NotePuede utilizar el acceso remoto de Windows&bnsp;2000 para proporcionar acceso a una intranet corporativa a los clientes de acceso remoto que establecen conexiones L2TP sobre IPSec a través de Internet. Si desea que el servidor de acceso remoto admita varias conexiones L2TP sobre IPSec, realice los pasos siguientes:
La ilustración siguiente muestra los elementos de un servidor de acceso remoto de Windows&bnsp;2000 que proporciona acceso remoto basado en L2TP a una intranet corporativa.
Note
La conexión a Internet desde un equipo que ejecuta Windows&bnsp;2000 Server es una conexión dedicada: un adaptador para WAN instalado en el equipo. Normalmente, el adaptador para WAN es un adaptador DDS, T1, T1 fraccionario o de Frame Relay. Debe contratar a una compañía telefónica local para que instale el cableado físico apropiado para sus necesidades. Tiene que comprobar que el adaptador para WAN está en la Lista de compatibilidad de hardware de Microsoft Windows en el sitio Web de Microsoft .
El adaptador para WAN incluye controladores que se instalan en el sistema operativo Windows&bnsp;2000 de forma que el adaptador para WAN aparece como un adaptador de red.
Tiene que establecer la siguiente configuración de TCP/IP en el adaptador para WAN:
La conexión a la intranet desde un equipo que ejecuta Windows&bnsp;2000 Server se establece a través de un adaptador de LAN instalado en el equipo. Necesita comprobar que el adaptador para LAN está en la Lista de compatibilidad de hardware de Microsoft Windows en el sitio Web de Microsoft .
Necesita configurar TCP/IP con los siguientes valores en el adaptador para LAN.
Para que el servidor de acceso remoto reenvíe el tráfico correctamente en la intranet corporativa, debe configurarlo como un enrutador con rutas estáticas o protocolos de enrutamiento de manera que se pueda tener acceso a todas las ubicaciones de la intranet desde el servidor de acceso remoto. Para obtener información acerca de los conceptos de enrutamiento, consulte Introducción al enrutamiento Para obtener información acerca de cómo configurar el servidor de acceso remoto como enrutador, consulte Distribuir enrutamientos
En primer lugar, debe habilitar el servidor de acceso remoto; para ello, instale los Servicios de enrutamiento y acceso remoto. Para obtener más información, consulte Para habilitar el Servicio de enrutamiento y acceso remoto
Puede configurar las propiedades del servidor de acceso remoto mediante Enrutamiento y acceso remoto. Para obtener más información, consulte Para ver las propiedades del servidor de acceso remoto
Si desea permitir que varios clientes L2TP tengan acceso a la intranet corporativa, debe configurar los valores siguientes:
Compruebe que la casilla de verificación Servidor de acceso remoto está activada.
Seleccione los métodos de autenticación que admite el servidor de acceso remoto para autenticar las credenciales de los clientes de acceso remoto. Normalmente, los clientes de acceso remoto de Microsoft utilizan la autenticación
Puede comprobar las credenciales de los clientes de acceso remoto mediante la seguridad de Windows&bnsp;2000 o un servidor RADIUS. Si seleccionó RADIUS, necesita configurar los valores de servidor RADIUS para el servidor RADIUS o el proxy RADIUS.
Puede registrar la actividad de los clientes de acceso remoto para propósitos de análisis o de contabilidad si selecciona y configura un proveedor de cuentas.
Compruebe que las casillas de verificación Habilitar enrutamiento IP y Permitir conexiones de marcado a petición y acceso remoto basado en IP están activadas.
Si se encuentra disponible algún servidor DHCP que asigne direcciones IP de intranet, haga clic en Protocolo de asignación dinámica de host (DHCP). En caso contrario, haga clic en Grupo de direcciones estáticas y configure los intervalos de direcciones IP que se asignan dinámicamente a los clientes VPN basados en L2TP.
Si el grupo de direcciones IP estáticas está compuesto por intervalos de direcciones IP que constituyen una subred independiente, tendrá que habilitar un protocolo de enrutamiento IP en el equipo servidor de acceso remoto o agregar rutas IP estáticas que consten de {Dirección IP, Máscara} de cada intervalo para los enrutadores de la intranet. Si no se agregan estas rutas, los clientes VPN basados en L2TP no podrán recibir transmisiones de los recursos de la intranet.
Todos los puertos L2TP se enumeran como puertos independientes en la lista Puertos de Enrutamiento y acceso remoto. Debe configurar todos los puertos L2TP para el acceso remoto.
Para obtener más información acerca de cómo configurar puertos para acceso remoto, consulte Para configurar puertos para acceso remoto
De manera predeterminada, se habilitan cinco puertos L2TP. Si necesita agregar puertos L2TP adicionales, consulte Para agregar puertos PPTP o L2TP
Según las opciones seleccionadas en el Asistente para enrutamiento y acceso remoto, es posible que la compatibilidad con la multidifusión ya esté habilitada. Para configurar dicha compatibilidad, tiene que realizar los pasos siguientes:
Para proteger al servidor de acceso remoto del envío o recepción de tráfico de la interfaz de Internet que no sea tráfico L2TP sobre IPSec procedente de los clientes de acceso remoto, es necesario configurar filtros de entrada y salida L2TP sobre IPSec en la interfaz del servidor de acceso remoto que corresponde a la conexión a Internet. Para obtener más información, consulte Agregar filtros para L2TP sobre IPSec
Puesto que el enrutamiento IP está habilitado en la interfaz de Internet, si no se configuran filtros L2TP sobre IPSec en la interfaz de Internet del servidor de acceso remoto, todo el tráfico recibido en la interfaz de Internet se enruta, por lo que posiblemente se reenviará tráfico de Internet no deseado a la intranet.
En función de las opciones seleccionadas en el Asistente para enrutamiento y acceso remoto, es posible que los filtros L2TP ya estén configurados.
En el caso del modelo administrativo de acceso por usuario, deberá establecer el permiso de acceso remoto en Permitir acceso en las cuentas de usuario correspondientes a aquellos usuarios que vayan a establecer conexiones VPN. En el caso del modelo de acceso por directiva, realice los cambios adecuados en el permiso de acceso remoto de las cuentas de usuario. Para obtener más información, consulte Modelos administrativos de las directivas de acceso remoto
Para configurar una directiva de acceso remoto que controle las opciones de autenticación y cifrado para las conexiones VPN, cree una directiva de acceso remoto con la configuración siguiente:
A continuación, elimine la directiva de acceso remoto predeterminada llamada Permitir el acceso si está habilitado el permiso de acceso telefónico o colóquela después de la nueva directiva. Esta directiva de acceso remoto permite que todos los usuarios que tengan permiso de acceso remoto puedan crear una conexión VPN.
Si desea diferenciar los usuarios de acceso remoto telefónico de los usuarios de acceso remoto VPN, realice los pasos siguientes:
La configuración predeterminada de cifrado admite todos los niveles de cifrado y permite que no haya cifrado. Para requerir el cifrado, desactive la opción Sin cifrado y seleccione los niveles de cifrado adecuados en la ficha Cifrado del perfil de la directiva de acceso remoto. Los niveles de cifrado son:
Debe utilizar esta opción si establece comunicaciones con clientes VPN basados en L2TP sobre IPSec. En esta opción se utiliza cifrado DES de 56 bits.
Debe utilizar esta opción si establece comunicaciones con clientes VPN basados en L2TP sobre IPSec. En esta opción se utiliza cifrado DES de 56 bits.
Debe utilizar esta opción si establece comunicaciones con clientes VPN basados en L2TP sobre IPSec que se conecten desde EE.UU. Esta opción utiliza cifrado DES triple (3DES) y sólo está disponible en las versiones estadounidenses de Windows&bnsp;2000.
Para obtener más información, consulte Para configurar el cifrado