Enrutamiento y acceso remoto

Se aplica a: Windows Server 2008

El Servicio de enrutamiento y acceso remoto de Windows Server® 2008 proporciona

conectividad a usuarios remotos o entre sitios mediante el uso de conexiones de acceso
telefónico o de red privada virtual (VPN). Enrutamiento y acceso remoto tiene los
siguientes componentes:

Acceso remoto

La característica de acceso remoto proporciona servicios de VPN de forma que los

usuarios puedan tener acceso a las redes corporativas a través de Internet como si
estuvieran conectados directamente. El acceso remoto también permite que los usuarios
que trabajan a distancia o que se desplazan, que usan vínculos de comunicación de
acceso telefónico, tengan acceso a las redes corporativas.

Enrutamiento

Enrutamiento y acceso remoto es un enrutador de software completo y una plataforma

abierta para el enrutamiento y las conexiones de red. Ofrece servicios de enrutamiento a
las compañías en entornos de red de área local (LAN) y red de área extensa (WAN) o a
través de Internet mediante el uso de conexiones VPN seguras. El componente de
enrutamiento se usa para los servicios de enrutamiento multiprotocolo LAN a LAN,
LAN a WAN, VPN y NAT.

Introducción a Enrutamiento y acceso remoto

Se aplica a: Windows Server 2008

• ¿En qué consiste Enrutamiento y acceso remoto?

• Novedades de Enrutamiento y acceso remoto

• Configuraciones habituales de acceso remoto

• Escenarios de enrutamiento comunes

¿En qué consiste Enrutamiento y acceso remoto?

Se aplica a: Windows Server 2008

Enrutamiento

Un enrutador es un dispositivo que administra el flujo de datos entre segmentos de red o

subredes. El enrutador dirige los paquetes entrantes y salientes basándose en la
información que contiene sobre el estado de sus propias interfaces de red y una lista de
posibles orígenes y destinos del tráfico de red. Al proyectar el tráfico de red y las
necesidades de enrutamiento según el número y los tipos de dispositivos de hardware y
aplicaciones usados en el entorno, es posible decidir mejor si se va a usar un enrutador
de hardware dedicado, un enrutador basado en software o una combinación de ambos.
Normalmente, los enrutadores de hardware dedicados controlan mejor las demandas de
enrutamiento más complejas, mientras que los enrutadores basados en software, que no
resultan tan caros, son suficientes para controlar cargas de enrutamiento más ligeras.

Una solución de enrutamiento basada en software, como el Servicio de enrutamiento y

acceso remoto de Windows Server® 2008, puede resultar idónea para una red pequeña
y segmentada con un tráfico entre subredes relativamente ligero. A la inversa, los
entornos de red empresariales con un gran número de segmentos de red y una amplia
gama de requisitos de rendimiento pueden necesitar una variedad de enrutadores
basados en hardware para realizar distintas funciones en la red.

Acceso remoto

Al configurar Enrutamiento y acceso remoto para actuar como un servidor de acceso

remoto, podrá conectar trabajadores remotos o móviles a las redes de la organización.
Los usuarios remotos pueden trabajar como si sus equipos estuvieran conectados
físicamente a la red.

Todos los servicios que suelen estar a disposición de un usuario conectado a una LAN
(incluso el uso compartido de archivos e impresoras, el acceso al servidor web y la
mensajería) se habilitan por medio de la conexión de acceso remoto. Por ejemplo, en un
servidor con Enrutamiento y acceso remoto, los clientes pueden usar el Explorador de
Windows para realizar conexiones a una unidad y para conectarse a las impresoras.
Dado que las letras de unidad y los nombres de convención de nomenclatura universal
(UNC) son totalmente compatibles con el acceso remoto, la mayoría de las aplicaciones
comerciales y personalizadas funcionan sin necesidad de modificación.

Un servidor con Enrutamiento y acceso remoto proporciona dos tipos distintos de

conectividad de acceso remoto:

• Red privada virtual (VPN)

VPN es la creación de conexiones seguras punto a punto a través de una red

privada o una red pública como Internet. Un cliente VPN usa protocolos
especiales basados en TCP/IP denominados protocolos de túnel para realizar una
llamada virtual a un puerto virtual de un servidor VPN. El mejor ejemplo de red
privada virtual es aquél de un cliente VPN que establece una conexión VPN con
un servidor de acceso remoto conectado a Internet. El servidor de acceso remoto
responde a la llamada virtual, autentica al usuario que llama y transfiere datos
entre el cliente VPN y la red corporativa.

A diferencia del acceso telefónico a redes, VPN siempre es una conexión lógica
indirecta entre el cliente VPN y el servidor VPN a través de una red pública,
como Internet. Para garantizar la privacidad, es necesario cifrar los datos
enviados a través de la conexión.

Para obtener más información, consulte ¿Qué es VPN?.

 • Acceso telefónico a redes

En el acceso telefónico a redes, un cliente de acceso remoto establece una

conexión de acceso telefónico no permanente con un puerto físico de un servidor
de acceso remoto mediante el servicio de un proveedor de telecomunicaciones,
como un teléfono analógico o una ISDN. El mejor ejemplo de acceso telefónico
a redes es aquél de un cliente de acceso telefónico a redes que marca el número
de teléfono de uno de los puertos de un servidor de acceso remoto.

El acceso telefónico a redes a través de un teléfono analógico o una ISDN es una

conexión física entre el cliente y el servidor de acceso telefónico a redes. Es
posible cifrar los datos enviados a través de la conexión, aunque no es
obligatorio.

Para obtener más información, consulte ¿Qué es el acceso telefónico a redes?.

Novedades de Enrutamiento y acceso remoto

Se aplica a: Windows Server 2008

Windows Server® 2008 incluye varias características nuevas diseñadas para aumentar
la seguridad y la capacidad de administración de Enrutamiento y acceso remoto. En este
tema se describen estas características nuevas así como otros cambios significativos
realizados en Enrutamiento y acceso remoto de Windows Server 2008.

Nuevas características

Administrador del servidor

Protocolo de túnel SSTP

Aplicación de VPN para Protección de acceso a redes

Compatibilidad con IPv6

Compatibilidad con nuevos cifrados

Tecnologías eliminadas

Administrador del servidor

El Administrador de servidores es una nueva característica diseñada para guiar a los

administradores de tecnologías de la información (TI) durante el proceso de instalación,
configuración y administración de funciones de servidor que forman parte de Windows
Server 2008. El Administrador de servidores se inicia de forma automática una vez que
el administrador ha completado las tareas de Tareas de configuración inicial. A
continuación, se inicia de forma automática cuando un administrador inicia sesión en el
servidor.
Realice los siguientes pasos para instalar Enrutamiento y acceso remoto mediante el
Administrador de servidores:

Para instalar Enrutamiento y acceso remoto

1. Instale Windows Server 2008.

2. Haga clic en Inicio, Herramientas administrativas, Administrador de
servidores.
3. En Resumen de funciones, haga clic en Agregar funciones.
4. Haga clic en Siguiente. Seleccione la función Servicios de acceso y directivas
de redes y, a continuación, haga clic en Siguiente.
5. Haga clic en Siguiente. Seleccione el servicio de función Servicios de
enrutamiento y acceso remoto y, a continuación, haga clic en Siguiente.
Nota
Con esto se seleccionarán los tres servicios de enrutamiento y acceso remoto.
6. Haga clic en Instalar. Cuando aparezca el cuadro de diálogo Resultados de la
instalación, haga clic en Cerrar.

Realice los siguientes pasos para configurar y habilitar el Servicio de enrutamiento y

acceso remoto:

Para configurar y habilitar el Servicio de enrutamiento y acceso

remoto

1. Haga clic en Inicio, Herramientas administrativas, Enrutamiento y acceso

remoto.
2. De forma predeterminada, el equipo local aparece como un servidor. Haga clic
con el botón secundario en el servidor y, a continuación, haga clic en
Configurar y habilitar Enrutamiento y acceso remoto.
3. Haga clic en Siguiente. Haga clic en Configuración personalizada y, a
continuación, en Siguiente.
4. Seleccione todos los servicios excepto NAT, haga clic en Siguiente y, a
continuación, en Finalizar.
5. Haga clic en Aceptar, en Iniciar servicio y, a continuación, en Finalizar.

Protocolo de túnel SSTP

El Protocolo de túnel de sockets seguros (SSTP) es una nueva forma de túnel de red
privada virtual (VPN) con características que permiten que el tráfico pase a través de los
firewalls que bloquean el tráfico PPTP y L2TP/IPsec. SSTP proporciona un mecanismo
para encapsular el tráfico PPP a través del canal SSL del protocolo HTTPS. El uso de
PPP habilita la compatibilidad con métodos de autenticación seguros, como EAP-TLS.
El empleo de HTTPS significa que el tráfico pasa a través del puerto TCP 443, un
puerto que se suele usar para el acceso web. Capa de sockets seguros (SSL) proporciona
seguridad de nivel de transporte con negociación, cifrado y comprobación de integridad
de claves mejorados.

Aplicación de VPN para Protección de acceso a redes

Protección de acceso a redes (NAP) es una tecnología de creación, aplicación y
corrección de directivas de mantenimiento de clientes incluida en el sistema operativo
cliente Windows Vista® y en el sistema operativo Windows Server 2008. Con NAP, los
administradores de sistemas pueden establecer y aplicar de forma automática directivas
de mantenimiento que pueden incluir requisitos de software, requisitos de
actualizaciones de seguridad, configuraciones de equipo obligatorias y otras
configuraciones.

Al establecer las conexiones VPN, es posible conceder un acceso de red restringido a

aquellos equipos cliente que no cumplan la directiva de mantenimiento hasta que se
actualice su configuración y cumplan la directiva. Según el modo de implementación de
NAP elegido, es posible actualizar de forma automática aquellos clientes que no
cumplan la directiva de modo que los usuarios puedan recuperar con rapidez el acceso
de red total sin necesidad de actualizar ni de volver a configurar sus equipos de forma
manual.

La aplicación de VPN proporciona acceso de red limitado seguro a todos los equipos
que obtienen acceso a la red por medio de una conexión VPN. La aplicación de VPN
con NAP tiene una función similar a Control de cuarentena de acceso a red, una
característica de Windows Server 2003, aunque resulta más fácil de implementar.

Configuración de una directiva de acceso remoto

Para crear y configurar directivas de acceso remoto, es necesario usar el Servidor de

directivas de redes. Realice los siguientes pasos para establecer la directiva de acceso
remoto para conceder acceso de usuario:

Para configurar la directiva de acceso remoto

1. Abra Enrutamiento y acceso remoto.

2. Haga clic con el botón secundario en Directivas y registro de acceso remoto y,
a continuación, haga clic en Iniciar NPS.
3. Haga clic en Directivas de red.
4. Haga doble clic en Conexiones al servidor de Enrutamiento y acceso remoto
de Microsoft.
5. En la ficha Información general, en Permiso de acceso, haga clic en Conceder
acceso y, a continuación, en Aceptar.

Compatibilidad con IPv6

Windows Server 2008 y Windows Vista son compatibles con las siguientes mejoras del
protocolo de Internet versión 6 (IPv6):

• Protocolos

o PPPv6. El tráfico IPv6 nativo ahora se puede enviar a través de

conexiones basadas en PPP. (RFC 2472). Por ejemplo, la compatibilidad
con PPPv6 permite conectar con un proveedor de servicios Internet (ISP)
basado en IPv6 por medio de acceso telefónico o PPP a través de
 conexiones basadas en Ethernet (PPPoE) que se pueden usar para el
acceso de banda ancha a Internet.

o PPPv6 a través de acceso telefónico o Ethernet así como túneles VPN

o L2TP a través de IPv6

o Agente de retransmisión DHCPv6

• Filtrado sin estado, basado en los siguientes parámetros:

o Dirección o prefijo IPv6 de origen

o Dirección o prefijo IPv6 de destino

o Siguiente tipo de salto (tipo de protocolo IP)

o Número de puerto de origen (TCP/UDP)

o Número de puerto de destino (TCP/UDP)

• RADIUS a través de transporte IPv6

Configuración de IPv6

De forma predeterminada, Enrutamiento y acceso remoto se configura para aceptar

únicamente conexiones de protocolo de Internet versión 4 (IPv4). En Windows
Server 2008, se puede usar Enrutamiento y acceso remoto de Microsoft Management
Console (MMC) para configurar el enrutamiento y las conexiones IPv6. Realice los
siguientes pasos para configurar Enrutamiento y acceso remoto para aceptar conexiones
IPv6 e IPv4.

Para habilitar conexiones IPv6

1. En Enrutamiento y acceso remoto de MMC, haga clic con el botón secundario

en el servidor y, a continuación, haga clic en Propiedades.
2. Haga clic en la ficha IPv6.
3. Escriba un prefijo IPv6 (por ejemplo: 3ffe::).
4. Haga clic en la ficha General.
5. Haga clic en Enrutador IPv6 y, a continuación, en Servidor de acceso remoto
IPv6.
6. Haga clic en Aceptar y, a continuación, en Sí para reiniciar el Servicio de
enrutamiento y acceso remoto.

Compatibilidad con nuevos cifrados

En respuesta a los requisitos de seguridad gubernamentales y a las tendencias del sector

de la seguridad de admitir cifrados más seguros, Windows Server 2008 y
Windows Vista son compatibles con los siguientes algoritmos de cifrado para
conexiones VPN PPTP y L2TP.
 • Sólo se admite el algoritmo de cifrado RC4 de 128 bits.

PPTP • Se ha eliminado la compatibilidad con RC4 de 40 y 56 bits, aunque

se puede agregar mediante la modificación de una clave del Registro
(no recomendado).

Se ha eliminado la compatibilidad con el algoritmo de cifrado Estándar de

cifrado de datos (DES) con comprobación de integridad Message Digest 5
(MD5), aunque se puede agregar mediante la modificación de una clave del
Registro (no recomendado).

El modo principal IKE será compatible con:

• Los algoritmos de cifrado Estándar de cifrado avanzado (AES) 256

(nuevo), AES 192 (nuevo), AES 128 (nuevo) y 3DES.

• El algoritmo de comprobación de integridad Algoritmo hash seguro

L2TP/IPsec 1 (SHA1).

• Los grupos Diffie-Hellman (DH) 19 (nuevo) y 20 (nuevo) de

negociación de modo principal.

El modo rápido IKE será compatible con:

• Los algoritmos de cifrado AES 256 (nuevo), AES 192 (nuevo), AES
128 (nuevo) y 3DES.

• El algoritmo de comprobación de integridad SHA1.

Tecnologías eliminadas

En Windows Server 2008 y Windows Vista se ha eliminado la compatibilidad con las

siguientes tecnologías:

• Protocolo de asignación de ancho de banda (BAP). Eliminado de

Windows Vista. Deshabilitado en Windows Server 2008.

• X.25.

• Protocolo Internet de línea de serie (SLIP). Las conexiones basadas en SLIP se

actualizarán de forma automática a conexiones basadas en PPP.

• Modo de transferencia asincrónico (ATM).

• IP a través de IEEE 1394.

• Protocolo de transferencia compatible con NWLink IPX/SPX/NetBIOS.

 • Servicios para Macintosh.

• Componente de protocolo de enrutamiento Ruta de acceso más corta (OSPF) de

Enrutamiento y acceso remoto.

• Firewall básico de Enrutamiento y acceso remoto (sustituido por Firewall de

Windows).

• Interfaces de programación de aplicaciones (API) de filtro IP estático para

Enrutamiento y acceso remoto (sustituidas por API de Plataforma de filtrado de
Windows).

• Protocolos de autenticación SPAP, EAP-MD5-CHAP y MS-CHAP para

conexiones basadas en PPP.

Configuraciones habituales de acceso remoto

Se aplica a: Windows Server 2008

Al ejecutar el Asistente para la instalación del servidor de enrutamiento y acceso

remoto, éste pide que se elija la ruta de configuración que más se parezca a la solución
de acceso remoto que se desea implementar. Si ninguna de las rutas de configuración
del asistente satisface exactamente sus necesidades, puede seguir configurando el
servidor una vez que finalice el asistente o elegir la ruta de configuración personalizada.
No obstante, si elige la ruta de configuración personalizada, deberá configurar todos los
elementos de Enrutamiento y acceso remoto de forma manual. Las soluciones más
comunes de acceso remoto incluyen conexiones de red privada virtual (VPN),
conexiones de acceso telefónico y conexiones seguras entre dos redes privadas

Si elige esta ruta, el servidor con Enrutamiento y acceso remoto se configura de manera
que permita a los clientes de acceso remoto conectarse a la red privada a través de
Internet. Para configurar este tipo de servidor en el asistente, haga clic en Acceso
remoto, active la casilla VPN y siga los pasos correspondientes. Una vez que el
asistente finaliza, es posible configurar opciones adicionales. Por ejemplo, se puede
configurar el modo en que el servidor comprueba qué clientes VPN cuentan con
permiso para conectarse a la red privada y si enruta el tráfico de red entre clientes VPN
y la red privada.
Si opta por esta ruta, el servidor con Enrutamiento y acceso remoto se configura de
manera que permita a los clientes de acceso remoto conectarse a la red privada al
marcar en un banco de módems u otro equipamiento de acceso telefónico. Para
configurar este tipo de servidor en el asistente, haga clic en Acceso remoto, active la
casilla Acceso telefónico y siga los pasos correspondientes. Una vez que el asistente
finaliza, es posible configurar opciones adicionales. Por ejemplo, se puede configurar el
modo en que el servidor responde a la llamada, la forma en que comprueba qué clientes
de acceso remoto cuentan con permiso para conectarse a la red privada y si enruta el
tráfico de red entre clientes de acceso remoto y la red privada.

Si elige esta ruta, el servidor con Enrutamiento y acceso remoto se configura de manera
que comparta una conexión a Internet con equipos de la red privada y traduzca el tráfico
entre su dirección pública y la red privada. Los equipos de Internet no podrán
determinar las direcciones IP de los equipos de la red privada. Para configurar este tipo
de servidor en el asistente, haga clic en Traducción de direcciones de red (NAT) y
siga los pasos correspondientes. Una vez que el asistente finaliza, es posible configurar
opciones adicionales. Por ejemplo, se pueden configurar filtros de paquetes y elegir los
servicios que se van a permitir en la interfaz pública.
Si selecciona esta ruta, el servidor con Enrutamiento y acceso remoto se configura de
manera que proporcione NAT a la red privada y acepte conexiones VPN. Los equipos
de Internet no podrán determinar las direcciones IP de los equipos de la red privada. No
obstante, los clientes VPN podrán conectarse a equipos de la red privada como si
estuvieran conectados físicamente a la misma red. Para configurar este tipo de servidor
en el asistente, haga clic en Acceso a red privada virtual (VPN) y NAT y siga los
pasos correspondientes.

Si opta por esta ruta, se configuran dos servidores con Enrutamiento y acceso remoto de
manera que envíen los datos privados de forma segura a través de Internet. Tendrá que
elegir esta ruta cuando ejecute el Asistente para la instalación del servidor de
enrutamiento y acceso remoto en cada servidor. La conexión entre los dos servidores
puede ser persistente (siempre activa) o a petición (marcado a petición). Para configurar
este tipo de servidor en el asistente, haga clic en Conexión segura entre dos redes
privadas y siga los pasos correspondientes. Una vez que el asistente finaliza, es posible
configurar opciones adicionales en cada servidor. Por ejemplo, se puede configurar qué
protocolos de enrutamiento acepta cada servidor, así como la forma en que cada uno
enruta el tráfico entre las dos redes.

Escenarios de enrutamiento comunes

Se aplica a: Windows Server 2008

Los enrutadores pueden usarse en numerosas topologías y configuraciones de red

diferentes. En este tema se describen tres escenarios de enrutamiento típicos.

Escenario de enrutamiento simple

En la siguiente ilustración se muestra una configuración de red simple con un servidor

que ejecuta Enrutamiento y acceso remoto que conecta dos segmentos de red de área
local (LAN) (redes A y B). En esta configuración, los protocolos de enrutamiento no
son necesarios porque el enrutador está conectado a todas las redes a las que necesita
enlutar paquetes.

Escenario de varios enrutadores

En la siguiente ilustración se muestra una configuración más compleja de enrutadores.

En esta configuración, hay tres redes (redes A, B y C) y dos enrutadores (enrutadores 1

y 2). El enrutador 1 está en las redes A y B, y el enrutador 2 está en las redes B y C. El
enrutador 1 debe notificar al enrutador 2 que se puede tener acceso a la red A a través
del enrutador 1 y el enrutador 2 debe notificar al enrutador 1 que se puede tener acceso
a la red C a través del enrutador 2. Esta información se comunica de forma automática
mediante un protocolo de enrutamiento como, por ejemplo, RIP. Cuando un usuario de
la red A desea comunicarse con un usuario de la red C, el equipo del usuario de la red A
reenvía el paquete al enrutador 1. El enrutador 1 reenvía el paquete al enrutador 2 y éste
lo reenvía al equipo del usuario de la red C.

Sin protocolos de enrutamiento, un administrador de redes debe especificar rutas

estáticas en las tablas de enrutamiento del enrutador 1 y del enrutador 2. Aunque las
rutas estáticas funcionan, no funcionan bien en redes de mayor tamaño ni se recuperan
después de realizar cambios en la topología de la red.

Escenario de enrutamiento de marcado a petición

En la siguiente ilustración se muestra una configuración de enrutamiento que usa

marcado a petición.

Las redes A y B están separadas geográficamente y, por la cantidad de tráfico que se

transfiere entre las redes, no resulta económico una concesión de vínculo de red de área
extensa (WAN). El enrutador 1 y el enrutador 2 pueden conectarse a través de una línea
telefónica analógica mediante un módem (u otro tipo de conectividad como ISDN) en
cada extremo. Cuando un equipo de la red A inicia la comunicación con un equipo de la
red B, el enrutador 1 establece una conexión telefónica con el enrutador 2. La conexión
de módem se mantiene mientras se estén enviando o recibiendo paquetes. Si la conexión
está inactiva, el enrutador 1 cuelga para reducir los costos de conexión.

Instalación y habilitación del Servicio de enrutamiento y acceso remoto

Se aplica a: Windows Server 2008

El Servicio de enrutamiento y acceso remoto de la familia Windows Server® 2008

proporciona:

• Servicios de acceso telefónico y acceso remoto de red privada virtual (VPN).

• Servicios de enrutamiento de protocolo múltiple de LAN a LAN, de LAN a

WAN, de VPN y de traducción de direcciones de red (NAT).
El Servicio de enrutamiento y acceso remoto se instala mediante el Asistente para
agregar funciones.

Para completar este procedimiento, lo mínimo que se necesita es pertenecer al grupo

local Administradores o un grupo equivalente. Consulte los detalles relativos al uso
correcto de las cuentas y pertenencias a grupos en Grupos predeterminados locales y de
dominio (http://go.microsoft.com/fwlink/?LinkId=83477).

Para instalar el Servicio de enrutamiento y acceso remoto

1. En la ventana principal del Administrador de servidores, en Resumen de

funciones, haga clic en Agregar funciones.

-- O bien --

En la ventana Tareas de configuración inicial, en Personalizar este servidor,

haga clic en Agregar funciones.

2. En el Asistente para agregar funciones, haga clic en Siguiente.

3. En la lista de funciones de servidor, seleccione Servicios de acceso y directivas
de redes. Haga clic en Siguiente dos veces.
4. En la lista de servicios de función, seleccione Servicios de enrutamiento y
acceso remoto para seleccionar todos los servicios de función. Además, puede
seleccionar funciones de servidor individuales.
5. Continúe con los pasos del Asistente para agregar funciones para completar la
instalación.

Nota
Una vez completada la instalación, el Servicio de enrutamiento y acceso remoto se
instala en estado deshabilitado. Para habilitar y configurar el servidor de acceso remoto,
debe estar registrado como miembro del grupo Administradores.

Después de instalar el Servicio de enrutamiento y acceso remoto, debe habilitarlo para

configurar el servidor para enrutamiento y acceso remoto.

Para habilitar el Servicio de enrutamiento y acceso remoto

1. Si este servidor es miembro de un dominio de Active Directory® y usted no es

administrador de dominios, pida a un administrador de dominios que agregue la
cuenta del equipo de este servidor al grupo de seguridad Servidores RAS e IAS
del dominio al que pertenece este servidor. El administrador de dominios puede
agregar la cuenta del equipo al grupo de seguridad Servidores RAS e IAS
mediante Usuarios y equipos de Active Directory o el comando netsh ras add
registeredserver. Si el servidor usa autenticación local o se autentica en un
servidor RADIUS, omita este paso.
2. Abra Enrutamiento y acceso remoto.
3. De forma predeterminada, el equipo local aparece como un servidor.
 Para agregar otro servidor, haga clic con el botón secundario en Estado del
servidor en el árbol de consola y, a continuación, haga clic en Agregar
servidor.

En el cuadro de diálogo Agregar servidor, haga clic en la opción

correspondiente y, a continuación, en Aceptar.

4. En el árbol de consola, haga clic con el botón secundario en el servidor que

desea habilitar y, a continuación, haga clic en Configurar y habilitar
Enrutamiento y acceso remoto.
5. Siga las instrucciones del Asistente para la instalación del servidor de
enrutamiento y acceso remoto.

Configuración de un servidor VPN de acceso remoto

Se aplica a: Windows Server 2008

En este tema se explican los pasos básicos necesarios para configurar un servidor de red
privada virtual (VPN) de acceso remoto mediante el Administrador de servidores, el
Asistente para agregar funciones y el Asistente para la instalación del servidor de
enrutamiento y acceso remoto. Cuando haya terminado de configurar un servidor VPN
de acceso remoto básico, podrá realizar tareas de configuración adicionales en función
del modo en que desee usar este servidor.

Antes de comenzar

En la tabla siguiente se incluye la información necesaria para configurar un servidor

VPN de acceso remoto.

Antes de agregar la función de

servidor VPN de acceso remoto
Determine la interfaz de red que
desee conectar a Internet y la que
conectará a la red privada.
Determine si los clientes remotos
recibirán direcciones IP de un
servidor de Protocolo de
configuración dinámica de host
(DHCP) de la red privada o bien
del servidor VPN de acceso remoto
que está configurando.
Determine si desea que las
solicitudes de conexión de los
Comentarios
Durante la configuración se le solicitará que elija la
interfaz de red que desea conectar a Internet. Si
indica la interfaz incorrecta, el servidor VPN de
acceso remoto no funcionará adecuadamente.
Si dispone de un servidor DHCP en la red privada,
el servidor VPN de acceso remoto podrá conceder
10 direcciones a la vez desde el servidor DHCP y
asignarlas a los clientes remotos. Si no cuenta con
un servidor DHCP en la red privada, el servidor
VPN de acceso remoto puede generar y asignar
direcciones IP a los clientes remotos de forma
automática. Si desea que el servidor VPN de acceso
remoto asigne direcciones IP dentro de un intervalo
que especifique, deberá determinar dicho intervalo.
La adición de un servidor RADIUS resulta útil
cuando se desea instalar varios servidores VPN de
clientes VPN se autentiquen
mediante un servidor de Servicio
de autenticación remota telefónica
de usuario (RADIUS) o bien
mediante el servidor VPN de
acceso remoto que está
configurando.
Determine si los clientes VPN
pueden enviar mensajes DHCP al servidor VPN de acceso remoto, asegúrese de que el
servidor DHCP de la red privada. enrutador entre ambas subredes puede retransmitir
Compruebe que todos los usuarios
disponen de cuentas de usuario
configuradas para el acceso
telefónico.
acceso remoto, puntos de acceso inalámbrico u otros
clientes RADIUS en la red privada. Para obtener
más información, consulte la Ayuda del Servidor de
directivas de redes.
Si un servidor DHCP se encuentra en la misma
subred que el servidor VPN de acceso remoto, los
mensajes DHCP de los clientes VPN podrán
alcanzar el servidor DHCP una vez establecida la
conexión VPN. Si, por el contrario, el servidor
DHCP está situado en una subred distinta de la del
mensajes DHCP entre los clientes y el servidor. Si el
enrutador ejecuta Windows Server® 2008, podrá
configurar el servicio Agente de retransmisión
DHCP en el enrutador de modo que reenvíe
mensajes DHCP entre subredes.
Para que los usuarios puedan conectarse a la red,
deben tener cuentas de usuario en el servidor VPN
de acceso remoto o en Servicios de dominio de
Active Directory®. Todas las cuentas de usuario
situadas en servidores independientes o
controladores de dominio contienen propiedades que
determinan si el usuario se puede conectar. Para
definir estas propiedades en un servidor
independiente, haga clic con el botón secundario en
la cuenta de usuario en Usuarios y grupos locales y,
a continuación, haga clic en Propiedades. Para
definirlas en un controlador de dominio, haga clic
con el botón secundario en la cuenta de usuario en la
consola Usuarios y equipos de Active Directory y, a
continuación, haga clic en Propiedades.

Configurar un servidor VPN de acceso remoto

Para configurar un servidor VPN de acceso remoto, inicie el Asistente para agregar
funciones mediante una de las acciones siguientes:

• En la ventana Tareas de configuración inicial, en Personalizar este servidor,

haga clic en Agregar funciones. Tareas de configuración inicial se inicia
automáticamente de forma predeterminada al iniciar la sesión.

• Abra el Administrador de servidores. Para ello haga clic en Inicio,

Herramientas administrativas y, a continuación, haga clic en Administrador
de servidores. A continuación, en Resumen de funciones, haga clic en Agregar
funciones.
En el Asistente para agregar funciones, realice las siguientes acciones:

1. Haga clic en Siguiente o en Seleccionar funciones de servidor.

2. En la lista de funciones de servidor, seleccione Servicios de acceso y directivas

de redes. Haga clic en Siguiente dos veces.

3. En la lista de servicios de función, seleccione Servicios de enrutamiento y

acceso remoto para seleccionar todos los servicios de función de Servicios de
enrutamiento y acceso remoto. Además, puede seleccionar funciones de servidor
individuales.

4. Continúe con los pasos del Asistente para agregar funciones para completar la
instalación.

Completar tareas adicionales

Después de completar los pasos del Asistente para agregar funciones y la configuración
de Enrutamiento y acceso remoto, el servidor ya está listo para usarlo como un servidor
VPN de acceso remoto.

En la siguiente tabla se enumeran las tareas adicionales que quizás desee llevar a cabo
en el servidor VPN de acceso remoto.

Tarea Objetivo de la tarea

Configurar filtros de paquetes Agregar filtros de paquetes estáticos para mayor
estáticos. protección de la red.
Configurar servicios y Elegir los servicios de la red privada que desea poner a
puertos. disposición de los usuarios de acceso remoto.
Ajustar los niveles de registro Configurar el nivel de detalle del suceso que desea
de los protocolos de registrar. Puede decidir la información que desea guardar
enrutamiento. en los archivos de registro.
Configurar el número de
Agregar o quitar puertos VPN.
puertos VPN.
Administrar la capacidad de conexión de cliente de los
Crear un perfil de Connection
usuarios y simplificar la solución de problemas de las
Manager para los usuarios.
conexiones de cliente.
Agregar Servicios de Configurar y administrar una entidad de certificación
certificados de Active (CA) en un servidor para su uso en una infraestructura de
Directory (AD CS). clave pública (PKI).
Proteger a los usuarios remotos y la red privada al exigir
Aumentar la seguridad de
el uso de métodos de autenticación seguros, niveles
acceso remoto.
superiores de cifrado de datos, etc.
Proteger a los usuarios remotos y la red privada al exigir
Aumentar la seguridad VPN. el uso de enrutamientos seguros y protocolos de túnel, la
configuración de bloqueo de cuentas, etc.
Para obtener más información acerca de estas tareas, consulte
http://go.microsoft.com/fwlink/?LinkId=89010 (puede estar en inglés).

Quitar la función de servidor VPN de acceso remoto

Si necesita volver a configurar el servidor para una función diferente, podrá quitar las
funciones de servidor existentes. Al quitar la función de servidor VPN de acceso
remoto, el servidor no proporcionará más acceso VPN o telefónico a los clientes de
acceso remoto. Los usuarios remotos no se podrán conectar a la red privada, y puede
que los equipos de esta red no se puedan conectar a Internet.

Para quitar la función de servidor VPN de acceso remoto, reinicie el Asistente para
agregar funciones mediante las siguientes acciones:

• Abra el Administrador de servidores. Para ello haga clic en Inicio,

Herramientas administrativas y, a continuación, haga clic en Administrador
de servidores. A continuación, en Resumen de funciones, haga clic en Quitar
funciones.

Después, en el Asistente para agregar funciones, quite la función de servidor VPN de

acceso remoto:

• Vaya a la página Quitar funciones de servidor, haga clic en Servicios de

acceso y directivas de redes, Siguiente, Quitar y, a continuación, en Cerrar.
En el cuadro de diálogo de confirmación de reinicio del servidor, haga clic en Sí
para reiniciar el equipo.

Visualización de las propiedades del servidor de acceso remoto

Se aplica a: Windows Server 2008

Puede usar el cuadro de diálogo de las propiedades del servidor de acceso remoto para
ver y modificar las propiedades de enrutamiento, seguridad, asignación de direcciones,
registro y otras propiedades.

Para completar este procedimiento, lo mínimo que se necesita es pertenecer al grupo

local Administradores o un grupo equivalente. Consulte los detalles relativos al uso
correcto de las cuentas y pertenencias a grupos en Grupos predeterminados locales y de
dominio (http://go.microsoft.com/fwlink/?LinkId=83477).

Para ver las propiedades del servidor de acceso remoto

1. Abra Enrutamiento y acceso remoto.

2. Haga clic con el botón secundario en el nombre del servidor cuyas propiedades
desea ver y, a continuación, haga clic en Propiedades.

Listas de comprobación: Enrutamiento y acceso remoto

Se aplica a: Windows Server 2008

 • Lista de comprobación: instalación y configuración del servidor de acceso
remoto

• Listas de comprobación: VPN

• Lista de comprobación: instalación y configuración del enrutador

• Lista de comprobación: conexión de sitios remotos

• Lista de comprobación: configuración de acceso remoto detrás de un enrutador

habilitado para NAT

Lista de comprobación: instalación y configuración del servidor de acceso

remoto

Se aplica a: Windows Server 2008

Tarea Referencia
Revisar los conceptos principales. Acceso remoto
Instalar y configurar módems.
Instalación y habilitación del
Habilitar y configurar el Servicio de enrutamiento y
Servicio de enrutamiento y
acceso remoto.
acceso remoto
Consulte el apartado relativo a
Configurar las propiedades de marcado y directivas de
las directivas de red en la
red para la configuración de cifrado, autenticación y
Ayuda del servidor de
permiso de marcado.
directivas de redes.
(Opcional) Configurar el servidor que ejecuta
Consulte el apartado relativo a
Enrutamiento y acceso remoto como un cliente
los clientes RADIUS en la
RADIUS para un servidor de directivas de redes (NPS)
Ayuda del servidor de
de cara a la administración centralizada de directivas de
directivas de redes.
red.

Listas de comprobación: VPN

Se aplica a: Windows Server 2008

• Lista de comprobación: instalación y configuración de un servidor VPN

• Lista de comprobación: instalación y configuración de un servidor PPTP

• Lista de comprobación: instalación y configuración de un servidor L2TP

• Lista de comprobación: instalar y configurar un servidor SSTP

Lista de comprobación: instalación y configuración de un servidor VPN

Se aplica a: Windows Server 2008

Tarea Referencia
Revisar los conceptos
Red privada virtual
principales.
Instalar el Servicio de
enrutamiento y acceso
remoto y configurar el
servidor mediante el Instalación y habilitación del Servicio de enrutamiento y
Asistente para la acceso remoto
instalación del servidor
de enrutamiento y
acceso remoto.
Configurar propiedades
de marcado y directivas
Consulte el tema sobre la lista de comprobación para
de red para el permiso de
configurar NPS para acceso telefónico y VPN en la Ayuda del
marcado, la
Servidor de directivas de redes.
autenticación y la
configuración de cifrado.
Para obtener más información acerca de los servidores VPN y
la configuración del firewall, consulte
Configurar filtros de
http://go.microsoft.com/fwlink/?linkid=89249 (puede estar en
paquetes en el firewall.
inglés). (Esta información describe cómo se configuran los
servidores VPN y los firewalls en Windows Server 2003.)
(Opcional) Configurar el
servidor de red privada Consulte "Clientes RADIUS" en la Ayuda del Servidor de
virtual (VPN) como un directivas de redes.
cliente RADIUS.

Lista de comprobación: instalación y configuración de un servidor PPTP

Se aplica a: Windows Server 2008

Tarea Referencia
Revisar los conceptos
Red privada virtual
principales.
Instalar el Servicio de
enrutamiento y acceso
remoto y configurar el
servidor mediante el Instalación y habilitación del Servicio de enrutamiento y
Asistente para la acceso remoto
instalación del servidor
de enrutamiento y acceso
remoto.
Configurar filtros de Para obtener más información, consulte los servidores VPN y
 la configuración del firewall en
http://go.microsoft.com/fwlink/?linkid=89249 (puede estar en
paquetes en el firewall.
inglés). (Esta información describe cómo se configuran los
servidores VPN y los firewalls en Windows Server 2003.)
Configurar propiedades
de marcado y directivas
Consulte el tema sobre la lista de comprobación para
de red para el permiso de
configurar NPS para acceso telefónico y VPN en la Ayuda del
marcado, la
Servidor de directivas de redes
autenticación y la
configuración de cifrado.

Lista de comprobación: instalación y configuración de un servidor L2TP

Se aplica a: Windows Server 2008

Paso Referencia
Revisar los conceptos
Red privada virtual
principales.
Instalar el Servicio de
enrutamiento y acceso
remoto y configurar el
servidor mediante el Instalación y habilitación del Servicio de enrutamiento y
Asistente para la acceso remoto
instalación del servidor
de enrutamiento y
acceso remoto.
Para obtener más información, consulte los servidores VPN y
la configuración del firewall en
Configurar filtros de
http://go.microsoft.com/fwlink/?linkid=89249 (puede estar en
paquetes en el firewall.
inglés). (Esta información describe cómo se configuran los
servidores VPN y los firewalls en Windows Server 2003.)
Instalar certificados de
equipo en el equipo Para obtener más información acerca de la implementación del
servidor del protocolo de acceso remoto basado en L2TP/IPsec, consulte
túnel de capa dos http://go.microsoft.com/fwlink/?LinkId=89009 (puede estar en
(L2TP) y en equipos inglés).
cliente L2TP.
Configurar propiedades
de marcado y directivas
de red para el permiso Consulte el tema sobre la lista de comprobación para
de marcado, la configurar NPS para acceso telefónico y VPN en la Ayuda del
autenticación y la Servidor de directivas de redes.
configuración de
cifrado.

Lista de comprobación: instalar y configurar un servidor SSTP

Se aplica a: Windows Server 2008

Paso Referencia
Revisar los conceptos
Red privada virtual
principales.
Instalar el Servicio de
enrutamiento y acceso
remoto y configurar el
servidor mediante el Instalación y habilitación del Servicio de enrutamiento y
Asistente para la acceso remoto
instalación del servidor
de enrutamiento y acceso
remoto.
Para obtener más información, consulte la configuración de
los servicios VPN y firewall (http://go.microsoft.com/fwlink/?
Configure los filtros de
linkid=89249, en inglés). (Esta información describe cómo se
paquete en el firewall.
configuran los servidores VPN y los firewalls en Windows
Server 2003.)
Instale un certificado de
equipo en el servidor
SSTP (Secure Socket
Para obtener más información acerca de cómo implementar
Tunneling Protocol) y un
SSTP, consulte http://go.microsoft.com/fwlink/?
certificado de entidad
LinkId=89009, en inglés.
emisora de certificados
raíz en los equipos
cliente SSTP VPN.
Configure la propiedades
de acceso telefónico y las
directivas de red para el Consulte la lista de comprobación de configuración de NPS
permiso de acceso para acceso telefónico y VPN en la Ayuda del Servidor de
telefónico, la directivas de redes.
autenticación y la
configuración de cifrado.

Lista de comprobación: instalación y configuración del enrutador

Se aplica a: Windows Server 2008

Tarea Referencia
Revisar los conceptos
Enrutamiento
principales.
En el caso de una red Enrutamiento unidifusión IPv4 y IPv6 Routing
nueva, decidir qué
protocolos y características
de enrutamiento de
Enrutamiento y acceso
remoto se desean usar. En
el caso de una red
existente, determinar qué
protocolos y características
de enrutamiento de
Enrutamiento y acceso
remoto se necesitan
habilitar.
Habilitar y configurar el
Instalación y habilitación del Servicio de enrutamiento y
Servicio de enrutamiento y
acceso remoto
acceso remoto.
Para obtener más información, consulte el artículo acerca de
la configuración de una interconexión IP con rutas estáticas
(Opcional) Diseñar e
(http://go.microsoft.com/fwlink/?LinkId=89351) (puede
implementar el
estar en inglés). (Esta información describe el enrutamiento
enrutamiento IP estático.
IP estático tal como se implementa en Windows
Server 2003.)
Para obtener más información, consulte el artículo acerca de
(Opcional) Diseñar e
la configuración de una interconexión con rutas RIP para IP
implementar el RIP para el
(http://go.microsoft.com/fwlink/?LinkId=89352) (puede
protocolo de enrutamiento
estar en inglés). (Esta información describe el RIP para IP
IP.
tal como se implementa en Windows Server 2003.)
(Opcional) Agregar y
IPv4 - Agente de retransmisión DHCP y IPv6 - Agente de
configurar el Agente de
retransmisión DHCPv6
retransmisión DHCP.
(Opcional) Configurar la
compatibilidad con la ¿Qué es la multidifusión IPv4?
multidifusión IP.
(Opcional) Diseñar e
implementar la traducción
Traducción de direcciones de red
de direcciones de red
(NAT).
(Opcional) Configurar los
filtros de paquetes IP Filtrado de paquetes
adecuados.
(Opcional) Diseñar e
implementar el
Enrutamiento de marcado a petición
enrutamiento de marcado a
petición.

Lista de comprobación: conexión de sitios remotos

Se aplica a: Windows Server 2008

Tarea Referencia
Elegir el tipo de conexión del sitio remoto:

• Conexión de acceso telefónico o de red privada virtual (VPN).

• Conexión a petición o persistente.

• Conexión unidireccional o bidireccional.

Elegir las características de seguridad:

• Integrar el servidor VPN en una red perimetral.

• Elegir el proveedor de autenticación.

• Elegir el método de autenticación.

• Elegir el cifrado punto a punto de Microsoft (MPPE) o el cifrado de

protocolo de seguridad de Internet (IPsec).

• Elegir grupos y cuentas de usuario del enrutador.

• Elegir el tipo de directiva de acceso remoto.

Integrar la conexión del sitio remoto en la red:

• Diseñar la infraestructura de enrutamiento.

• Planear la asignación de direcciones IP y la resolución de nombres.

• Planear la integración de Active Directory®.

Implementar la conexión de sitio a sitio.

Lista de comprobación: configuración de acceso remoto detrás de un enrutador

habilitado para NAT

Se aplica a: Windows Server 2008

Tarea Referencia
Revisar los conceptos
¿En qué consiste NAT? y Red privada virtual
principales.
Instalar el Servicio de
enrutamiento y acceso
remoto y configurar el
Instalación y habilitación del Servicio de enrutamiento y
servidor con el Asistente
acceso remoto
para la instalación del
servidor de enrutamiento
y acceso remoto.
Configurar las
propiedades de marcado
Consulte la lista de comprobación de configuración de NPS
y las directivas de red
para acceso telefónico y VPN en la Ayuda del Servidor de
para la configuración de
directivas de redes.
cifrado, autenticación y
permisos de marcado.
Filtros y configuraciones de acceso remoto y configuración de
Configurar filtros de
servidores VPN y firewalls (http://go.microsoft.com/fwlink/?
paquetes y Firewall de
linkid=89249) (en inglés). (Esta información describe la
Windows.
configuración de VPN y firewalls en Windows Server 2003.)
Configurar los servicios
IPv4 - NAT - Propiedades de la interfaz - Ficha Servicios y
que se permitirán en la
puertos
interfaz pública.
(Opcional) Configurar el
servidor de red privada Consulte la sección acerca de los clientes RADIUS en la
virtual (VPN) como Ayuda del Servidor de directivas de redes.
cliente RADIUS.

Acceso remoto
Se aplica a: Windows Server 2008

Introducción al acceso remoto

Al configurar Enrutamiento y acceso remoto para que actúe como un servidor de acceso
remoto, puede permitir que los trabajadores remotos o móviles se conecten a las redes
de su organización. Los usuarios remotos pueden trabajar como si sus equipos
estuviesen conectados físicamente a la red.

Todos los servicios normalmente disponibles para un usuario conectado a la LAN

(incluido el uso compartido de archivos e impresoras, el acceso al servidor web y la
mensajería) se habilitan por medio de la conexión de acceso remoto. Dado que el acceso
remoto es totalmente compatible con las letras de las unidades y los nombres UNC
(convención de nomenclatura universal), la mayor parte de las aplicaciones comerciales
y personalizadas pueden funcionar sin necesidad de realizar ninguna modificación.

Los servidores que ejecutan Enrutamiento y acceso remoto ofrecen dos tipos distintos
de conectividad de acceso remoto:

Redes privadas virtuales

Una red privada virtual (VPN) consiste en la creación de conexiones seguras punto a
punto a través de una red privada o una red pública, como Internet. Un cliente VPN usa
protocolos especiales basados en TCP/IP, denominados protocolos de túnel, para
realizar una llamada virtual a un puerto virtual de un servidor VPN. El mejor ejemplo
de red privada virtual es el de un cliente VPN que establece una conexión VPN con un
servidor de acceso remoto que está conectado a Internet. El servidor de acceso remoto
responde a la llamada virtual, autentica al usuario que realiza la llamada y transfiere
datos entre el cliente VPN y la red corporativa.
A diferencia del acceso telefónico a redes, las redes privadas virtuales siempre son
conexiones lógicas e indirectas entre el cliente y el servidor VPN a través de una red
pública como Internet. Para garantizar la privacidad, debe cifrar los datos enviados a
través de la conexión.

Acceso telefónico a redes

En el caso del acceso telefónico a redes, los clientes de acceso remoto establecen una
conexión de acceso telefónico no permanente con un puerto físico de un servidor de
acceso remoto mediante el servicio de un proveedor de telecomunicaciones, como una
línea telefónica analógica o RDSI. El mejor ejemplo de acceso telefónico a redes es el
de un cliente de acceso telefónico a redes que marca el número de teléfono de uno de
los puertos de un servidor de acceso remoto.

El acceso telefónico a redes a través de una línea telefónica analógica o RDSI es una
conexión física directa entre el cliente y el servidor de acceso telefónico a redes. Puede
cifrar los datos que se envían a través de la conexión, pero no es necesario.

Red privada virtual

Se aplica a: Windows Server 2008

• ¿Qué es VPN?

• Protocolos de túnel VPN

• VPN y firewalls

• Cumplimiento de Protección de acceso a redes para VPN

• Configuración de un servidor de acceso remoto VPN