servicio de enrutamiento y acceso remoto
DESCRIPTION
Servicio de Enrutamiento y Acceso RemotoTRANSCRIPT
Servicio de enrutamiento y acceso remotoEl Servicio de enrutamiento y acceso remoto (RRAS) admite el enrutamiento de red y la conectividad a usuarios remotos o entre sitios con los protocolos de Internet versin 4 (IPv4) y versin 6 (IPv6) mediante conexiones de acceso telefnico o de red privada virtual (VPN).Acceso remotoLa caracterstica de acceso remoto proporciona servicios de VPN de forma que los usuarios puedan tener acceso de forma segura a las redes corporativas a travs de Internet como si estuvieran conectados directamente. El acceso remoto tambin permite que los usuarios que trabajan a distancia o que se desplazan, que usan enlaces de comunicacin de acceso telefnico, tengan acceso a las redes corporativas.EnrutamientoRRAS es un enrutador de software completo y una plataforma abierta para el enrutamiento y las funciones de red. Las compaas pueden usar sus servicios de enrutamiento en entornos de red de rea local (LAN) y red de rea extensa (WAN) o a travs de Internet mediante conexiones VPN seguras. El componente de enrutamiento se usa para los servicios de enrutamiento multiprotocolo LAN a LAN, LAN a WAN, VPN y NAT (traduccin de direcciones de red).Introduccin a RRASEl Servicio de enrutamiento y acceso remoto (RRAS) recibe su nombre por los dos servicios principales de red que proporciona.EnrutamientoUn enrutador es un dispositivo que administra el flujo de datos entre segmentos de red o subredes. El enrutador dirige los paquetes entrantes y salientes basndose en la informacin sobre el estado de sus propias interfaces de red y una lista de posibles orgenes y destinos del trfico de red. Al proyectar el trfico de red y las necesidades de enrutamiento segn el nmero y los tipos de dispositivos de hardware y aplicaciones usados en el entorno, es posible decidir mejor si se va a usar un enrutador de hardware dedicado, un enrutador basado en software o una combinacin de ambos. Normalmente, los enrutadores de hardware dedicados controlan mejor las demandas de enrutamiento ms complejas, mientras que los enrutadores basados en software, que no resultan tan caros, controlan cargas de enrutamiento ms ligeras.Una solucin de enrutamiento basada en software, como RRAS en esta versin de Windows, puede resultar idnea para una red pequea y segmentada con un trfico entre subredes relativamente ligero. Los entornos de red empresariales con un gran nmero de segmentos de red y una amplia gama de requisitos de rendimiento pueden necesitar una variedad de enrutadores basados en hardware para realizar distintos roles en la red.Acceso remotoAl configurar RRAS para actuar como un servidor de acceso remoto, podr conectar trabajadores remotos o mviles a las redes de la organizacin. Los usuarios remotos pueden trabajar como si sus equipos estuvieran conectados directamente a la red.Todos los servicios que suelen estar a disposicin de un usuario conectado directamente (incluso el uso compartido de archivos e impresoras, el acceso al servidor web y la mensajera) se habilitan por medio de la conexin de acceso remoto. Por ejemplo, en un servidor RRAS, los clientes pueden usar el Explorador de Windows para realizar conexiones a una unidad y para conectarse a las impresoras. Dado que las letras de unidad y los nombres de convencin de nomenclatura universal (UNC) son totalmente compatibles con el acceso remoto, la mayora de las aplicaciones comerciales y personalizadas funcionan sin necesidad de modificacin.Un servidor RRAS proporciona dos tipos de conectividad de acceso remoto: Redes privadas virtuales. Una red privada virtual (VPN) es una conexin segura punto a punto a travs de una red pblica como Internet. Un cliente VPN usa protocolos especiales basados en TCP/IP denominados protocolos de tnel para realizar una conexin a un puerto de un servidor VPN remoto. El servidor VPN acepta la conexin, autentica al usuario y al equipo que se est conectando, y transfiere los datos entre el cliente VPN y la red corporativa. Puesto que los datos que enve a travs de la conexin recorren una red pblica, debe cifrarlos para garantizar la privacidad. Acceso telefnico a redes. En el acceso telefnico a redes, un cliente de acceso remoto establece una conexin de acceso telefnico con un puerto fsico de un servidor de acceso remoto mediante el servicio de un proveedor de telecomunicaciones, como un telfono analgico o una ISDN (RDSI). El acceso telefnico a redes a travs de un telfono analgico o una ISDN es una conexin fsica entre el cliente y el servidor de acceso telefnico a redes. Puede cifrar los datos que enve a travs de la conexin, pero no es obligatorio ya que la lnea telefnica suele considerarse segura.Escenarios de acceso remoto comunesCuando se ejecuta el Asistente para la instalacin de RRAS, ste indica que se elija la ruta de configuracin que ms se parezca a la solucin de acceso remoto que se desea implementar. Si ninguna de las rutas de configuracin del asistente satisface exactamente sus necesidades, puede elegir la opcin Configuracin predeterminada. Sin embargo, si se elige esta opcin, todos los elementos de RRAS deben configurarse de forma manual. Las soluciones ms comunes de acceso remoto incluyen conexiones de red privada virtual (VPN), conexiones de acceso telefnico y conexiones seguras entre dos redes privadas.Acceso remoto
Cuando un acceso remoto est habilitado, RRAS permite el trfico de red entrante desde clientes VPN de Internet o de mdems conectados al sistema telefnico. El trfico entrante es dirigido a la red privada. Se puede configurar por separado qu tipos de VPN se admiten, cmo autenticar y autorizar a los usuarios para que tengan acceso al servidor de acceso remoto y qu configuracin IP recibe el equipo remoto al conectarse.Traduccin de direcciones de red
Cuando est habilitada la traduccin de direcciones de red (NAT), RRAS permite el trfico de red saliente desde equipos en la red privada. Comparte la conexin a Internet y su direccin IP pblica nica con equipos que se encuentran en la red privada; para ello, lleva a cabo la traduccin entre la direccin pblica y las direcciones y puertos IP que se usan en la red privada.VPN y NAT
En este escenario, RRAS proporciona la NAT para la red privada y acepta las conexiones de VPN desde clientes remotos.
Conexin segura entre dos redes privadas
Un servidor RRAS en el permetro de una red privada puede conectarse a un servidor remoto a travs de un tnel VPN. Los equipos conectados a las redes privadas detrs de los dos servidores pueden intercambiar datos a travs de Internet de manera segura. La conexin entre los dos servidores puede ser persistente (siempre activa) o a peticin (marcado a peticin).Escenarios de enrutamiento comunesPuede usar los enrutadores de software RRAS en numerosas topologas y configuraciones de red diferentes. En este tema se describen tres escenarios de enrutamiento tpicos.Escenario de enrutamiento simpleEn la siguiente ilustracin se muestra una configuracin de red simple con un servidor RRAS que conecta dos segmentos de red de rea local (LAN), las redes A y B. En esta configuracin, no se requiere un protocolo de enrutamiento porque el enrutador est conectado a todas las redes a las que necesita enrutar paquetes. Los enrutadores configuran automticamente las rutas a las redes a las que estn conectados directamente.
Escenario de varios enrutadoresEn la siguiente ilustracin se muestra una configuracin ms compleja de enrutadores. En esta configuracin, hay tres redes (redes A, B y C) y dos enrutadores (enrutadores 1 y 2). El enrutador 1 est en las redes A y B, y el enrutador 2 est en las redes B y C. El enrutador 1 debe notificar al enrutador 2 que se puede tener acceso a la red A a travs del enrutador 1 y el enrutador 2 debe notificar al enrutador 1 que se puede tener acceso a la red C a travs del enrutador 2. Esta informacin se comunica mediante un protocolo de enrutamiento, como el protocolo de informacin de enrutamiento (RIP) usado para IPv4.
Cuando un usuario de la red A desea comunicarse con un usuario de la red C, el equipo del usuario de la red A reenva el paquete al enrutador 1. El enrutador 1 reenva el paquete al enrutador 2 y ste lo reenva al equipo del usuario de la red C.Sin protocolos de enrutamiento, un administrador de redes debe especificar rutas estticas en las tablas de enrutamiento del enrutador 1 y del enrutador 2. Las rutas estticas no funcionan bien en redes de gran tamao ni se recuperan despus de realizar cambios en la topologa de la red.Nota
Esta versin de Windows solo admite enrutamiento esttico para el protocolo de Internet versin 6 (IPv6).
Escenario de enrutamiento de marcado a peticinEn la siguiente ilustracin se muestra una configuracin de enrutamiento que usa marcado a peticin. Las redes A y B estn separadas geogrficamente y, por la cantidad de trfico que se transfiere entre las redes, no resulta econmico una concesin de vnculo de red de rea extensa (WAN). El enrutador 1 y el enrutador 2 pueden conectarse a travs de una lnea telefnica analgica mediante un mdem u otro tipo de conectividad como ISDN (RDSI) en cada extremo. Cuando un equipo de la red A inicia la comunicacin con un equipo de la red B, el enrutador 1 establece una conexin con el enrutador 2. La conexin se mantiene solo mientras se estn enviando o recibiendo paquetes. Si la conexin est inactiva, el enrutador 1 se desconecta para reducir los costos de conexin.
Redes privadas virtualesUna red privada virtual (VPN) es una conexin punto a punto a travs de una red privada o pblica, como Internet. Un cliente VPN usa protocolos especiales basados en TCP/IP llamados protocolos de tnel que establecen un canal seguro entre dos equipos por el que pueden enviar datos. Desde la perspectiva de los dos equipos que intervienen, hay un vnculo punto a punto dedicado entre ambos, aunque en realidad los datos se redirigen por Internet como se hara con cualquier otro paquete. En una implementacin VPN tpica, un cliente inicia una conexin punto a punto virtual con un servidor de acceso remoto a travs de Internet. El servidor de acceso remoto responde a la llamada, autentica al usuario que realiza la llamada y transfiere datos entre el cliente VPN y la red privada de la organizacin.Para emular un vnculo punto a punto, los datos se encapsulan, o se ajustan, con un encabezado. El encabezado proporciona la informacin de enrutamiento que permite a los datos recorrer la red compartida o pblica hasta alcanzar su extremo. Para emular un vnculo privado, los datos enviados se cifran por motivos de confidencialidad. Para obtener ms informacin acerca de los protocolos de tnel compatibles con esta versin de Windows, vea el tema sobre protocolos de tnel de VPN (puede estar en ingls).Para obtener los requisitos de instalacin, vea el tema donde se describen los Requisitos para instalar RRAS como un servidor VPN.Conexin VPN
Existen dos tipos de conexiones VPN:VPN de acceso remotoUna conexin VPN de acceso remoto permite al usuario que trabaja desde casa o que est de viaje tener acceso a un servidor de una red privada mediante la infraestructura proporcionada por una red pblica como, por ejemplo, Internet. Desde el punto de vista del usuario, la VPN es una conexin punto a punto entre el equipo cliente y el servidor de la organizacin. La infraestructura de la red compartida o pblica es irrelevante, ya que aparece lgicamente como si los datos se enviaran a travs de un vnculo privado dedicado.VPN de sitio a sitioUna conexin VPN de sitio a sitio (a veces llamada conexin VPN de enrutador a enrutador) permite a una organizacin tener conexiones enrutadas entre distintas oficinas o con otras organizaciones a travs de una red pblica a la vez que se mantiene la seguridad de las comunicaciones. Cuando las redes se conectan a travs de Internet, tal como se muestra en la siguiente imagen, un enrutador habilitado para VPN reenva paquetes a otro enrutador habilitado para VPN a travs de una conexin VPN. Para los enrutadores, la conexin VPN aparece lgicamente como un vnculo dedicado en el nivel de vnculo de datos.Una conexin VPN de sitio a sitio conecta dos redes privadas. El servidor VPN proporciona una conexin enrutada a la red a la que est conectada el servidor VPN. El enrutador que realiza la llamada se autentica a s mismo en el enrutador que responde y, para realizar una autenticacin mutua, el enrutador que responde se autentica a s mismo en el enrutador que realiza la llamada. En una conexin VPN de sitio a sitio, los paquetes enviados desde cualquiera de los enrutadores a travs de la conexin VPN por lo general no se originan en los enrutadores.Conexin mediante VPN de dos sitios remotos a travs de Internet
Propiedades de las conexiones VPN Encapsulacin. Los datos privados se encapsulan con un encabezado que contiene informacin de enrutamiento que permite a los datos recorrer la red de trnsito. Para obtener ejemplos de encapsulacin, vea el tema sobre protocolos de tnel de VPN (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140602). Autenticacin. La autenticacin para las conexiones VPN puede realizarse de tres formas distintas:1. Autenticacin en el nivel de usuario con autenticacin PPP (Protocolo punto a punto). Para establecer la conexin VPN, el servidor VPN autentica el cliente VPN que intenta realizar la conexin con un mtodo de autenticacin PPP en el nivel de usuario y comprueba que el cliente VPN tiene la autorizacin adecuada. Si se usa la autenticacin mutua, el cliente VPN tambin autentica el servidor VPN, lo que proporciona proteccin frente a equipos que se hacen pasar por servidores VPN.2. Autenticacin en el nivel de equipo con Intercambio de claves por red (IKE). Para establecer una asociacin de seguridad (SA) de protocolo de seguridad de Internet (IPsec), el cliente VPN y el servidor VPN usan el protocolo IKE para intercambiar los certificados de equipo o una clave previamente compartida. En cualquiera de los casos, el cliente y el servidor VPN se autentican mutuamente en el nivel de equipo. La autenticacin de certificados de equipo es un mtodo de autenticacin mucho ms seguro y, por lo tanto, es muy recomendable. Las conexiones IKE versin 2 o protocolo de tnel de capa dos (L2TP)/IPsec usan la autenticacin en el nivel de equipo.3. Autenticacin del origen de datos e integridad de datos. Para comprobar que los datos enviados en la conexin VPN se originaron al otro extremo de la conexin y no se modificaron durante el trnsito, los datos contienen una suma de comprobacin criptogrfica basada en una clave de cifrado que solo conocen el destinatario y el remitente. La autenticacin del origen de datos y la integridad de datos estn disponibles para las conexiones IKE versin 2 y L2TP/IPsec. Cifrado de datos. Para garantizar la confidencialidad de los datos mientras recorren la red compartida o pblica, el remitente cifra los datos y el destinatario los descifra. El proceso de cifrado y descifrado depende de que tanto el remitente como el receptor usen una clave de cifrado comn.
Los paquetes interceptados enviados con la conexin VPN en la red de trnsito son ininteligibles para cualquier persona que no tenga la clave de cifrado comn. La longitud de la clave de cifrado es un importante parmetro de seguridad. Puede usar tcnicas de clculo para determinar la clave de cifrado. Sin embargo, dichas tcnicas requieren mayor capacidad de proceso y tiempo de clculo a medida que aumenta el tamao de las claves de cifrado. Por lo tanto, es importante usar claves del mayor tamao posible para garantizar la confidencialidad de los datos.Requisitos para instalar RRAS como un servidor VPNAntes de configurar un servidor RRAS para que funcione como un servidor VPN de acceso remoto, debe realizar los pasos que se incluyen a continuacin. Determine la interfaz de red que desee conectar a Internet y la que conectar a la red privada.
Durante la configuracin se le solicitar que elija la interfaz de red que desea conectar a Internet. Si indica la interfaz incorrecta, el servidor VPN de acceso remoto no funcionar adecuadamente. Determine si los clientes remotos recibirn direcciones IP de un servidor DHCP de la red privada, o bien del servidor VPN de acceso remoto que est configurando.
Si dispone de un servidor DHCP en la red privada, el servidor VPN de acceso remoto podr conceder 10 direcciones a la vez desde el servidor DHCP y asignarlas a los clientes remotos. Si no cuenta con un servidor DHCP en la red privada, el servidor VPN de acceso remoto puede asignar a los clientes remotos direcciones IP de un grupo predefinido de direcciones. Debe determinar ese intervalo en funcin de su infraestructura de red. Para obtener ms informacin, vea el tema sobre RRAS y DHCP (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140605). Si usa DHCP, determine si los clientes VPN pueden enviar mensajes DHCP al servidor DHCP de la red privada.
Si un servidor DHCP se encuentra en la misma subred que el servidor VPN de acceso remoto, los mensajes DHCP de los clientes VPN podrn alcanzar el servidor DHCP una vez establecida la conexin VPN. Si, por el contrario, el servidor DHCP est situado en una subred distinta de la del servidor VPN de acceso remoto, asegrese de que el enrutador entre ambas subredes puede retransmitir mensajes DHCP entre los clientes y el servidor. Determine si desea que las solicitudes de conexin de los clientes VPN se autentiquen mediante un servidor de Servicio de autenticacin remota telefnica de usuario (RADIUS) o bien mediante el servidor VPN de acceso remoto que est configurando.
Agregar un servidor RADIUS resulta til cuando se desea instalar varios servidores VPN de acceso remoto, puntos de acceso inalmbrico u otros clientes RADIUS en la red privada. Para obtener ms informacin, vea el tema sobre el servidor de directivas de redes (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=139764). Compruebe que todos los usuarios disponen de cuentas de usuario configuradas para el acceso remoto.
Para que los usuarios puedan conectarse a la red, deben tener cuentas de usuario en el servidor VPN de acceso remoto o en Servicios de dominio de Active Directory. Todas las cuentas de usuario situadas en servidores independientes o controladores de dominio contienen propiedades que determinan si el usuario se puede conectar. Para definir estas propiedades en un servidor independiente, haga clic con el botn secundario en la cuenta de usuario en Usuarios y grupos locales y, a continuacin, haga clic en Propiedades. Para definirlas en un controlador de dominio, haga clic con el botn secundario en la cuenta de usuario en la consola Usuarios y equipos de Active Directory y, a continuacin, haga clic en Propiedades.Acceso telefnico a redesEl acceso telefnico remoto es una tecnologa de acceso remoto que est disponible como parte del Servicio de enrutamiento y acceso remoto (RRAS).El acceso telefnico remoto ofrece una solucin sencilla a las organizaciones que desean permitir a los empleados tener acceso de forma remota a las cuentas de correo corporativas y a los archivos compartidos desde casa o desde otros lugares que estn fuera de la red corporativa. Gracias al acceso telefnico remoto, un cliente de acceso remoto puede usar la infraestructura de red de rea extensa (WAN) para conectarse a un servidor de acceso remoto. Un cliente de acceso remoto usa el sistema telefnico para crear un circuito fsico temporal o un circuito virtual a un puerto en un servidor de acceso remoto. Una vez creado el circuito fsico o virtual, se puede negociar el resto de los parmetros de conexin. El acceso telefnico a redes admite el enrutamiento de marcado a peticin para ayudar a reducir los costos telefnicos.Componentes de una conexin de acceso telefnico remotoUna conexin de acceso telefnico remoto tiene los siguientes componentes:
Cliente de acceso remotoLos clientes de acceso remoto que ejecuten Windows, UNIX y Macintosh pueden conectarse a un servidor de acceso remoto RRAS.Servidor de acceso remotoEl servidor de acceso remoto RRAS acepta conexiones de acceso telefnico y reenva los paquetes entre los clientes de acceso remoto y la red a la que est conectado el servidor RRAS.Equipo de acceso telefnico e infraestructura WANLa conexin fsica y lgica entre el servidor de acceso remoto y el cliente de acceso remoto se facilita a travs del equipo de acceso telefnico que se instala en el cliente de acceso remoto, el servidor de acceso remoto y la infraestructura WAN. La naturaleza del equipo de acceso telefnico y la infraestructura WAN vara en funcin del tipo de conexin. En las secciones siguientes se describen los mtodos de acceso telefnico remoto ms comunes.RTCRTC, conocido tambin como servicio de telefona convencional, es el sistema de telfono analgico diseado para transportar las frecuencias mnimas necesarias para distinguir la voz humana.El equipo de acceso telefnico se compone de un mdem analgico en el cliente de acceso remoto y al menos un mdem analgico en el servidor de acceso remoto. En las organizaciones de gran tamao, el servidor de acceso remoto est conectado a un banco de mdems que contiene cientos de mdems. Dado que RTC no se dise para la transmisin de datos, su velocidad de transmisin es limitada si se compara con otros mtodos de conexin.Conexin RTC estndar
Enlaces digitales y V.90La velocidad de bits mxima de la conexin RTC depende del intervalo de frecuencias que transmiten los conmutadores RTC y la relacin seal/ruido de la conexin. El sistema de telfono analgico actual es analgico solo en el circuito local, el conjunto de cables que conectan al usuario al conmutador RTC de la oficina central. Al llegar al conmutador RTC, la seal analgica se convierte en una seal digital.Cuando un servidor RRAS se conecta a una oficina central mediante un conmutador digital basado en portadora T o ISDN (RDSI) en lugar de un conmutador RTC analgico, hay una relacin seal/ruido mayor porque se producen menos conversiones de analgico a digital y, por tanto, una velocidad de bits mxima ms alta.Con esta tecnologa, denominada V.90, los clientes de acceso remoto pueden enviar datos a 33,6 kilobits por segundo (Kbps) y recibirlos a 56 Kbps. En Estados Unidos, la velocidad de bits mxima es de 53 Kbps, lmite impuesto por las normas de energa de la Comisin Federal de Comunicaciones (FCC).Para obtener la velocidad de V.90: El cliente de acceso remoto debe usar un mdem V.90. El servidor de acceso remoto debe usar un conmutador digital V.90 y estar conectado a la red RTC mediante un enlace digital, como portadora T o ISDN (RDSI). No pueden producirse conversiones de seales analgicas a digitales en el trayecto desde el servidor de acceso remoto hasta el cliente de acceso remoto.Conexin RTC con V.90
Permisos para usuarios de acceso remotoUna vez instalado el Servicio de enrutamiento y acceso remoto (RRAS), debe determinar los usuarios que pueden conectarse al servidor RRAS. Las autorizacin RRAS se determina por las propiedades de marcado en la cuenta del usuario, por las directivas de redes, o por ambas.No es necesario crear cuentas de usuario simplemente para usuarios de acceso remoto. Los servidores RRAS pueden usar cuentas de usuario existentes en las bases de datos de cuentas de usuario. En Usuarios y grupos locales y en Usuarios y equipos de Active Directory, las cuentas de usuario tienen la ficha Marcado donde puede configurar los permisos de acceso remoto. Para un gran nmero de usuarios, se recomienda configurar las directivas de red en un servidor que ejecuta el servicio de servidor de directivas de redes (NPS). Para obtener ms informacin, vea Servidor de directivas de redes (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=139764).Seguridad antes de la conexinLos siguientes pasos describen qu sucede durante los intentos de conexin de un cliente de acceso remoto a un servidor RRAS que est configurado para usar la autenticacin de Windows:1. Un cliente de acceso remoto intenta conectarse a un servidor RRAS.2. El servidor enva una comprobacin al cliente.3. El cliente enva una respuesta cifrada al servidor que consta de un nombre de usuario, un nombre de dominio y una contrasea.4. El servidor comprueba la respuesta en la base de datos de cuentas de usuario.5. Si la cuenta es vlida y las credenciales de autenticacin son correctas, el servidor usa las propiedades de acceso telefnico de la cuenta de usuario y las directivas de red para autorizar la conexin.Si la conexin es de acceso telefnico y la devolucin de llamada est habilitada, el servidor corta la conexin, devuelve la llamada al cliente y contina el proceso de negociacin de la conexin.Nota
En los pasos2 y3, se asume que tanto el cliente de acceso remoto como el servidor RRAS usan el Protocolo de autenticacin por desafo mutuo de Microsoft versin 2 (MS-CHAP v2) o el Protocolo de autenticacin por desafo mutuo (CHAP). El envo de credenciales del cliente puede variar para otros protocolos de autenticacin. Si el servidor RRAS es miembro del dominio y la respuesta del usuario no contiene un nombre de dominio, de forma predeterminada se usar el nombre de dominio del servidor RRAS. Si desea usar un nombre de dominio distinto al del servidor RRAS, en el cliente de acceso remoto, defina el siguiente valor del Registro como el nombre del dominio que desee usar:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
Precaucin
La modificacin incorrecta del Registro puede daar gravemente el sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos de valor guardados en el equipo.
Seguridad despus de la conexinLas credenciales usadas para el acceso remoto slo proporcionan un canal de comunicacin con la red de destino. El cliente no inicia sesin en la red como resultado de una conexin de acceso remoto. Cada vez que el cliente intente obtener acceso a un recurso de red, se le solicitarn sus credenciales. Si no responde al desafo con las credenciales adecuadas, el intento de acceso generar un error. Windows agrega una caracterstica para simplificar el acceso remoto. Tras una conexin correcta, los clientes de acceso remoto que ejecutan WindowsVista, Windows7, WindowsServer2008 y WindowsServer2008R2 almacenarn esas credenciales en cach como predeterminadas durante el transcurso de toda la conexin de acceso remoto. Cuando un recurso de red solicita una autenticacin al cliente de acceso remoto, ste proporciona las credenciales almacenadas en cach para que el usuario no tenga que volver a escribirlas.
Asignacin de direcciones IPCuando un cliente de acceso remoto inicia una conexin al servidor RRAS, el cliente crea una interfaz lgica temporal (tambin denominada interfaz virtual o adaptador de red virtual) y solicita al servidor RRAS que asigne una direccin IP a esta interfaz lgica. Se admiten tanto las direcciones del protocolo de Internet versin 6 (IPv6) como las del protocolo de Internet versin 4 (IPv4). La asignacin de direcciones IP se puede realizar de una de las formas siguientes:Desde un servidor DHCPEl servidor RRAS obtiene la direccin IP que se asignar a un cliente remoto desde un servidor DHCP de la intranet. ste es el mtodo preferido de asignacin de direcciones IP. El servidor RRAS se comporta como un cliente DHCP frente al servidor DHCP y obtiene 10 direcciones IP a la vez. A medida que los clientes de acceso remoto se conectan al servidor RRAS, las direcciones IP se asignan a los clientes con el Protocolo de control del protocolo de Internet (IPCP). Para obtener ms informacin, vea RRAS y DHCP (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140605). El servidor DHCP se puede usar para asignar direcciones IPv6 e IPv4.Si no se puede establecer la comunicacin con un servidor DHCP, el servidor RRAS asigna automticamente direcciones IPv4 del intervalo de direcciones IP privadas automticas (APIPA) 168.254.0.1 a 169.254.255.254. Si no se puede establecer la comunicacin con un servidor DHCP para la asignacin de direcciones IPv6, entonces el cliente utiliza la asignacin de prefijo IPv6 configurada en el servidor RRAS con un identificador de interfaz generado localmente para crear una direccin de enrutamiento IPv6.Desde un intervalo de direcciones configurado en el servidorEl servidor RRAS obtiene una direccin IPv4 de un grupo de direcciones estticas configuradas en el servidor RRAS. Si configura un grupo de direcciones estticas, no utilice direcciones IP que ya estn asignadas a otros equipos o que se encuentren en un intervalo que el servidor DHCP pueda asignar a otro equipo. El grupo puede constar de intervalos de direcciones que sean un subconjunto de direcciones de la red IP a la que est conectado el servidor o de una subred distinta. Si los intervalos del grupo de direcciones IP estticas representan una subred diferente, asegrese de que las rutas a los intervalos de direcciones existan en los enrutadores de la intranet, a fin de que el trfico hacia la interfaz lgica de un cliente remoto se reenve al servidor de acceso remoto.Para IPv6, nicamente se asigna el prefijo. El cliente genera automticamente el identificador de interfaz, que luego utiliza la deteccin de vecinos IPv6 para garantizar su exclusividad.Desde una direccin esttica especificada en la cuenta de usuarioSe puede configurar una direccin IP esttica para un cliente determinado en la ficha Marcado de la cuenta de usuario del cliente remoto o en la directiva de red. Cuando un cliente remoto inicia una conexin, crea una interfaz lgica temporal y solicita al servidor de acceso remoto que asigne una direccin IP a esta interfaz lgica, el servidor de acceso remoto asigna las direcciones IPv4 e IPv6 especificadas en la cuenta de usuario del cliente remoto. Este mtodo es especialmente apropiado para un nmero reducido de usuarios remotos.
Protocolos de autenticacin de acceso remotoEl acceso remoto de esta versin de Windows admite los protocolos de autenticacin de acceso remoto enumerados en la tabla siguiente. Se muestran en orden de seguridad descendente. Se recomienda usar el Protocolo de autenticacin extensible (EAP) y el Protocolo de autenticacin por desafo mutuo de Microsoft versin 2 (MS-CHAPv2), y evitar el uso del Protocolo de autenticacin por desafo mutuo (CHAP) y el Protocolo de autenticacin de contrasea (PAP).ProtocoloDescripcinNivel de seguridad
EAPPermite la autenticacin arbitraria de una conexin de acceso remoto por medio del uso de esquemas de autenticacin, lo que se conoce como tipos EAP.EAP ofrece el mayor nivel de seguridad proporcionando la mxima flexibilidad en las variaciones de autenticacin. Para obtener ms informacin, vea http://go.microsoft.com/fwlink/?linkid=140608 (puede estar en ingls).
MS-CHAP v2Admite la autenticacin mutua bidireccional. El cliente de acceso remoto recibe confirmacin de que el servidor de acceso remoto al que est llamando tiene acceso a la contrasea del usuario.MS-CHAP v2 ofrece ms seguridad que CHAP. Para obtener ms informacin, vea MS-CHAP v2 (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140609).
CHAPUsa el esquema de hash MD5 (sntesis del mensaje5) estndar del sector para cifrar la respuesta.CHAP supone una mejora con respecto a PAP, ya que la contrasea no se enva a travs del enlace PPP. CHAP exige una versin de texto simple de la contrasea para validar la respuesta al desafo. CHAP no protege frente a la suplantacin del servidor remoto. Para obtener ms informacin, vea CHAP (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140610).
PAPUsa contraseas de texto simple. Se suele emplear cuando el cliente y el servidor de acceso remoto no pueden negociar una forma de validacin ms segura.PAP es el protocolo de autenticacin menos seguro. No protege frente a ataques de reproduccin, suplantacin del cliente remoto ni suplantacin del servidor remoto. Para obtener ms informacin, vea PAP (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140611).
Acceso no autenticadoRRAS tambin es compatible con el acceso no autenticado, lo que significa que no se necesitan credenciales de usuario (un nombre de usuario y una contrasea). Existen situaciones en las que el acceso no autenticado resulta til. Para obtener ms informacin, vea Acceso no autenticado (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=73649).Seguridad Nota
Cuando el acceso no autenticado est habilitado, los usuarios de acceso remoto se conectan sin necesidad de enviar sus credenciales de usuario. Un cliente de acceso remoto no autenticado no negocia el uso de un protocolo de autenticacin comn durante el proceso de establecimiento de conexin ni enva un nombre de usuario o una contrasea.El acceso remoto no autenticado con clientes de acceso remoto puede producirse cuando los protocolos de autenticacin configurados por el cliente de acceso remoto no coinciden con los configurados en el servidor de acceso remoto. En este caso, no se negocia el uso de un protocolo de autenticacin comn ni el cliente de acceso remoto enva un nombre de usuario y una contrasea.
EnrutamientoPersonas que lo han encontrado til: 1 de 1 - Valorar este tema Se aplica a: Windows Server 2008 R2El enrutamiento es el proceso de recepcin de un paquete de red desde una red conectada a una interfaz y su reenvo a una red conectada a otra interfaz.1. Enrutamiento IPv4 (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140614)2. Enrutamiento IPv6 (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140615)3. Enrutamiento esttico (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140617)4. Traduccin de direcciones de red (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140619)5. Enrutamiento de marcado a peticin (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140603)Directivas de redLas directivas de red, antes conocidas como directivas de acceso remoto, se administran ahora desde el Servidor de directivas de redes (NPS). Para obtener ms informacin, vea Servidor de directivas de redes (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=139764).
Listas de comprobacin para RRASEstas listas de comprobacin cubren las principales tareas de configuracin de RRAS.Lista de comprobacin: instalacin y configuracin de un servidor VPN de RRASTareaReferencia
Revise los conceptos principales.Redes privadas virtuales
Obtenga la informacin necesaria.Requisitos para instalar RRAS como un servidor VPN
Configure TCP/IP en los adaptadores de red del servidor RRAS.Configurar TCP/IP en el servidor RRAS
Instale RRAS. Instalar RRAS
Habilite RRAS y configrelo como servidor VPN.Habilitar RRAS como servidor VPN
Si el servidor RRAS se encuentra detrs de un firewall perimetral o ejecuta un firewall basado en host como, por ejemplo, Firewall de Windows con seguridad avanzada, configure las reglas de firewall necesarias para permitir que el trfico de red de la red privada virtual (VPN) vaya a travs del firewall hasta el servidor RRAS.Configurar un firewall para trfico VPN (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140709)
Si el servidor RRAS se encuentra detrs de un firewall perimetral y no ejecuta un firewall basado en host como, por ejemplo, Firewall de Windows con seguridad avanzada, configure filtros de paquetes estticos para permitir en el servidor RRAS solo el trfico de red VPN necesario.Configurar filtros estticos para trfico VPN (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140713)
Configure los tipos de conexiones VPN y el nmero de ellas admitidas por el servidor VPN.De forma predeterminada, RRAS admite, en esta versin de Windows, 128 conexiones de Intercambio de claves por red versin 2 (IKEv2), protocolo de tnel de capa dos (L2TP), Protocolo de tnel punto a punto (PPTP) y Protocolo de tnel de sockets seguros (SSTP). Si habilita VPN despus de instalar RRAS, los puertos de VPN se deshabilitarn y Windows solo crear cinco de cada tipo de conexin. Habilite los puertos y configure los que necesite siguiendo este procedimiento.Configuracin de puertos para acceso remoto
Especifique DHCP o configure un grupo esttico de direcciones IP para clientes VPN.Configuracin de la asignacin de direcciones IP de RRAS a clientes VPN
Si utiliza DHCP para proporcionar direcciones IP a clientes remotos y el servidor DHCP no se encuentra en la misma subred IP que el servidor RRAS, configure un agente de retransmisin DHCP que reenve las solicitudes y respuestas DHCP de difusin a travs de los enrutadores al servidor DHCP.Configurar el Agente de retransmisin DHCP IPv4 Configurar el Agente de retransmisin DHCP IPv6
Si utiliza el Servidor de directivas de redes (NPS) para administrar de forma centralizada las directivas de los servidores RRAS, configure las propiedades de marcado y las directivas de red de la configuracin de permiso de marcado, autenticacin y cifrado.Vea "Lista de comprobacin: para configurar NPS para acceso telefnico y VPN en la Ayuda del Servidor de directivas de redes.
Ajuste los niveles de registro de RRAS y de cada protocolo de enrutamiento.Configurar niveles de registro para RRAS
(Opcional) Cree un perfil de Connection Manager para administrar la capacidad de conexin de cliente de los usuarios y simplificar la solucin de problemas de las conexiones de cliente.Kit de administracin de Connection Manager (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=136440)
Si la configuracin de RRAS requiere certificados para autenticacin, por ejemplo, al utilizar conexiones VPN basadas en IKEv2 o SSTP, deber tener un origen para los certificados. Instale Servicios de certificados de Active Directory (AD CS) en un servidor de la red como alternativa para adquirir certificados de entidades de certificacin raz de terceros.Servicios de certificados de Active Directory (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=136444)
Para compatibilidad con conexiones VPN autenticadas mediante certificado SSTP o IKEv2, debe instalar un certificado de equipo con la propiedad Autenticacin de servidor o Uso mejorado de clave (EKU) Todos los propsitos instalada en el servidor RRAS.Configurar RRAS con un certificado de autenticacin de equipo
Si ha configurado inicialmente el servidor RRAS para que sea compatible solo con el protocolo de Internet versin 4 (IPv4), puede agregarle compatibilidad con el acceso remoto del protocolo de Internet versin 6 (IPv6).Habilitar el acceso remoto IPv6
(Opcional) Configure el servidor VPN para que utilice Proteccin de acceso a redes (NAP) para aplicar las directivas de requisitos de mantenimiento.Configuracin del cumplimiento de Proteccin de acceso a redes para VPN
Lista de comprobacin: instalacin y configuracin de un enrutador RRASTareaReferencia
Revisar los conceptos principales. Decidir qu protocolos y caractersticas de enrutamiento de RRAS desea usar.Enrutamiento Enrutamiento IPv4 (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140614)Enrutamiento IPv6 (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140615)Enrutamiento esttico (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140617)Protocolo de informacin de enrutamiento para IPv4 (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140716)Traduccin de direcciones de red (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140619)Enrutamiento de marcado a peticin (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140603)
Configurar TCP/IP en los adaptadores de red del servidor RRAS.Configurar TCP/IP en el servidor RRAS
Instalar RRAS.Instalar RRAS
Habilitar RRAS y configurarlo como enrutador.Habilitar RRAS como enrutador LAN y WAN
(Opcional) Disear e implementar el enrutamiento IP esttico.Crear una ruta esttica
(Opcional) Disear e implementar el Protocolo de informacin de enrutamiento para IP.Habilitar y configurar RIP
(Opcional) Agregar y configurar el Agente de retransmisin DHCP.Configurar el Agente de retransmisin DHCP IPv4 Configurar el Agente de retransmisin DHCP IPv6
(Opcional) Configurar la compatibilidad con la multidifusin IP.Enrutamiento de multidifusin IPv4 (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140717)
(Opcional) Disear e implementar la traduccin de direcciones de red (NAT).Habilitacin y configuracin de NAT
(Opcional) Configurar los filtros de paquetes IP.Configurar filtros de paquetes estticos (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140713)
(Opcional) Disear e implementar el enrutamiento de marcado a peticin.Creacin de una interfaz de marcado a peticin
Lista de comprobacin: configuracin de acceso remoto detrs de un enrutador habilitado para NATTareaReferencia
Revisar los conceptos principales.Traduccin de direcciones de red (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140619) y Redes privadas virtuales
Recopilar informacin requerida.Requisitos para instalar RRAS como un servidor VPN
Configurar TCP/IP en los adaptadores de red del servidor RRAS.Configurar TCP/IP en el servidor RRAS
Instalar RRAS.Instalar RRAS
Habilitar RRAS y configurarlo como servidor VPN y enrutador NAT.Instalar RRAS
Completar los otros pasos requeridos para configurar el servidor VPN.Lista de comprobacin: instalacin y configuracin de un servidor VPN de RRAS
Lista de comprobacin: conexin de sitios remotosA continuacin encontrar las tareas que debe realizar para permitir conexiones de clientes remotos.Elegir el tipo de conexin del sitio remoto: Conexin de acceso telefnico o de red privada virtual (VPN). Conexin a peticin o persistente. Conexin unidireccional o bidireccional.Elegir las caractersticas de seguridad: Integrar el servidor VPN en una red perimetral. Elegir el proveedor de autenticacin. Elegir el mtodo de autenticacin. Elegir el cifrado punto a punto de Microsoft (MPPE) o el cifrado de protocolo de seguridad de Internet (IPsec). Elegir grupos y cuentas de usuario del enrutador. Elegir el tipo de directiva de acceso remoto.Integrar la conexin del sitio remoto en la red: Disear la infraestructura de enrutamiento. Planear la asignacin de direcciones IP y la resolucin de nombres. Planear la integracin de Servicios de dominio de Active Directory (ADDS).Implementar la conexin de sitio a sitio.Configuracin de RRASSe usan los siguientes procedimientos para configurar el servicio Enrutamiento y acceso remoto (RRAS). Instalar RRAS Abrir el complemento RRAS de MMC Configurar un servidor de acceso telefnico remoto Configurar un firewall para el trfico de VPN (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140709) Configuracin de la asignacin de direcciones IP de RRAS a clientes VPN Configurar niveles de registro para RRAS Configuracin del cumplimiento de Proteccin de acceso a redes para VPN Configuracin de puertos para acceso remoto Configurar RRAS con un certificado de autenticacin de equipo Configurar filtros de paquetes estticos (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140713) Configurar el Agente de retransmisin DHCP IPv4 Configurar el Agente de retransmisin DHCP IPv6 Configurar TCP/IP en el servidor RRAS Creacin de una interfaz de marcado a peticin Crear una ruta esttica Habilitacin y configuracin de NAT Habilitar y configurar RIP Habilitar el acceso remoto IPv6 Habilitar RRAS como enrutador LAN y WAN Habilitar RRAS como servidor VPN Habilitar RRAS como servidor VPN y enrutador NAT Quitar RRAS de un servidor Ver informacin en RRAS