Servidor VPN en Windows 2003 Server

Primero de todo, debemos saber qu es una VPN. A modo de descripcin rpida, podemos decir que es una tecnologa que nos permitir conectarnos a un entorno local (LAN) desde fuera del mismo (p.ej. desde Internet), y nos permitir actuar (de un modo bastante transparente) como si estuvieramos en el mencionado entorno local. Y todo esto de un modo seguro. Aqu no pretendo explicar las interioridades de VPN, sino un modo de configurarlo en un Windows 2003 Server y en clientes Windows usando el protocolo PPTP. Requisitos

Un Windows 2k3 server (en este caso, un SBS). Un 2000 NT 4.0 tambin serviran, si bien los pasos pueden diferir y habra que hacer algunas operaciones extra manualmente.

Un cliente windows (en este caso, un XP, pero prcticamente cualquier cliente sirve).

Trabajar con Active Directory (el LDAP windowsero).

Pasos Yendo al grano, podemos desglosar la configuracin de una VPN en 3 pasos: 1. Configuracin del servicio de VPN.

2. Establecimiento de los permisos para los clientes.

3. Configuracin del cliente VPN.

Paso 1

En el servidor (en nuestro caso, un w2k3 sbs), vamos a Herramientas administrativas y Enrutamiento y acceso remoto. En el servidor que hay creado por defecto, botn derecho y seleccionamos Configurar y habilitar Enrutamiento y acceso remoto. Como slo disponemos de un interfaz de red, seleccionaremos la ltima opcin de servidor para escoger la modalidad VPN sin NAT. Cuando hayamos finalizado este asistente, se nos pedir si queremos iniciar el servicio VPN, a lo que responderemos afirmativamente. Entonces veremos cmo al lado del nombre del servidor aparace ahora un crculo verde (que indica su estado iniciado). Si desplegamos su rbol, podemos ver todos los aspectos de configuracin del servicio VPN, que no son pocos. Paso 2 En el servidor tambin, nos vamos a Usuarios y equipos de Active Directory y nos dirigimos a los usuarios que queremos que tengan derechos de acceder remotamente. Habilitaremos este derecho en base a cada usuario en su ventana de Propiedades, pestaa Marcado, opcin Permitir acceso. Paso 3 Ya en el cliente (estoy sobreentendiendo que usamos un Windows XP) iremos a Conexiones de red y crearemos una conexin nueva. Seleccionaremos la opcin Conectarse a la red de mi lugar de trabajo y luego Conexin de red privada virtual. Especificaremos el nombre de la empresa o entidad (algo meramente descriptivo que nos ayuda a identificar de qu VPN se trata), y luego su ubicacin (mediante su nombre de dominio o direccin IP). Finalmente, indicaremos para quin estar disponible la conexin (para un usuario concreto o para todos) y finalizaremos el asistente. Esto nos mostrar directamente el dilogo para conectarse a la VPN una vez acabada de configurar. Si la cuenta con la que inician sesin los usuarios es la del dominio an y estando fuera de la oficina, vamos al botn Propiedades de este dilogo y en la pestaa Opciones le indicamos el incluir el dominio de inicio de sesin Windows. Ahora hara falta probar si funciona todo el tinglado. Para ello, debemos hacer un intento de conexin a la VPN bien (1) desde fuera de la oficina, bien (2) con un usuario que no sea de dominio. Esto lo deberemos hacer en Conexiones de red, que es dnde yacen todas las configuraciones realizadas en el equipo cliente. Una vez conectados, debemos intentar acceder a algn recurso disponible en el dominio (impresoras compartidas, directorios samba). Aspectos a tener en cuenta

Si tenemos un router por delante de nuestro servidor VPN, deberemos abrir y mapear los puertos correspondientes a los protocolos que usaremos (el 1723 para PPTP y el 1701 en el caso de usar L2TP) hacia el servidor VPN. En este ejemplo hemos usado el protocolo PPTP.

Asimismo, deberemos habilitar (en el dispositivo que hace de router) el forwarding/passthrough de PPTP L2TP. Si nuestro router no permite esta opcin chungo.

Ciertamente, hay protocolos que ofrecen mayor seguridad que PPTP. En este aspecto, L2TP y soluciones basadas en IPSec parecen ser alternativas ms recomendables.

Y si quisiramos clientes GNU/Linux Tenemos clientes como poptop (aka pptp) que pueden solucionarnos la papeleta habilitando previamente algn que otro mdulo del kernel tal como el MPPE (Microsoft Point-to-Point Encryption). No se si es necesario habilitar expresamente algn otro (como PPP y el PPP MPPE compression). Para quien quiera probarlo (antes que yo, se entiende ;), aqu tenis las instrucciones genricas oficiales de configuracin, asi como una orientacin acerca del proceso de configuracin del cliente pptp (s, de los colegas bulmeros ;). Resources Virtual Private Networks en M$ Technet