VPN de Microsoft Windows 2003 con certificados EAP

En este procedimiento, se pondrá seguridad a la conexión VPN entre el cliente y el Servidor de Enrutamiento. Usaremos dos formas de conexión, una mediante usuario/contraseña del Directorio Ativo y otra mediante el uso de certificados (EAP).

CONFIGURACIÓN DEL SERVIDOR:


Lo primero de todo es crear un grupo en el directorio activo, lo usaremos para dar permisos a sus miembros que se conecten con la VPN.



Será un grupo de Seguridad y le llamaremos ‘GrupoVPN’.



Finalizar.



Ahora necesitamos instalar el servidor IAS (Internet Authentication Service) para conigurarlo con el Servidor VPN, y hacer el llamado RADIUS. Para ello vamos al Panel de Control > Agregar o Quitar Programas > Componentes de Windows > Y entramos en ‘Servicios de Red’.



Marcamos con el check ‘Internet Authentication Service’ y damos a OK para que lo instale.



Abrimos la consola que estará en las Herramientas administrativas > Internet Authentication Service. Tenemos que registrar el IAS en el Directorio Activo (D.A.), para ello, encima de nuestro servidor IAS botón derecho > ‘Registrar en el D.A.’.



Ok.



Ok.



Una vez autorizado para funcionar en nuestro D.A. tenemos que crear un cliente RADIUS, que será el servidor VPN (que deberá estar ya instalado, si no, mirar el capitulo de configuración del Servidor VPN – AKI). Creamos el cliente con botón derecho en ‘RADIUS Clients’ y ‘New RADIUS Client’



Deberemos de meter el nombre del servidor VPN que puede que sea el propio donde esté instalado el IAS, metemos su nombre y su IP. Siguiente.



Metemos un secreto para que tengan en común el IAS y el Servidor VPN.



Ahora deberemos de crear una Politica de Acceso al Grupo creado anteriormente.



Siguiente.



Le ponemos un nombre para identificarla.



VPN y Siguiente.


Seleccionamos el grupo que hemos creado al principio. Y le damos a Siguiente.


Seleccionamos EAP (con certificados o tarjeta inteligente) y pinchamos en ‘Configure…’, seleccionamos el certificado que hemos creado en el capitulo de poner seguridad al OWA (AKI) y marcamos el check de MS-CHAP2 (es opcional).



La encriptación más fuerte, Siguiente.



Finalizar.



Abrimos la consola de configuración del Servidor VPN, en Herramientas Administrativas > Enrutamiento y Acceso Remoto. Entramos en las propiedades del Servidor.



Pestaña Seguridad > Seleccionamos Authenticación RADIUS y pinchamos ‘Configure…’



Pinchamos en ‘Añadir’



Seleccionamos el nombre del servidor IAS (que como he dicho antes puede que sea que el mismo que el Servidor VPN). Tenemos que meter ahora el secreto que se configuro en el IAS pinchando en ‘Change’.



Metemos el secreto que se puso en el IAS y Ok.



De nuevo en las propiedades del Servidor VPN, en la pestaña Seguridad > En Proveedor de cuenta metemos ‘RADIUS Accounting’ y pulsamos en ‘Configure…’


Add…

Aquí lo mismo que antes, metemos el nombre del servidor IAS y metemos el secreto en comun que tienen el IAS y el Servidor VPN, en ‘Change…’.



El secreto ese famoso y Ok.



Ahora pinchamos en ‘Metodos de Autenticación…’



Seleccionamos EAP y opcionalmente MS-CHAP2, pulsamos en ‘Metodos EAP…’



Seleccionamos ‘tarjeta inteligente u otro certificado…’ y Aceptamos todas las ventanas.



Lo que quedaría ahora es generar el certificado por cada usuario que nos interese que se conecte a la VPN, para ello abriremos el explorador y nos conectamos a nuestro servidor C.A. http://servidorca/certsrv. Lo importante aqui es logearnos con el usuario en cuestión, así que no podemos estar logeados como el administrador en Windows pq sino nos cojerá los credenciales de este. O sino cambiando en las propiedades del sitio ‘certsrv’ en el IIS el tipo de autenticación para que nos pida usuario y contraseña siempre y asi logearnos con el usuario que nos interese.



Pinchamos en ‘Request a certificate’.



Ahora pinchamos en ‘User Certificate’



Pinchamos en el botón ‘Submit’ y nos saltara un mensaje de advertencia que confirmaremos la peticion del certificado diciendo que Sí en el mensaje.



Nos abrirá la web con el certificado generado, lo que tenemos que hacer ahora es pinchar en el enlace de ‘Install this certificate’ y diremos que Sí para que se instale en este PC el certifiado. Si queremos usar el certificado en otro PC (algo lógico) lo deberemos exportar desde las Opciones de Internet en el Panel de Control.

CONFIGURACIÓN DEL CLIENTE:

Esta es la parte que queda ahora, sería sólo para hacer en los puestos que quieren conectarse al servidor.



Vamos al ‘Panel de Control’ y luego a ‘Conexiones de red’, creamos una nueva conexión, saldrá este asistente, damos a SIGUIENTE.



‘Conectarme a mi lugar de trabajo’ y ‘Siguiente’



‘Conexión a Red Privada Virtual (VPN)’ y ‘Siguiente’.



Ponemos un nombre a la coneción VPN y damos a ‘Siguiente’.



Esto ya es según la conexión de cada uno. En mi caso no marcar una conexión antes. ‘Siguiente’.



El nombre del servidor al que nos vamos a conectar o la dirección IP, normalmente será un nombre público.



‘Sólo para mi uso’ y ‘Siguiente’



‘Finalizar’



Entramos en las propiedades de la conexión VPN que acabamos de crear.



Vamos a la pestaña ‘Seguridad’, marcamos el combo ‘Avanzadas’ y pinchamos en el botón ‘Propiedades’.



Seleccionamos ‘Usar protocolo EAP’ y seleccionamos ‘Tarjeta inteligente u otro certificado’ y pinchamos en el botón ‘Propiedades’.



La segunda opción ‘Usar un certificado de este equipo’, marcamos el check. Conectamos con los siguientes servidores, que meteremos ahí el servidor CA, y marcamos el certificado abajo. Si el certificado está creado a otro nombre de usuario marcaremos el check de ‘Usar un nombre de usuario diferente para la conexión’.



Pinchamos en ‘Conectar’.


‘Ok’. Y ya nos conectaríamos.


Héctor Herrero

Autor del blog Bujarra.com
Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir 😉 . Disfrutar de los documentos!!!

Últimos Posts de: Héctor Herrero (ver todos)