN de Electronic Inc. mediante una conexión VPN de enrutador a enrutador a través de Internet, se crea una interfaz de marcado a petición con el Asistente para interfaz de marcado a petición y la configuración siguiente:

Nombre de interfaz

Electronic

Tipo de conexión

Se selecciona Conectar usando red privada virtual (VPN).

Tipo de VPN

Se selecciona Protocolo de túnel de capa 2 (L2TP).

Dirección de destino

207.46.130.1 (es la dirección IP de la interfaz del servidor VPN de Electronic Inc. en Internet).

Protocolos y seguridad

Se activa la casilla de verificación Enrutar paquetes IP en esta interfaz.

Credenciales de llamada saliente

Nombre de usuario: PTR_Parnell

Dominio: electronic.microsoft.com

Contraseña: W@8c^4r-;2\

Confirmar contraseña: W@8c^4r-;2\

Ruta estática para la extranet de Electronic Inc.

Para hacer que estén accesibles todas las ubicaciones de la extranet de Electronic Inc., se configura la siguiente ruta estática:

Interfaz: Electronic

Destino: 172.31.0.0

Máscara de red: 255.255.0.0

Métrica: 1

Filtros de paquetes L2TP sobre IPSec en la interfaz de Internet

Para asegurarse de que sólo se permite el tráfico basado en L2TP sobre IPSec en la conexión a Internet, se configuran filtros de paquetes L2TP sobre IPSec en la interfaz de Internet. Para obtener más información, consulte el procedimiento "Agregar filtros de paquetes L2TP" en el apéndice A.

VPN y conexión telefónica con autenticación RADIUS

Además del acceso remoto basado en VPN, el administrador de red de Electronic Inc. desea proporcionar acceso remoto telefónico mediante módem a los empleados de la oficina de Nueva York. Todos los empleados de la oficina de Nueva York pertenecen a un grupo basado en Windows 2000 denominado NY_Empleados. Un servidor independiente de acceso remoto que ejecute Windows 2000 proporciona acceso remoto telefónico en el número de teléfono 555-0111. En vez de administrar por separado las directivas de acceso remoto del servidor VPN y del servidor de acceso remoto, el administrador de la red está utilizando un equipo donde se ejecuta Windows 2000 con el Servicio de autenticación Internet (IAS, Internet Authentication Service) como servidor RADIUS. El servidor IAS tiene la dirección IP 172.31.0.9 dentro de la extranet de Electronic Inc. y permite la autenticación y autorización centralizadas al tiempo que proporciona cuentas para el acceso remoto tanto para el servidor de acceso remoto como para el servidor VPN.

La figura 6 muestra el servidor RADIUS de Electronic Inc. que proporciona autenticación y cuentas para el servidor VPN y el servidor de acceso remoto.

Si su explorador no admite marcos incrustados, haga clic aquí para ver el contenido en una página independiente.

Figura 6 El servidor RADIUS de Electronic Inc. que proporciona autenticación y cuentas para el servidor VPN y el servidor de acceso remoto

Configuración del dominio

Para cada uno de los empleados de la oficina de Nueva York que tenga acceso telefónico, el permiso de acceso remoto para las propiedades de marcado de la cuenta de usuario se establece en Controlar acceso a través de la directiva de acceso remoto.

Configuración de la directiva de acceso remoto

Las directivas de acceso remoto deben modificarse de dos maneras:

Las directivas de acceso remoto existentes configuradas en el servidor VPN donde se ejecuta Windows 2000 deben copiarse en el servidor IAS.

Para los clientes de acceso remoto telefónico del servidor IAS se agrega una nueva directiva de acceso remoto.

Copiar directivas de acceso remoto

Una vez que el servidor VPN que ejecuta Windows 2000 esté configurado para utilizar la autenticación RADIUS, dejarán de utilizarse las directivas de acceso remoto almacenadas en el servidor VPN. En su lugar se utilizarán las directivas de acceso remoto almacenadas en el servidor IAS que ejecuta Windows 2000. Por lo tanto, el conjunto actual de directivas de acceso remoto se copia en el servidor IAS.

Para obtener más información, consulte el procedimiento "Copiar la configuración IAS en otro servidor" en el apéndice A.

Crear una nueva directiva de acceso remoto para los clientes de acceso remoto telefónico

Para definir los parámetros de autenticación y de cifrado de las conexiones telefónicas efectuadas por empleados de la oficina de Nueva York, se crea la siguiente directiva de acceso remoto en el equipo servidor RADIUS:

Nombre de directiva: acceso telefónico para empleados de la oficina de Nueva York

Condiciones:

Puerto-NAS se establece a todos los tipos excepto Virtual (VPN).

Grupos-Windows se establece a NY_Empleados.

El permiso se establece a Conceder permiso de acceso remoto.

Configuración del perfil:

Ficha Autenticación: se selecciona Protocolo de autenticación extensible y se configura la tarjeta inteligente u otro certificado (TLS) para usar el certificado de equipo instalado. También se seleccionan Autenticación cifrada de Microsoft versión 2 (MS-CHAP v2) y Autenticación cifrada de Microsoft (MS-CHAP).

Ficha Cifrado: se seleccionan todas las opciones.

Configuración de RADIUS

Para configurar la autenticación y las cuentas RADIUS, el administrador de red de Electronic Inc. configura lo siguiente:

El servidor RADIUS es un equipo donde se ejecuta Windows 2000 Server que tiene instalados componentes de red del Servicio de autenticación Internet. El Servicio de autenticación Internet se configura para dos clientes RADIUS: el servidor de acceso remoto y el servidor VPN. Para obtener más información, consulte el procedimiento "Registrar clientes RADIUS" en el apéndice A.

El servidor de acceso remoto que ejecuta Windows 2000 se configura para usar un secreto compartido y la autenticación y las cuentas RADIUS en la dirección IP 172.31.0.9. Para obtener más información, consulte los procedimientos "Configurar la autenticación RADIUS" y "Configurar cuentas RADIUS" en el apéndice A.

El servidor VPN que ejecuta Windows 2000 se configura para usar un secreto compartido y la autenticación y las cuentas RADIUS en la dirección IP 172.31.0.9. Para obtener más información, consulte los procedimientos "Configurar la autenticación RADIUS" y "Configurar cuentas RADIUS" en el apéndice A.

Configuración de clientes de acceso remoto telefónico

El Asistente para realizar conexión nueva se usa con el fin de crear una conexión telefónica con la siguiente configuración:

Número de teléfono: 555-0111

Apéndice A: procediminetos

Habilitar el Servicio de enrutamiento y acceso remoto

Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.

De manera predeterminada, el equipo local aparece en la lista como un servidor.

Para agregar otro servidor, en el árbol de la consola haga clic con el botón secundario del mouse en Estado de servidor y, a continuación, en Agregar Servidor.

En el cuadro de diálogo Agregar Servidor, haga clic en la opción que corresponda y, a continuación, haga clic en Aceptar.

En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el servidor que desea habilitar y, a continuación, haga clic en Configurar y habilitar el enrutamiento y el acceso remoto.

En el Asistente para la instalación del servidor de enrutamiento y acceso remoto haga clic en Continuar.

En Configuraciones comunes, haga clic en Servidor configurado manualmente, en Siguiente y, a continuación, en Finalizar.

Cuando se le indique, inicie el servicio de Enrutamiento y acceso remoto.

Nota Si este servidor es un miembro de un dominio de Active Directory en Windows 2000 y usted no es administrador de dominios, indique a su administrador de dominios que agregue la cuenta del equipo de este servidor a los grupos de seguridad de los servidores RAS e IAS en el dominio del que este servidor es miembro. El administrador de dominios puede agregar la cuenta del equipo al grupo de seguridad de los servidores RAS e IAS mediante Usuarios y equipos de Active Directory o mediante el comando netsh ras add registeredserver.

Crear un grupo de direcciones IP estáticas

Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.

En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el servidor para el que desea crear un grupo de direcciones IP estáticas y, a continuación, haga clic en Propiedades.

En la ficha IP, haga clic en Conjunto de direcciones estáticas y, a continuación, haga clic en Agregar.

En Dirección IP inicial, escriba una dirección IP inicial y, a continuación, escriba una dirección IP final para el intervalo en Dirección IP final o el número de direcciones IP en el intervalo de Número de direcciones.

Haga clic en Aceptar y, a continuación, repita los pasos 3 y 4 para todos los intervalos que desee agregar.

Nota Si el conjunto de direcciones IP estáticas se compone de intervalos de direcciones IP de una subred independiente, tendrá que habilitar un protocolo de enrutamiento IP en el equipo servidor de acceso remoto o agregar rutas IP estáticas que están formadas por {Dirección IP, Máscara} de cada intervalo de las rutas de la intranet. Si no se agregan las rutas, los clientes de acceso remoto no podrán recibir el tráfico de los recursos de la intranet.

Habilitar EAP

Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.

Haga clic con el botón secundario del mouse en el nombre de servidor para el que desea configurar EAP y, después, haga clic en Propiedades.

En la ficha Seguridad, haga clic en Métodos de autenticación.

En el cuadro de diálogo Métodos de autenticación, active la casilla de verificación Protocolo de autenticación extensible (EAP) y haga clic en Aceptar.

Nota Cuando habilita EAP, se habilitan todos los tipos de EAP. De forma predeterminada, se instalan y se habilitan EAP-MD5 CHAP y EAP-TLS. Para conocer los tipos de EAP instalados, haga clic en Métodos EAP.

Agregar puertos PPTP o L2TP

Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.

En el árbol de consola, haga clic en el servidor para el que desea configurar los puertos PPTP o L2TP.

En el panel de detalles, haga clic con el botón secundario del mouse en Puertos y, a continuación, haga clic en Propiedades.

En el cuadro de diálogo Propiedades de puertos haga clic en Minipuerto WAN (PPTP) o Minipuerto WAN (L2TP) y, a continuación, haga clic en Configurar.

En Número máximo de puertos escriba el número de puertos y, a continuación, haga clic en Aceptar.

Haga clic en Aceptar para guardar los cambios efectuados en las propiedades de puertos.

Configurar un número de teléfono en un dispositivo

Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.

En el árbol de consola, haga clic en el servidor para el que desea configurar un número de teléfono.

En el panel de detalles, haga clic con el botón secundario del mouse en Puertos y, a continuación, haga clic en Propiedades.

En el cuadro de diálogo Propiedades de puertos haga clic en el dispositivo que corresponde al equipo VPN o de acceso telefónico y, a continuación, haga clic en Configurar.

En Número de teléfono para este dispositivo escriba el número de teléfono para el puerto. Para los puertos VPN, escriba la dirección IP de la interfaz de Internet del servidor VPN.

Haga clic en Aceptar.

Agregar filtros de paquetes PPTP

Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.

En el árbol de la consola, haga doble clic en el servidor para el que desea configurar el filtrado de paquetes PPTP.

Haga doble clic en Enrutamiento IP.

Haga clic en General.

En el panel de detalles, haga clic con el botón secundario del mouse en la interfaz que esté conectada a Internet y, a continuación, haga clic en Propiedades.

En la ficha General, haga clic en Filtros de entrada.

En el cuadro de diálogo Filtros de entrada, haga clic en Agregar.

En el cuadro de diálogo Agregar filtro IP, active la casilla de verificación Red de destino. En Dirección IP escriba la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred escriba 255.255.255.255. En Protocolo, haga clic en Otros. En Número de protocolo escriba 47 y, a continuación, haga clic en Aceptar.

En el cuadro de diálogo Filtros de entrada, haga clic en Agregar.

En el cuadro de diálogo Agregar filtro IP, active la casilla de verificación Red de destino. En Dirección IP escriba la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred escriba 255.255.255.255. En Protocolo, haga clic en TCP. En Puerto de destino escriba 1723 y, a continuación, haga clic en Aceptar.

En el cuadro de diálogo Filtros de entrada, haga clic en Agregar.

En el cuadro de diálogo Agregar filtro IP, active la casilla de verificación Red de destino. En Dirección IP escriba la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred escriba 255.255.255.255. En Protocolo, haga clic en TCP [establecido]. En Puerto de origen escriba 1723 y, a continuación, haga clic en Aceptar.

En el cuadro de diálogo Filtros de entrada, haga clic en Omitir todos los paquetes que no cumplen el criterio especificado abajo y, después, haga clic en Aceptar.

En la ficha General, haga clic en Filtros de salida.

En el cuadro de diálogo Filtros de salida, haga clic en Agregar.

En el cuadro de diálogo Agregar filtro IP active la casilla de verificación Red de origen. En Dirección IP escriba la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred escriba 255.255.255.255. En Protocolo, haga clic en Otros. En Número de protocolo escriba 47 y, a continuación, haga clic en Aceptar.

En el cuadro de diálogo Filtros de salida, haga clic en Agregar.

En el cuadro de diálogo Agregar filtro IP active la casilla de verificación Red de origen. En Dirección IP escriba la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred escriba 255.255.255.255. En Protocolo, haga clic en TCP. En Puerto de origen escriba 1723 y, a continuación, haga clic en Aceptar.

En el cuadro de diálogo Filtros de salida, haga clic en Agregar.

En el cuadro de diálogo Agregar filtro IP active la casilla de verificación Red de origen. En Dirección IP escriba la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred escriba 255.255.255.255. En Protocolo, haga clic en TCP [establecido]. En Puerto de destino escriba 1723 y, a continuación, haga clic en Aceptar.

En el cuadro de diálogo Filtros de salida, haga clic en Omitir todos los paquetes que no cumplen el criterio especificado abajo y, después, haga clic en Aceptar.

Haga clic en Aceptar para guardar los cambios efectuados en la interfaz.

Agregar filtros de paquetes L2TP

Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.

En el árbol de la consola, haga doble clic en el servidor para el que desea configurar el filtrado de paquetes L2TP.

Haga doble clic en Enrutamiento IP.

Haga clic en General.

En el panel de detalles, haga clic con el botón secundario del mouse en la interfaz que esté conectada a Internet y, a continuación, haga clic en Propiedades.

En la ficha General, haga clic en Filtros de entrada.

En el cuadro de diálogo Filtros de entrada, haga clic en Agregar.

En el cuadro de diálogo Agregar filtro IP, active la casilla de verificación Red de destino. En Dirección IP escriba la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred escriba 255.255.255.255. En Protocolo, haga clic en UDP. En Puerto de origen escriba 500. En Puerto de destino, escriba 500 y, a continuación, haga clic en Aceptar.

En el cuadro de diálogo Filtros de entrada, haga clic en Agregar.

En el cuadro de diálogo Agregar filtro IP, active la casilla de verificación Red de destino. En Dirección IP escriba la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred escriba 255.255.255.255. En Protocolo, haga clic en UDP. En Puerto de origen escriba 1701. En Puerto de destino, escriba 1701 y, a continuación, haga clic en Aceptar.

En el cuadro de diálogo Filtros de entrada, haga clic en Omitir todos los paquetes que no cumplen el criterio especificado abajo y, después, haga clic en Aceptar.

En la ficha General, haga clic en Filtros de salida.

En el cuadro de diálogo Filtros de salida, haga clic en Agregar.

En el cuadro de diálogo Agregar filtro IP active la casilla de verificación Red de origen. En Dirección IP escriba la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred escriba 255.255.255.255. En Protocolo, haga clic en UDP. En Puerto de origen escriba 500. En Puerto de destino, escriba 500 y, a continuación, haga clic en Aceptar.

En el cuadro de diálogo Filtros de salida, haga clic en Agregar.

En el cuadro de diálogo Agregar filtro IP active la casilla de verificación Red de origen. En Dirección IP escriba la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred escriba 255.255.255.255. En Protocolo, haga clic en UDP. En Puerto de origen escriba 1701. En Puerto de destino, escriba 1701 y, a continuación, haga clic en Aceptar.

En el cuadro de diálogo Filtros de salida, haga clic en Omitir todos los paquetes que no cumplen el criterio especificado abajo y, después, haga clic en Aceptar.

Haga clic en Aceptar para guardar los cambios efectuados en la interfaz.

Configurar la asignación automática de certificados

Inicie la sesión como administrador de dominios.

Haga clic en Inicio, seleccione Programas, Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory.

En Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en el dominio que contiene la entidad emisora de certificados (CA) y, a continuación, haga clic en Propiedades.

Haga clic en la ficha Directiva de grupo, en Directiva de dominio predeterminada y, después, en Modificar.

En Directiva de grupo, haga doble clic en Configuración del equipo, en Configuración de Windows, en Configuración de seguridad y, después, haga clic en Directivas de claves públicas.

Haga clic con el botón secundario del mouse en Configuración de la petición de certificados automática, haga clic en Nuevo y, después, haga clic en Petición de certificados automática.

En el cuadro de diálogo Asistente para instalación de petición automática de certificado, haga clic en Siguiente.

En Plantillas de certificado, haga clic en Equipo y, después, en Siguiente.

Seleccione su entidad emisora de certificados, haga clic en Siguiente y, después, en Finalizar.

Cierre la consola de Directiva de grupo.

Para obtener un certificado inmediatamente en el servidor VPN mediante inscripción automática, reinicie el equipo servidor VPN o bien escriba secedit /refreshpolicy machine_policy en el símbolo del sistema de Windows 2000.

Copiar la configuración IAS en otro servidor

En el símbolo del sistema, escriba netsh aaaa show config <rutaDeAcceso>\archivo.txt. De esta forma almacenará los valores de configuración, incluidos los del Registro, en un archivo de texto. La ruta de acceso puede ser relativa, absoluta o una ruta de acceso UNC.

Copie el archivo que creó en el equipo de destino y, en el símbolo del sistema del mismo, escriba netsh exec <rutaDeAcceso>\archivo.txt. Aparecerá un mensaje que indica si la actualización se realizó correctamente.

Notas No es necesario detener IAS en el equipo de destino para ejecutar el comando netsh exec. Cuando el comando se ejecuta, se actualiza automáticamente IAS con los valores de configuración actualizados. Este procedimiento replica todas las directivas de acceso remoto, el Registro y la configuración del registro.

Registrar clientes RADIUS

Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Servicio de autenticación Internet.

Haga clic con el botón secundario del mouse en Clientes y, después, haga clic en Nuevo cliente

En Nombre descriptivo escriba un nombre descriptivo.

En Protocolo haga clic en RADIUS y, después, en Siguiente.

En Dirección del cliente (IP o DNS) escriba el nombre DNS o la dirección IP del cliente. Si utiliza un nombre DNS, haga clic en Comprobar. En el cuadro de diálogo Resolver nombre DNS haga clic en Resolver y, después, seleccione la dirección IP que desea asociar con ese nombre en Resultados de la búsqueda.

Si el cliente es NAS y está planeando utilizar las directivas de acceso remoto específicas de NAS para la configuración (por ejemplo, una directiva de acceso remoto que contiene atributos específicos del proveedor), haga clic en Proveedor del cliente y seleccione el nombre del fabricante. Si no conoce el nombre del fabricante o no está en la lista, haga clic en RADIUS estándar.

En Secreto compartido escriba el secreto compartido del cliente y vuelva a escribirlo en Confirmar secreto compartido.

Si el NAS permite el uso de firmas digitales para la comprobación (con PAP, CHAP o MS-CHAP) haga clic en El cliente debe enviar siempre el atributo de firma en la solicitud. Si no admite firmas digitales para PAP, CHAP o MS-CHAP, no seleccione esta opción.

Notas Si IAS recibe una solicitud de acceso desde un servidor proxy RADIUS, no detectará el fabricante del NAS que originó la solicitud. Esto puede provocar problemas si desea utilizar condiciones de autorización en función del proveedor del cliente y tiene al menos un cliente definido como un servidor proxy RADIUS.

En las contraseñas (secretos compartidos) se distinguen mayúsculas y minúsculas. Asegúrese de que el secreto compartido del cliente y el que escriba en este campo son idénticos y se ajustan a las normas de las contraseñas.

Si la dirección del cliente no puede resolverse cuando haga clic en Comprobar, asegúrese de que el nombre DNS que escribe es correcto.

El nombre descriptivo que proporcione para los clientes RADIUS puede utilizarse en directivas de acceso remoto con el fin de restringir el acceso.

Configurar la autenticación RADIUS

Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.

En el árbol de la consola, haga clic con el botón secundario del mouse en el servidor para el que desea configurar la autenticación RADIUS y, a continuación, haga clic en Propiedades.

En la ficha Seguridad en Proveedor de autenticación, haga clic en Autenticación RADIUS y, después, en Configurar.

En el cuadro de diálogo Autenticación RADIUS, haga clic en Agregar.

En el cuadro de diálogo Agregar servidor RADIUS, configure los valores del servidor de autenticación RADIUS y, a continuación, haga clic en Aceptar.

Configurar cuentas RADIUS

Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.

En el árbol de la consola, haga clic con el botón secundario del mouse en el servidor para el que desea configurar cuentas RADIUS y, a continuación, haga clic en Propiedades.

En la ficha Seguridad en Proveedor de cuentas, haga clic en Administración de cuentas RADIUS y, después, en Configurar.

En el cuadro de diálogo Cuentas RADIUS, haga clic en Agregar.

En el cuadro de diálogo Agregar servidor RADIUS, configure los valores del servidor de cuentas RADIUS y, a continuación, haga clic en Aceptar.

Resumen

Electronic Inc. utilizó las tecnologías VPN de Windows 2000 para expandir la conectividad de Internet a usuarios, sucursales y socios conectados de forma remota. Los servidores VPN de Windows 2000 y de acceso remoto telefónico, utilizados junto con el Servicio de autenticación Internet, permiten la creación de cuentas y la autenticación, autorización y administración centralizadas de directivas de acceso remoto para conseguir una solución escalable de red privada virtual y de acceso remoto telefónico.

Para obtener más información

Para obtener la información más reciente acerca de Windows 2000, consulte nuestro sitio Web en http://www.microsoft.com/latam/windows2000/ y el Foro de Windows 2000 y Windows NT en http://computingcentral.msn.com/topics/windowsnt .

La información contenida en este documento representa la visión actual de Microsoft Corporation acerca de los asuntos abordados en la fecha de su publicación. Como Microsoft debe responder a condiciones de mercado variables, no debe interpretarse como un compromiso por parte de Microsoft y Microsoft no puede garantizar la precisión de la información que se presenta después de la fecha de publicación.

Este documento se proporciona con propósito informativo únicamente. MICROSOFT NO OTORGA NINGUNA GARANTÍA, NI IMPLÍCITA NI EXPLÍCITA, EN ESTE DOCUMENTO.

Microsoft, Active Directory, Windows y Windows NT son marcas comerciales registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y en otros países.

Otros nombres de productos y compañías mencionados aquí pueden ser marcas comerciales de sus respectivos propietarios.

Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • EE.UU.

3/00