Guía detallada de creación de una conexión de red privada virtual de sitio a sitio
Esta guía detallada proporciona instrucciones para crear una infraestructura del Servicio de enrutamiento y acceso remoto (RRAS) compatible con una red privada virtual (VPN) de sitio a sitio mediante conexiones de marcado a petición.
En esta página
Introducción
Guías detalladas
Las guías detalladas de desarrollo de Windows Server 2003 proporcionan experiencia práctica para muchas configuraciones de sistemas operativos. Las guías comienzan estableciendo una infraestructura de red común a través de la instalación de Windows Server 2003, la configuración de Active Directory®, la instalación de una estación de trabajo Windows XP Professional y, por último, la incorporación de esta estación de trabajo a un dominio. Las guías detalladas posteriores asumen que posee esta infraestructura de red común. Si no desea seguir esta infraestructura de red común, tendrá que efectuar las modificaciones pertinentes mientras utiliza estas guías.
La infraestructura de red común requiere que se sigan las instrucciones de las guías siguientes.
| • | Parte I: Instalar Windows Server 2003 como un controlador de dominio |
| • | Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla a un dominio |
Una vez configurada la infraestructura de red común, pueden utilizarse todas las guías detalladas adicionales. Tenga en cuenta que algunas guías detalladas pueden tener requisitos previos adicionales además de los requisitos de infraestructura de red común. Todos los requisitos adicionales se indicarán en la guía detallada específica.
Microsoft Virtual PC
Las guías detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de laboratorio físico o mediante tecnologías de creación de entornos virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnología de máquina virtual permite a los usuarios ejecutar varios sistemas operativos simultáneamente en un único servidor físico. Virtual PC 2004 y Virtual Server 2005 están diseñados para aumentar la eficacia operativa de las pruebas y desarrollo de software, la migración de aplicaciones heredadas y los escenarios de consolidación de servidores.
En las guías detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones se realizarán en un entorno de laboratorio físico, aunque la mayoría de ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas.
La aplicación de los conceptos proporcionados en estas guías detalladas a un entorno virtual se escapa al alcance de este documento.
Notas importantes
Las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y datos mencionados aquí son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o datos reales.
Esta infraestructura común está concebida para su uso en una red privada. El nombre ficticio de la compañía y el nombre DNS (Sistema de nombres de dominio) utilizados en la infraestructura común no están registrados para su uso en Internet. No debe utilizar estos nombres en una red pública ni en Internet.
El objetivo de la estructura del servicio Active Directory para esta infraestructura común es mostrar cómo funciona la administración de cambios y configuración de Windows Server 2003 con Active Directory. No se ha diseñado como un modelo para configurar Active Directory en una organización.
Introducción
Muchas organizaciones tienen oficinas en distintas ubicaciones geográficas y requieren conectividad remota. El Servicio de enrutamiento y acceso remoto (RRAS) de Windows Server 2003 se puede utilizar para implementar una solución de sitio a sitio rentable y segura.
Hasta ahora, en las organizaciones se han utilizado tecnologías de conexión de sitio a sitio de red de área extensa (WAN), por ejemplo T-Carrier o Frame Relay, para conectar sitios remotos a través de una red privada de datos. Con todo, estas líneas privadas son costosas. Por ejemplo, el costo de los servicios de T-Carrier depende del ancho de banda y la distancia, con lo que las conexiones son relativamente costosas. Además, T-Carrier requiere por lo general una infraestructura dedicada, con enrutadores de unidades de servicio de canal/unidades de servicio digitales (CSU/DSU) y enrutadores específicos de línea en ambos extremos de la conexión.
Por el contrario, la solución RRAS de Windows Server 2003 se puede integrar en la red actual de la organización utilizando los servidores existentes. Con las conexiones de sitio a sitio que proporciona el RRAS, se dispone de dos opciones frente a los vínculos de WAN convencionales: una conexión de acceso telefónico de sitio a sitio o una conexión de sitio a sitio de VPN. Si implementa una solución RRAS para reemplazar a la conexión WAN existente, o para implementar una nueva conexión, puede optimizar la rentabilidad ajustando el tipo de conexión al volumen de tráfico. También puede personalizar la seguridad para que se ajuste a las necesidades de la organización.
En una implementación de sitio a sitio, RRAS admite el enrutamiento de marcado a petición, denominado también enrutamiento de marcado a petición. Mediante el uso de una interfaz de marcado a petición, el enrutador puede iniciar una conexión con un sitio remoto cuando recibe el paquete que se debe enrutar. La conexión pasa a estar activa sólo cuando se envían datos al sitio remoto. Cuando no se han enviado datos a través del vínculo durante un periodo de tiempo especificado, se desconecta el vínculo.
RRASS también admite filtros y horas de marcado a petición. Los filtros de marcado a petición se pueden usar para especificar los tipos de tráfico admitidos para crear la conexión. Los filtros de marcado a petición son independientes de los filtros de paquetes del Protocolo Internet (IP), que se configuran para especificar el tráfico que puede entrar y salir de una interfaz una vez que se ha establecido la conexión. Se pueden definir horas de marcado, que especifican cuándo puede un enrutador hacer llamadas para establecer conexiones de marcado a petición. Se puede configurar cuándo acepta el enrutador conexiones entrantes a través de directivas de acceso remoto.
Nota: RRAS es compatible con conexiones de sitio a sitio entre oficinas remotas y conexiones de acceso remoto para equipos independientes. Esta guía detallada se centra en la implementación de una conexión de VPN de sitio a sitio mediante Seguridad del protocolo Internet (IPSec) con una clave compartida.
Requisitos previos
| • | Parte 1: Instalar Windows Server 2003 como un controlador de dominio |
| • | Guía detallada de configuración de controladores de dominio adicionales |
| • |
Requisitos de esta guía
| • | Para la configuración de una solución VPN de sitio a sitio, los enrutadores de llamada y de respuesta se deben configurar como servidores con multialojamiento. En consecuencia, cada servidor debe tener una tarjeta de interfaz de red secundaria (NIC) lista para su uso. En los procedimientos descritos en esta guía, se usa la siguiente configuración de la NIC secundaria.
| ||||
| • | Para simular correctamente una conexión de marcado a petición de sitio a sitio, todos los equipos que estén en el dominio secundario, vancouver, se deben trasladar a otra red, o disponer de otra interfaz de red lista para su uso. En las siguientes secciones, cada equipo del dominio secundario vancouver se ha configurado con una tercera interfaz de red. Cada interfaz está configurada con una dirección de red 30.0.0.0. Si decide segmentar físicamente el dominio Vancouver, debe instalar y configurar DNS en HQ-CON-DC-02. |
Advertencia: Las instrucciones de esta guía proporcionan una introducción general a las configuraciones necesarias para crear una conexión VPN de sitio a sitio de marcado a petición mediante una clave compartida de IPSec. En consecuencia, los procedimientos de esta guía sólo se deben implementar en un entorno de prueba. Para obtener más información sobre cómo planear e implementar VPN de Windows Server 2003, consulte Redes privadas virtuales para Windows Server 2003.
Configurar el Servicio de enrutamiento y acceso remoto
Al ejecutar el Asistente para la instalación de servidor de enrutamiento y acceso remoto, se le pide que elija la ruta de acceso de configuración más parecida a solución de acceso remoto que desea implementar. Si no hay ninguna ruta de acceso de configuración satisface todos sus requisitos, puede realizar más configuraciones del servidor cuando finalice el asistente, o puede elegir la ruta de acceso de configuración personalizada.
Si bien el objetivo inmediato es configurar una conexión segura entre dos redes privadas, hay otras guías en esta serie que describen de manera pormenorizada las funciones de RRAS mediante la inclusión del acceso telefónico. Por ello, en las secciones siguientes, RRAS se configurará inicialmente como servidor de VPN, mientras que la VPN de sitio a sitio se configurará manualmente.
Nota: Con una instalación básica de Windows Server 2003, los componentes para RRAS se instalan de manera predeterminada, pero no se habilitan ni configuran.
Para habilitar y configurar el servicio de Enrutamiento y acceso remoto en HQ-CON-DC-01:
1. | Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto. |
2. | En la consola de Enrutamiento y acceso remoto, haga clic con el botón secundario del mouse (ratón) en HQ-CON-DC-01 y, a continuación, haga clic en Configurar y habilitar Enrutamiento y acceso remoto. |
3. | En el Asistente para la instalación del servidor de enrutamiento y acceso remoto haga clic en Siguiente. |
4. | Haga clic en el botón de opción Acceso remoto (acceso remoto o red privada virtual) (predeterminado) y, a continuación, en Siguiente. |
5. | Active la casilla de verificación VPN como se muestra en la figura 1 y, a continuación, haga clic en Siguiente.  Figura 1. Seleccionar un método de acceso remoto |
6. | En Interfaces de red, haga clic para resaltar el adaptador que representa la conexión de Internet en la que funcionará esta VPN de sitio a sitio. Mantenga la selección predeterminada de Habilitar seguridad y, a continuación, haga clic en Siguiente. |
7. | En la pantalla Asignación de direcciones IP, mantenga la opción predeterminada Automáticamente haga clic en Siguiente para continuar. Nota: Al configurar un servidor de RRAS, debe determinar si el servidor de acceso remoto utilizará el Protocolo de configuración dinámica de host (DHCP) o un conjunto de direcciones IP estáticas para obtener las direcciones de los clientes de acceso telefónico. Si utiliza un conjunto de direcciones IP estáticas, debe determinar si el conjunto será de intervalos de direcciones que son un subconjunto de direcciones de la red IP a la que está conectado el servidor u otra subred aparte. Si los intervalos de direcciones del conjunto de direcciones IP estáticas representan a otra subred, asegúrese de que las rutas de los intervalos de direcciones existen en los enrutadores de la intranet, para que el tráfico hacia los clientes de acceso remoto conectados se reenvíe al servidor de acceso remoto. |
8. | En la pantalla Administrar servidores de acceso remoto múltiples, mantenga la opción predeterminada para utilizar RRAS para autenticar las solicitudes de autenticación y, a continuación, haga clic en Siguiente. Nota: Si tiene más de un servidor de acceso remoto, en lugar de administrar las directivas de acceso remoto de todos ellos por separado, puede configurar un solo servidor con el Servicio de autenticación Internet (IAS) como servidor del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) y configurar los servidores de acceso remoto como clientes RADIUS El servidor IAS proporciona autenticación, autorización, contabilidad y auditoría centralizadas para el acceso remoto. |
9. | En el Asistente para la instalación del servidor de enrutamiento y acceso remoto haga clic en Finalizar. |
10. | En el cuadro de diálogo Enrutamiento y acceso remoto, que se muestra en la figura 2, haga clic en Aceptar para confirmar los requisitos de Retransmisión DHCP. Nota: De manera predeterminada, los servicios DHCP que proporciona RRAS automáticamente controlan todos los requisitos de la retransmisión DHCP. En una situación en que haya otro servidor DHCP, debe asegurarse de que el servidor está configurado para retransmitir las solicitudes DHCP. |
Para habilitar y configurar el servicio de Enrutamiento y acceso remoto en HQ-CON-DC-02:
1. | Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto. |
2. | En la consola de Enrutamiento y acceso remoto, haga clic con el botón secundario del mouse en HQ-CON-DC-02 y, a continuación, haga clic en Configurar y habilitar Enrutamiento y acceso remoto. |
3. | En el Asistente para la instalación del servidor de enrutamiento y acceso remoto haga clic en Siguiente. |
4. | Haga clic en el botón de opción Configuración personalizada y, a continuación, haga clic en Siguiente. |
5. | Haga clic en el botón de opción Conexiones de marcado a petición (utilizadas para enrutamiento de sucursales) y, a continuación, en Siguiente. |
6. | En el Asistente para la instalación del servidor de enrutamiento y acceso remoto haga clic en Finalizar. |
7. | En el cuadro de diálogo Enrutamiento y acceso remoto, haga clic en Sí para iniciar el servicio RRAS. |
Configurar interfaces de marcado a petición
Las interfaces de red permiten que cualquier servidor en que se ejecute RRAS se comunique con otros equipos a través de redes públicas o privadas. Las interfaces de red están relacionadas con Enrutamiento y acceso remoto de dos maneras: el hardware físico, por ejemplo un adaptador de red, y la configuración de la interfaz de red.
En Enrutamiento y acceso remoto, hay dos categorías de interfaces de red.
| • | Interfaz privada Una interfaz privada es un adaptador de red conectado físicamente a una red privada. Prácticamente todas las redes privadas se configuran con un intervalo de direcciones IP de red privada, y la interfaz privada se configura también con una dirección privada. Una red privada está formada, en teoría, por usuarios y equipos conocidos, por lo que normalmente los aspectos de seguridad de las interfaces privadas no son tan numerosos como los de las interfaces públicas. |
| • | Interfaz pública Una interfaz pública es un adaptador de red conectado físicamente a una red pública, como Internet. La interfaz pública está configurada con una dirección IP pública. Las interfaces públicas se pueden configurar de manera que realicen la traducción de direcciones de red (NAT). Puesto que una interfaz pública es en teoría accesible para todos los usuarios de la red pública, las consideraciones de seguridad suelen ser más importantes para las interfaces públicas que para las privadas. |
| • | Interfaz de marcado a petición Las interfaces de marcado a petición conectan enrutadores específicos de redes públicas o privadas. Una interfaz de marcado a petición puede ser a petición (se activa sólo cuando es necesario) o persistente (siempre conectada). |
Además de configurar cada interfaz de red como pública, privada o de marcado a petición, puede configurar filtros de paquetes, direcciones y otras opciones para las interfaces de redes. Algunas de las opciones para las interfaces públicas, como un servidor de seguridad básico, no están disponibles para las interfaces privadas.
Para configurar una interfaz de marcado a petición en el servidor de respuesta (HQ-CON-DC-01)
1. | En la consola Enrutamiento y acceso remoto, haga clic en el signo más (+) que está junto a HQ-CON-DC-01 para expandir el árbol. |
2. | En el árbol de HQ-CON-DC-01, haga clic con el botón secundario del mouse en Interfaces de red, y, a continuación, haga clic en Nueva interfaz de marcado a petición. |
3. | En la primera pantalla del Asistente para interfaz de marcado a petición, haga clic en Siguiente para empezar la configuración. |
4. | Como Nombre de la interfaz, escriba VPN_Vancouver y, a continuación, haga clic en Siguiente. |
5. | En Tipo de conexión, mantenga la configuración predeterminada, Conectar usando red privada virtual (VPN) y, a continuación, haga clic en Siguiente. |
6. | En la pantalla Tipo de VPN, seleccione Protocolo de túnel de capa 2 (L2TP) como se muestra en la figura 3 y, a continuación, haga clic en Siguiente.  Figura 3. Seleccionar el tipo de VPN |
7. | En la pantalla Dirección de destino, escriba 20.0.0.2 en Nombre de host o dirección IP y, a continuación, haga clic en Siguiente. |
8. | En la pantalla Protocolos y Seguridad, active Enrutar paquetes IP en esta dirección y Agregar una cuenta de usuario para que un enrutador remoto pueda conectarse y haga clic en Siguiente. |
9. | En la pantalla Rutas estáticas para redes remotas, haga clic en Agregar. Escriba 30.0.0.0 en Destino y 255.0.0.0 en Máscara de red, haga clic en Aceptar y, a continuación, haga clic en Siguiente. Nota: En el paso anterior se asume que el dominio vancouver se ha vuelto a configurar para que resida en una red 30.0.0.0. |
10. | En la pantalla Credenciales de marcado, escriba contraseña1 en los cuadros Contraseña y Confirmar contraseña y haga clic en Siguiente. |
11. | En la pantalla Credenciales de llamada saliente, escriba VPN_HQ en Nombre de usuario, VANCOUVER en Dominio y contraseña1 en Contraseña y Confirmar contraseña. Cuando haya terminado, la configuración debe ser la que se muestra en la figura 4. Haga clic en Siguiente para continuar.  Figura 4. Configurar las credenciales de llamada saliente en HQ-CON-DC-01 |
12. | En la página Finalización del Asistente para interfaz de marcado a petición, haga clic en Finalizar. |
Para configurar una interfaz de marcado a petición en el servidor de llamada (HQ-CON-DC-02)
1. | En la consola Enrutamiento y acceso remoto, haga clic en el signo más (+) que está junto a HQ-CON-DC-02 para expandir el árbol. |
2. | En el árbol de HQ-CON-DC-02, haga clic con el botón secundario del mouse en Interfaces de red, y, a continuación, haga clic en Nueva interfaz de marcado a petición. |
3. | En la primera pantalla del Asistente para interfaz de marcado a petición, haga clic en Siguiente para empezar la configuración. |
4. | Como Nombre de la interfaz, escriba VPN_HQ y, a continuación, haga clic en Siguiente. |
5. | En Tipo de conexión, mantenga la configuración predeterminada, Conectar usando red privada virtual (VPN) y, a continuación, haga clic en Siguiente. |
6. | En la pantalla Tipo de VPN, seleccione Protocolo de túnel de capa 2 (L2TP) como se muestra en la figura 3 y, a continuación, haga clic en Siguiente. |
7. | En la pantalla Dirección de destino, escriba 20.0.0.1 en Nombre de host o dirección IP y, a continuación, haga clic en Siguiente. |
8. | En la pantalla Protocolos y Seguridad, active Enrutar paquetes IP en esta dirección y Agregar una cuenta de usuario para que un enrutador remoto pueda conectarse y haga clic en Siguiente. |
9. | En la pantalla Rutas estáticas para redes remotas, haga clic en Agregar. Escriba 10.0.0.0 en Destino y 255.0.0.0 en Máscara de red, haga clic en Aceptar y, a continuación, haga clic en Siguiente. Nota: En el paso anterior se asume que el dominio raíz contoso sigue residiendo en la red 10.0.0.0. |
10. | En la pantalla Credenciales de marcado, escriba contraseña1 en los cuadros Contraseña y Confirmar contraseña y haga clic en Siguiente. |
11. | En la pantalla Credenciales de llamada saliente, escriba VPN_Vancouver en Nombre de usuario, CONTOSO en Dominio y contraseña1 en Contraseña y Confirmar contraseña. Cuando haya terminado, la configuración debe ser la que se muestra en la figura 5.  Figura 5. Configurar las credenciales de llamada saliente en HQ-CON-DC-02 |
12. | Haga clic en Siguiente para continuar. |
13. | En la página Finalización del Asistente para interfaz de marcado a petición, haga clic en Finalizar. |
Extender la seguridad de sitio a sitio mediante directivas de acceso remoto
Para RRAS en Windows Server 2003, la autorización de acceso a la red se concede en función de las propiedades de marcado de la cuenta de usuario y las directivas de acceso remoto.
Las directivas de acceso remoto son un conjunto ordenado de reglas que definen cómo se autorizan o rechazan las conexiones. Por cada regla hay una o varias condiciones, un conjunto de configuraciones de perfil y una configuración de permiso de acceso remoto. Si se autoriza una conexión, el perfil de la directiva de acceso remoto especifica un conjunto de restricciones de conexión. Las propiedades de marcado de la cuenta de usuario también proporcionan un conjunto de restricciones. Siempre que sea pertinente, las restricciones de conexión de la cuenta de usuario anulan a las del perfil de la directiva de acceso remoto.
Existen dos formas de usar las directivas de acceso remoto para conceder la autorización.
| • | Por usuario Si administra la autorización por usuario, establezca el permiso de acceso remoto en la cuenta de usuario o equipo para que conceda o deniegue el permiso y, si lo desea, cree distintas directivas de acceso remoto en función de distintos tipos de conexión. Por ejemplo, puede tener una directiva de acceso remoto que se utilice para las conexiones de acceso telefónico y otra que se utilice para las conexiones inalámbricas. La administración de la autorización por usuario sólo se recomienda si el número de cuentas de usuario o equipo que se administra es reducido. |
| • | Por grupo Si administra la autorización por grupo, establezca el permiso de acceso remoto en la cuenta de usuario en Controlar acceso a través de la directiva de acceso remoto y cree directivas de acceso remoto en función de los distintos tipos de conexión y la pertenencia a grupos. Por ejemplo, puede tener una directiva de acceso remoto para las conexiones de acceso telefónico para los empleados (que pertenecen al grupo Empleados) y otra para las conexiones de acceso telefónico para los contratistas (que pertenecen al grupo Contratistas). |
Las condiciones de las directivas de acceso remoto son uno o varios atributos que se comparan con la configuración del intento de conexión. Si hay varias conexiones, todas las condiciones deben coincidir con la configuración del intento de conexión para que éste coincida con la directiva. Si se satisfacen todas las condiciones de una directiva de acceso remoto, el permiso de acceso remoto se concede o se deniega. Puede utilizar las opciones Conceder permiso de acceso remoto y Denegar permiso de acceso remoto para definir el permiso de acceso remoto de una directiva.
En las siguientes secciones, se configuran directivas de acceso remoto para conceder la autorización por grupo.
Para preparar directivas de acceso remoto para conceder la autorización por grupo:
1. | En el servidor HQ-CON-DC-01, abra la consola Usuarios y equipos de Active Directory. |
2. | En la consola Usuarios y equipos de Active Directory, haga clic en el signo más (+) situado junto a contoso.com para expandir el árbol. |
3. | En el árbol contoso.com, haga clic en la unidad organizativa (OU) Usuarios. En el panel de resultados, haga doble clic en VPN_Vancouver. |
4. | En la página Propiedades de VPN_Vancouver, haga clic en la ficha Marcado. |
5. | En la sección Permisos de acceso remoto, haga clic en Controlar acceso a través de la directiva de acceso remoto, como se muestra en la figura 6.  Figura 6. Establecer los permisos de acceso remoto a través de directivas RRAS |
6. | En la página Propiedades de VPN_Vancouver, haga clic en Aceptar. |
7. | En el árbol contoso.com, haga clic en la unidad organizativa Grupos, haga clic con el botón secundario del mouse en la unidad organizativa Grupos, seleccione Nuevo y, a continuación, haga clic en Grupo. |
8. | En la pantalla Nuevo objeto: grupo, escriba VPN de sucursal en Nombre de grupo y, a continuación, haga clic en Aceptar. |
9. | En el panel de resultados, haga doble clic en VPN de sucursal. En la pantalla Propiedades de VPN de sucursal, haga clic en la ficha Miembros. Haga clic en Agregar, escriba VPN_Vancouver y, a continuación, haga clic en Aceptar dos veces. |
10. | Cierre la consola Usuarios y equipos de Active Directory. |
Para configurar una directiva de acceso remoto para conceder la autorización por grupo:
1. | En la consola Enrutamiento y acceso remoto, haga clic en Directivas de acceso remoto. |
2. | En el panel de resultados, haga doble clic en Conexiones al servidor de Enrutamiento y acceso remoto de Microsoft. |
3. | En Condiciones de la directiva, haga clic en Agregar. Haga doble clic en Grupos de Windows, haga clic en Agregar, escriba VPN de sucursal y, a continuación, haga clic en Aceptar dos veces. |
4. | En la parte inferior de la página Propiedades, haga clic en Conceder permiso de acceso remoto y, a continuación, haga clic en Aceptar. |
Configurar la clave compartida de IPSec y probar la conexión
De manera predeterminada, el cliente L2TP y el servidor L2TP de Windows Server 2003 están preconfigurados para la autenticación de IPSec basada en certificados. Al establecer una conexión de L2TP sobre IPSec, se crea automáticamente una directiva de IPSec para especificar que Intercambio de claves de Internet (IKE) utilizará la autenticación basada en certificados durante la negociación de la configuración de seguridad para L2TP. Esto significa que el cliente L2TP y el servidor L2TP deben tener instalado un certificado de equipo (conocido también como certificado de máquina) para que se pueda establecer correctamente una conexión L2TP sobre IPSec. Ambos certificados de equipo deben proceder de la misma autoridad emisora de certificados (CA) o el certificado raíz de la CA de cada equipo debe estar instalado como CA raíz de confianza en el almacén de certificados raíz de confianza del otro.
En algunos casos, no se desea tener un método de autenticación IPSec basado en certificados para las conexiones VPN de enrutador a enrutador basadas en L2TP. En este caso, la directiva IPSec se puede configurar manualmente para que use claves previamente compartidas al crear conexiones VPN de enrutador a enrutador. Esta clave de autenticación compartida previamente actúa como una contraseña sencilla en la negociación de IKE. Si ambos extremos pueden probar que conocen la misma contraseña, pueden confiar uno en otro y continuarán con la negociación de claves de cifrado simétricas y privadas y la configuración específica de seguridad para el tráfico L2TP.
Normalmente, se considera que el uso de una clave compartida previamente de IKE no es tan seguro como el uso de certificados, porque la autenticación de IKE (y la confianza implícita) depende sólo del valor de la clave, que se almacena como texto sin formato en la directiva de IPSec. Cualquier usuario que vea la directiva puede ver el valor de la clave compartida previamente. Si un usuario malintencionado ve la clave compartida previamente, podría configurar su sistema para que pueda establecer la seguridad IPSec con el sistema de otro usuario. Sin embargo, la conexión L2TP requiere autenticación en el nivel de usuario mediante un Protocolo punto a punto (PPP). Por ello, un usuario malintencionado tendría que conocer la clave compartida previamente y las credenciales de usuario correctas para poder establecer la conexión L2TP sobre IPSec.
Para configurar una clave compartida de IPSec en el servidor de respuesta (HQ-CON-DC-01):
1. | En la consola de Enrutamiento y acceso remoto, haga clic con el botón secundario del mouse en HQ-CON-DC-01 (local) y, a continuación, haga clic en Propiedades. |
2. | En la página Propiedades de HQ-CON-DC-01 (local), haga clic en la ficha Seguridad. Active Permitir la directiva personalizada IPSEC para la conexión L2TP, escriba 12345 en Clave compartida previamente como se muestra en la figura 7 y, a continuación, haga clic en Aceptar.  Figura 7. Establecer una clave compartida previamente en el enrutador de respuesta |
Para configurar una clave compartida de IPSec en el servidor de llamada (HQ-CON-DC-02):
1. | En la consola de Enrutamiento y acceso remoto, en el árbol HQ-CON-DC-02 (local), haga clic en Interfaces de red y, a continuación, haga doble clic en VPN_HQ. |
2. | En la página Propiedades de VPN_HQ, haga clic en la ficha Seguridad y, a continuación, haga clic en el botón Configuración IPSec. |
3. | En el cuadro de diálogo Configuración IPSec, active Usar clave previamente compartida al autenticar, escriba 12345 en Clave como se muestra en la figura 8 y, a continuación, haga clic en Aceptar dos veces.  Figura 8. Establecer una clave compartida previamente en el enrutador de llamada |
Probar la conexión VPN de sitio a sitio
| • | En la consola Enrutamiento y acceso remoto, haga clic con el botón secundario del mouse en VPN_HQ y, a continuación, haga clic en Conectar. |
Recursos adicionales
Para obtener más información, consulte los siguientes recursos:
| • | Redes privadas virtuales de Windows Server 2003 en http://www.microsoft.com/windowsserver2003/technologies/networking/vpn/default.mspx (en inglés). |
| • | Para obtener la información más reciente sobre Windows Server 2003, consulte el sitio Web de Windows Server 2003 en |