Configurar Servidor VPN PPTP e IPsec Windows 2016 ó 2012

En este post vamos a explicar como configurar un servidor VPN en Windows 2016 o 2012 para enrutar el tráfico a determinadas IPs por nuestra VPN.

Actualizar drivers tarjeta de red

Lo primero que debemos hacer es descargar drivers Latest virtio-win iso de https://fedoraproject.org/wiki/Windows_Virtio_Drivers, deberemos buscar la versión Latest, normalmente la URL de descarga es https://fedorapeople.org/groups/virt/virtio-win/direct-downloads/latest-virtio/virtio-win.iso

Iremos a descargas y montaremos el fichero ISO descargado (haremos doble clic).
En el escritorio haremos clic con el botón derecho en “Este equipo” y seleccionaremos propiedades, en la siguiente ventana haremos clic en “Administrador de Dispositivos“.
En el Administrador de Dispositivos desplegaremos “Adaptadores de Red” y haremos clic con el botón derecho sobre el primer adaptador de red y seleccionaremos “Actualizar software de controlador…“:

VPN-Windows-NetKVM
En la siguiente ventana haremos clic en “Buscar software de controlador en el equipo” y le daremos al botón examinar y buscaremos la ruta del CD, NetKVM y la carpeta que corresponda con nuestro sistema operativo, en el caso de este post: D:\NetKVM\2k16
Durante el proceso de actualización es normal que perdamos la conexión al servidor unos segundos, cuando acabe deberíamos ver una ventana como esta:

VPN-Windows-NetKVM-OK
Repetir el paso anterior para el segundo adaptador de red.

En una ventana de símbolos de sistema ejecutaremos “ipconfig” dejaremos esa ventana abierta (queremos ver que adaptador tiene IP 46.183.XXX.XXX) e iremos a “Panel de control > Redes e Internet > Centro de redes y recursos compartidos” y haremos clic en “Cambiar la configuración del adaptador“. Haremos clic con el botón derecho sobre el adaptador que tenga la IP 46.183.XXX.XXX y haremos clic en “Propiedades”, en la ventana que se abre haremos doble clic sobre “Protocolo de Internet versión 4 (TCP/IPv4)“. En esta ventana activaremos la opción “Usar la siguiente dirección IP” y rellenaremos los datos (son los datos que muestra ipconfig)  como se muestra a continuación pero con la IP de nuestro servidor:

VPN-Windows-Configurar-IP
Reiniciaremos nuestro servidor.

Agregar roles al servidor Windows

Entraremos en el “Administrador del servidor” y en la parte superior derecha haremos clic en “Administrar > Agregar roles y características“. En el asistente que nos aparece haremos clic en “Siguiente” hasta llegar a “Roles del Servidor“. En este apartado activaremos “Acceso Remoto” y “Servidor DCHP“:

VPN-Windows-Activar-Roles1
Pulsaremos a “Siguiente” hasta llegar a “Acceso Remoto > Servicios de rol” aquí activaremos “Direct Access y VPN (RAS)” y “Enrutamiento“:

VPN-Windows-Activar-Roles2
Es muy probable que al añadir estos roles nos instale otros como IIS, iremos pulsando a “Siguiente” hasta el último paso que nos aparecerá un botón de “Instalar“.

Crear Certificado SSL (Necesario para IPsec)

Abriremos el “Administrador de Internet Information Services (IIS)” haremos doble clic en el nombre de nuestro servidor y otra vez doble clic en “Certificados de servidor“. Dentro de la ventana que se ha abierto de Certificados haremos clic en la derecha a “Crear certificado autofirmado“, le pondremos un nombre y le daremos a “Aceptar”.VPN-Windows-IIS-Certificado

Configurar VPN

Ahora iremos a configurar la VPN, para ello haremos clic en la bandera de la parte superior del administrador del servidor y haremos clic en “Abrir el Asistente para introducción“:

VPN-Windows-RAS

En la siguiente ventana haremos clic en “Implementar solo VPN” y nos abrirá “Enrutamieno y acceso remoto”, haremos clic con el botón derecho sobre el servidor y seleccionaremos “Configurar y habilitar Enrutamiento y acceso remoto“. En la siguiente ventana pulsamos a “Siguiente” y activamos la opción “Acceso a red Privada Virtual (VPN) y NAT” y le damos a “Siguiente” y “Finalizar”. Volveremos a clic con el botón derecho sobre el servidor y seleccionaremos “Propiedades” iremos a la pestaña “Seguridad” y activaremos “Permitir la directiva IPsec….” y rellenaremos la casilla “Clave previamente compartida” en nuestro ejemplo: prekeyVPN y en Certificado buscaremos el certificado que hemos creado en el paso anterior.
VPN-Windows-RAS-PreKey

En la pestaña “IPv4” cambiaremos el adaptador por el adaptador que tenga IP 10.0.0.1 (en nuestro caso Ethernet 3) y le daremos a “Aceptar”.

En la misma ventana de “Enrutamieno y acceso remoto” desplegaremos “IPv4” e iremos a “Agente de retransmisión DCHP” haremos clic con el botón derecho en la ventana derecha (se ve Interno) y le daremos a “Interfaz nueva” y seleccionaremos el adaptador que tenga la IP 10.0.0.1 (en nuestro caso Ethernet 3).
Ahora en la ventana  “Enrutamieno y acceso remoto” iremos a “NAT” haremos clic con el botón derecho en la ventana derecha y le daremos a “Interfaz nueva” y seleccionaremos el adaptador que tenga la IP 46.183.XXX.XXX (en nuestro caso Ethernet 2).

Configurar DCHP

Una vez ha acabada la instalación lo primero de todo es “Completar la configuración DCHP“, para ello haremos clic en la bandera de la parte superior del administrador del servidor:
VPN-Windows-Ambito-DCHP-ConfigurarEn la ventana que nos aparecerá solo debemos hacer clic en “Confirmar” y luego a “Cerrar”.

Ahora entraremos en “Herramientas administrativas > DCHP” expandiremos nuestro servidor y haremos clic con el botón derecho en “IPv4” y seleccionaremos “Ámbito Nuevo“.
En Nombre indicaremos “Ambito 10.0.0.0” y pulsaremos a “Siguiente”, en la siguiente ventana rellenaremos conforme la siguiente imagen:
VPN-Windows-Ambito-DCHP
En “Agregar exclusiones y retraso” configuraremos el intervalo de direcciones IP haciendo clic en “Agregar”:

VPN-Windows-Ambito-DCHP2
Iremos pulsando a “Siguiente” dejando todos los campos como están hasta llegar a “Finalizar“.

Una vez creado el ámbito, lo expandiremos y haremos clic con el botón derecho en “Opciones de ámbito” y seleccionaremos “Configurar opciones“. En la ventana que se nos abre iremos al final de todo y activaremos “121 Rutas estáticas sin clase” y pulsaremos al botón de “Agregar ruta…” añadiremos 2 rutas:
10.0.0.0 | 255.255.255.0  | 10.0.0.1 //rango privado
46.183.116.0 | 255.255.252.0  | 10.0.0.1 //rango Público Clouding
VPN-Windows-Ambito-DCHP-Rutas

Ahora toca configurar nuestro segundo adaptador de red con la IP 10.0.0.1.

VPN-Windows-Ambito-DCHP-IPred

Crear usuarios con acceso a VPN

Entraremos en “Administración de equipos” iremos a “Usuarios y grupos locales” haremos clic con el botón derecho sobre “Usuarios”  y seleccionaremos “Usuario nuevo…” en nuestro ejemplo usaremo como usario userVPN y contraseña passVPN (Utilizar contraseñas seguras, esto es un ejemplo)

VPN-Windows-Usuarios

Ahora haremos doble clic sobre el usuario que hemos creado e iremos a la pestaña de “Marcado” y cambiaremos “Permiso de acces a redes” a “Permitir acceso”.
Podemos repetir los pasos anteriores para crear más usuarios en caso que queramos controlar quien se conecta.

Configuración firewall Clouding

Para conectarnos a nuestra VPN mediante protocolo PPTP deberemos añadir las siguientes reglas a nuestro firewall de Clouding:

VPN-Windows-Firewall-PPTP
Para conectarnos a nuestra VPN mediante protocolo IPsec deberemos añadir las siguientes reglas a nuestro firewall de Clouding:

VPN-Windows-Firewall-IPsec

To write a comment on this article, fill out the form below. Fields marked with an asterisk (*) are required.