Servicio de enrutamiento y acceso remoto

El Servicio de enrutamiento y acceso remoto (RRAS) admite el enrutamiento de red y la conectividad a

usuarios remotos o entre sitios con los protocolos de Internet versin 4 (IPv4) y versin 6 (IPv6) mediante
conexiones de acceso telefnico o de red privada virtual (VPN).
Acceso remoto

La caracterstica de acceso remoto proporciona servicios de VPN de forma que los usuarios puedan tener acceso
de forma segura a las redes corporativas a travs de Internet como si estuvieran conectados directamente. El
acceso remoto tambin permite que los usuarios que trabajan a distancia o que se desplazan, que usan enlaces
de comunicacin de acceso telefnico, tengan acceso a las redes corporativas.
Enrutamiento

RRAS es un enrutador de software completo y una plataforma abierta para el enrutamiento y las funciones de
red. Las compaas pueden usar sus servicios de enrutamiento en entornos de red de rea local (LAN) y red de
rea extensa (WAN) o a travs de Internet mediante conexiones VPN seguras. El componente de enrutamiento
se usa para los servicios de enrutamiento multiprotocolo LAN a LAN, LAN a WAN, VPN y NAT (traduccin de
direcciones de red).

Introduccin a RRAS
El Servicio de enrutamiento y acceso remoto (RRAS) recibe su nombre por los dos servicios principales de red
que proporciona.

Enrutamiento
Un enrutador es un dispositivo que administra el flujo de datos entre segmentos de red o subredes. El enrutador
dirige los paquetes entrantes y salientes basndose en la informacin sobre el estado de sus propias interfaces de
red y una lista de posibles orgenes y destinos del trfico de red. Al proyectar el trfico de red y las necesidades
de enrutamiento segn el nmero y los tipos de dispositivos de hardware y aplicaciones usados en el entorno, es
posible decidir mejor si se va a usar un enrutador de hardware dedicado, un enrutador basado en software o una
combinacin de ambos. Normalmente, los enrutadores de hardware dedicados controlan mejor las demandas de
enrutamiento ms complejas, mientras que los enrutadores basados en software, que no resultan tan caros,
controlan cargas de enrutamiento ms ligeras.
Una solucin de enrutamiento basada en software, como RRAS en esta versin de Windows, puede resultar
idnea para una red pequea y segmentada con un trfico entre subredes relativamente ligero. Los entornos de
red empresariales con un gran nmero de segmentos de red y una amplia gama de requisitos de rendimiento
pueden necesitar una variedad de enrutadores basados en hardware para realizar distintos roles en la red.

Acceso remoto
Al configurar RRAS para actuar como un servidor de acceso remoto, podr conectar trabajadores remotos o
mviles a las redes de la organizacin. Los usuarios remotos pueden trabajar como si sus equipos estuvieran
conectados directamente a la red.

Todos los servicios que suelen estar a disposicin de un usuario conectado directamente (incluso el uso
compartido de archivos e impresoras, el acceso al servidor web y la mensajera) se habilitan por medio de la
conexin de acceso remoto. Por ejemplo, en un servidor RRAS, los clientes pueden usar el Explorador de
Windows para realizar conexiones a una unidad y para conectarse a las impresoras. Dado que las letras de
unidad y los nombres de convencin de nomenclatura universal (UNC) son totalmente compatibles con el
acceso remoto, la mayora de las aplicaciones comerciales y personalizadas funcionan sin necesidad de
modificacin.
Un servidor RRAS proporciona dos tipos de conectividad de acceso remoto:

Redes privadas virtuales. Una red privada virtual (VPN) es una conexin segura punto a punto a travs
de una red pblica como Internet. Un cliente VPN usa protocolos especiales basados en TCP/IP
denominados protocolos de tnel para realizar una conexin a un puerto de un servidor VPN remoto. El
servidor VPN acepta la conexin, autentica al usuario y al equipo que se est conectando, y transfiere los
datos entre el cliente VPN y la red corporativa. Puesto que los datos que enve a travs de la conexin
recorren una red pblica, debe cifrarlos para garantizar la privacidad.

Acceso telefnico a redes. En el acceso telefnico a redes, un cliente de acceso remoto establece una
conexin de acceso telefnico con un puerto fsico de un servidor de acceso remoto mediante el servicio
de un proveedor de telecomunicaciones, como un telfono analgico o una ISDN (RDSI). El acceso
telefnico a redes a travs de un telfono analgico o una ISDN es una conexin fsica entre el cliente y
el servidor de acceso telefnico a redes. Puede cifrar los datos que enve a travs de la conexin, pero no
es obligatorio ya que la lnea telefnica suele considerarse segura.

Escenarios de acceso remoto comunes

Cuando se ejecuta el Asistente para la instalacin de RRAS, ste indica que se elija la ruta de configuracin que
ms se parezca a la solucin de acceso remoto que se desea implementar. Si ninguna de las rutas de
configuracin del asistente satisface exactamente sus necesidades, puede elegir la opcin Configuracin
predeterminada. Sin embargo, si se elige esta opcin, todos los elementos de RRAS deben configurarse de
forma manual. Las soluciones ms comunes de acceso remoto incluyen conexiones de red privada virtual
(VPN), conexiones de acceso telefnico y conexiones seguras entre dos redes privadas.
Acceso remoto

Cuando un acceso remoto est habilitado, RRAS permite el trfico de red entrante desde clientes VPN de
Internet o de mdems conectados al sistema telefnico. El trfico entrante es dirigido a la red privada. Se puede

configurar por separado qu tipos de VPN se admiten, cmo autenticar y autorizar a los usuarios para que
tengan acceso al servidor de acceso remoto y qu configuracin IP recibe el equipo remoto al conectarse.
Traduccin de direcciones de red

Cuando est habilitada la traduccin de direcciones de red (NAT), RRAS permite el trfico de red saliente desde
equipos en la red privada. Comparte la conexin a Internet y su direccin IP pblica nica con equipos que se
encuentran en la red privada; para ello, lleva a cabo la traduccin entre la direccin pblica y las direcciones y
puertos IP que se usan en la red privada.
VPN y NAT

En este escenario, RRAS proporciona la NAT para la red privada y acepta las conexiones de VPN desde clientes
remotos.

Conexin segura entre dos redes privadas

Un servidor RRAS en el permetro de una red privada puede conectarse a un servidor remoto a travs de un
tnel VPN. Los equipos conectados a las redes privadas detrs de los dos servidores pueden intercambiar datos
a travs de Internet de manera segura. La conexin entre los dos servidores puede ser persistente (siempre
activa) o a peticin (marcado a peticin).
Escenarios de enrutamiento comunes

Puede usar los enrutadores de software RRAS en numerosas topologas y configuraciones de red diferentes. En
este tema se describen tres escenarios de enrutamiento tpicos.
Escenario de enrutamiento simple

En la siguiente ilustracin se muestra una configuracin de red simple con un servidor RRAS que conecta dos
segmentos de red de rea local (LAN), las redes A y B. En esta configuracin, no se requiere un protocolo de
enrutamiento porque el enrutador est conectado a todas las redes a las que necesita enrutar paquetes. Los
enrutadores configuran automticamente las rutas a las redes a las que estn conectados directamente.

Escenario de varios enrutadores

En la siguiente ilustracin se muestra una configuracin ms compleja de enrutadores. En esta configuracin,

hay tres redes (redes A, B y C) y dos enrutadores (enrutadores 1 y 2). El enrutador 1 est en las redes A y B, y el
enrutador 2 est en las redes B y C. El enrutador 1 debe notificar al enrutador 2 que se puede tener acceso a la
red A a travs del enrutador 1 y el enrutador 2 debe notificar al enrutador 1 que se puede tener acceso a la red C
a travs del enrutador 2. Esta informacin se comunica mediante un protocolo de enrutamiento, como el
protocolo de informacin de enrutamiento (RIP) usado para IPv4.

Cuando un usuario de la red A desea comunicarse con un usuario de la red C, el equipo del usuario de la red A
reenva el paquete al enrutador 1. El enrutador 1 reenva el paquete al enrutador 2 y ste lo reenva al equipo del
usuario de la red C.
Sin protocolos de enrutamiento, un administrador de redes debe especificar rutas estticas en las tablas de
enrutamiento del enrutador 1 y del enrutador 2. Las rutas estticas no funcionan bien en redes de gran tamao ni
se recuperan despus de realizar cambios en la topologa de la red.
Nota
Esta versin de Windows solo admite enrutamiento esttico para el protocolo de Internet versin
6 (IPv6).
Escenario de enrutamiento de marcado a peticin

En la siguiente ilustracin se muestra una configuracin de enrutamiento que usa marcado a peticin. Las redes
A y B estn separadas geogrficamente y, por la cantidad de trfico que se transfiere entre las redes, no resulta
econmico una concesin de vnculo de red de rea extensa (WAN). El enrutador 1 y el enrutador 2 pueden
conectarse a travs de una lnea telefnica analgica mediante un mdem u otro tipo de conectividad como
ISDN (RDSI) en cada extremo. Cuando un equipo de la red A inicia la comunicacin con un equipo de la red B,
el enrutador 1 establece una conexin con el enrutador 2. La conexin se mantiene solo mientras se estn
enviando o recibiendo paquetes. Si la conexin est inactiva, el enrutador 1 se desconecta para reducir los
costos de conexin.

Redes privadas virtuales

Una red privada virtual (VPN) es una conexin punto a punto a travs de una red privada o pblica, como
Internet. Un cliente VPN usa protocolos especiales basados en TCP/IP llamados protocolos de tnel que
establecen un canal seguro entre dos equipos por el que pueden enviar datos. Desde la perspectiva de los dos
equipos que intervienen, hay un vnculo punto a punto dedicado entre ambos, aunque en realidad los datos se
redirigen por Internet como se hara con cualquier otro paquete. En una implementacin VPN tpica, un cliente
inicia una conexin punto a punto virtual con un servidor de acceso remoto a travs de Internet. El servidor de
acceso remoto responde a la llamada, autentica al usuario que realiza la llamada y transfiere datos entre el
cliente VPN y la red privada de la organizacin.
Para emular un vnculo punto a punto, los datos se encapsulan, o se ajustan, con un encabezado. El encabezado
proporciona la informacin de enrutamiento que permite a los datos recorrer la red compartida o pblica hasta
alcanzar su extremo. Para emular un vnculo privado, los datos enviados se cifran por motivos de
confidencialidad. Para obtener ms informacin acerca de los protocolos de tnel compatibles con esta versin
de Windows, vea el tema sobre protocolos de tnel de VPN (puede estar en ingls).
Para obtener los requisitos de instalacin, vea el tema donde se describen los Requisitos para instalar RRAS
como un servidor VPN.
Conexin VPN

Existen dos tipos de conexiones VPN:

VPN de acceso remoto

Una conexin VPN de acceso remoto permite al usuario que trabaja desde casa o que est de viaje tener acceso
a un servidor de una red privada mediante la infraestructura proporcionada por una red pblica como, por
ejemplo, Internet. Desde el punto de vista del usuario, la VPN es una conexin punto a punto entre el equipo
cliente y el servidor de la organizacin. La infraestructura de la red compartida o pblica es irrelevante, ya que
aparece lgicamente como si los datos se enviaran a travs de un vnculo privado dedicado.

VPN de sitio a sitio

Una conexin VPN de sitio a sitio (a veces llamada conexin VPN de enrutador a enrutador) permite a una
organizacin tener conexiones enrutadas entre distintas oficinas o con otras organizaciones a travs de una red
pblica a la vez que se mantiene la seguridad de las comunicaciones. Cuando las redes se conectan a travs de
Internet, tal como se muestra en la siguiente imagen, un enrutador habilitado para VPN reenva paquetes a otro
enrutador habilitado para VPN a travs de una conexin VPN. Para los enrutadores, la conexin VPN aparece
lgicamente como un vnculo dedicado en el nivel de vnculo de datos.
Una conexin VPN de sitio a sitio conecta dos redes privadas. El servidor VPN proporciona una conexin
enrutada a la red a la que est conectada el servidor VPN. El enrutador que realiza la llamada se autentica a s
mismo en el enrutador que responde y, para realizar una autenticacin mutua, el enrutador que responde se
autentica a s mismo en el enrutador que realiza la llamada. En una conexin VPN de sitio a sitio, los paquetes
enviados desde cualquiera de los enrutadores a travs de la conexin VPN por lo general no se originan en los
enrutadores.
Conexin mediante VPN de dos sitios remotos a travs de Internet

Propiedades de las conexiones VPN

Encapsulacin. Los datos privados se encapsulan con un encabezado que contiene informacin de
enrutamiento que permite a los datos recorrer la red de trnsito. Para obtener ejemplos de encapsulacin,
vea el tema sobre protocolos de tnel de VPN (puede estar en ingls) (http://go.microsoft.com/fwlink/?
linkid=140602).

Autenticacin. La autenticacin para las conexiones VPN puede realizarse de tres formas distintas:
1. Autenticacin en el nivel de usuario con autenticacin PPP (Protocolo punto a punto). Para
establecer la conexin VPN, el servidor VPN autentica el cliente VPN que intenta realizar la

conexin con un mtodo de autenticacin PPP en el nivel de usuario y comprueba que el cliente
VPN tiene la autorizacin adecuada. Si se usa la autenticacin mutua, el cliente VPN tambin
autentica el servidor VPN, lo que proporciona proteccin frente a equipos que se hacen pasar por
servidores VPN.
2. Autenticacin en el nivel de equipo con Intercambio de claves por red (IKE). Para establecer
una asociacin de seguridad (SA) de protocolo de seguridad de Internet (IPsec), el cliente VPN y
el servidor VPN usan el protocolo IKE para intercambiar los certificados de equipo o una clave
previamente compartida. En cualquiera de los casos, el cliente y el servidor VPN se autentican
mutuamente en el nivel de equipo. La autenticacin de certificados de equipo es un mtodo de
autenticacin mucho ms seguro y, por lo tanto, es muy recomendable. Las conexiones IKE
versin 2 o protocolo de tnel de capa dos (L2TP)/IPsec usan la autenticacin en el nivel de
equipo.
3. Autenticacin del origen de datos e integridad de datos. Para comprobar que los datos
enviados en la conexin VPN se originaron al otro extremo de la conexin y no se modificaron
durante el trnsito, los datos contienen una suma de comprobacin criptogrfica basada en una
clave de cifrado que solo conocen el destinatario y el remitente. La autenticacin del origen de
datos y la integridad de datos estn disponibles para las conexiones IKE versin 2 y L2TP/IPsec.

Cifrado de datos. Para garantizar la confidencialidad de los datos mientras recorren la red compartida o
pblica, el remitente cifra los datos y el destinatario los descifra. El proceso de cifrado y descifrado
depende de que tanto el remitente como el receptor usen una clave de cifrado comn.
Los paquetes interceptados enviados con la conexin VPN en la red de trnsito son ininteligibles para
cualquier persona que no tenga la clave de cifrado comn. La longitud de la clave de cifrado es un
importante parmetro de seguridad. Puede usar tcnicas de clculo para determinar la clave de cifrado.
Sin embargo, dichas tcnicas requieren mayor capacidad de proceso y tiempo de clculo a medida que
aumenta el tamao de las claves de cifrado. Por lo tanto, es importante usar claves del mayor tamao
posible para garantizar la confidencialidad de los datos.

Requisitos para instalar RRAS como un servidor

VPN
Antes de configurar un servidor RRAS para que funcione como un servidor VPN de acceso remoto, debe
realizar los pasos que se incluyen a continuacin.

Determine la interfaz de red que desee conectar a Internet y la que conectar a la red privada.
Durante la configuracin se le solicitar que elija la interfaz de red que desea conectar a Internet. Si
indica la interfaz incorrecta, el servidor VPN de acceso remoto no funcionar adecuadamente.

Determine si los clientes remotos recibirn direcciones IP de un servidor DHCP de la red privada, o bien
del servidor VPN de acceso remoto que est configurando.
Si dispone de un servidor DHCP en la red privada, el servidor VPN de acceso remoto podr conceder 10
direcciones a la vez desde el servidor DHCP y asignarlas a los clientes remotos. Si no cuenta con un
servidor DHCP en la red privada, el servidor VPN de acceso remoto puede asignar a los clientes remotos

direcciones IP de un grupo predefinido de direcciones. Debe determinar ese intervalo en funcin de su

infraestructura de red. Para obtener ms informacin, vea el tema sobre RRAS y DHCP (puede estar en
ingls) (http://go.microsoft.com/fwlink/?linkid=140605).

Si usa DHCP, determine si los clientes VPN pueden enviar mensajes DHCP al servidor DHCP de la red
privada.
Si un servidor DHCP se encuentra en la misma subred que el servidor VPN de acceso remoto, los
mensajes DHCP de los clientes VPN podrn alcanzar el servidor DHCP una vez establecida la conexin
VPN. Si, por el contrario, el servidor DHCP est situado en una subred distinta de la del servidor VPN
de acceso remoto, asegrese de que el enrutador entre ambas subredes puede retransmitir mensajes
DHCP entre los clientes y el servidor.

Determine si desea que las solicitudes de conexin de los clientes VPN se autentiquen mediante un
servidor de Servicio de autenticacin remota telefnica de usuario (RADIUS) o bien mediante el
servidor VPN de acceso remoto que est configurando.
Agregar un servidor RADIUS resulta til cuando se desea instalar varios servidores VPN de acceso
remoto, puntos de acceso inalmbrico u otros clientes RADIUS en la red privada. Para obtener ms
informacin, vea el tema sobre el servidor de directivas de redes (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=139764).

Compruebe que todos los usuarios disponen de cuentas de usuario configuradas para el acceso remoto.
Para que los usuarios puedan conectarse a la red, deben tener cuentas de usuario en el servidor VPN de
acceso remoto o en Servicios de dominio de Active Directory. Todas las cuentas de usuario situadas en
servidores independientes o controladores de dominio contienen propiedades que determinan si el
usuario se puede conectar. Para definir estas propiedades en un servidor independiente, haga clic con el
botn secundario en la cuenta de usuario en Usuarios y grupos locales y, a continuacin, haga clic en
Propiedades. Para definirlas en un controlador de dominio, haga clic con el botn secundario en la
cuenta de usuario en la consola Usuarios y equipos de Active Directory y, a continuacin, haga clic en
Propiedades.

Acceso telefnico a redes

El acceso telefnico remoto es una tecnologa de acceso remoto que est disponible como parte del Servicio de
enrutamiento y acceso remoto (RRAS).
El acceso telefnico remoto ofrece una solucin sencilla a las organizaciones que desean permitir a los
empleados tener acceso de forma remota a las cuentas de correo corporativas y a los archivos compartidos
desde casa o desde otros lugares que estn fuera de la red corporativa. Gracias al acceso telefnico remoto, un
cliente de acceso remoto puede usar la infraestructura de red de rea extensa (WAN) para conectarse a un
servidor de acceso remoto. Un cliente de acceso remoto usa el sistema telefnico para crear un circuito fsico
temporal o un circuito virtual a un puerto en un servidor de acceso remoto. Una vez creado el circuito fsico o
virtual, se puede negociar el resto de los parmetros de conexin. El acceso telefnico a redes admite el
enrutamiento de marcado a peticin para ayudar a reducir los costos telefnicos.
Componentes de una conexin de acceso telefnico remoto

Una conexin de acceso telefnico remoto tiene los siguientes componentes:

Cliente de acceso remoto

Los clientes de acceso remoto que ejecuten Windows, UNIX y Macintosh pueden conectarse a un servidor de
acceso remoto RRAS.
Servidor de acceso remoto

El servidor de acceso remoto RRAS acepta conexiones de acceso telefnico y reenva los paquetes entre los
clientes de acceso remoto y la red a la que est conectado el servidor RRAS.
Equipo de acceso telefnico e infraestructura WAN

La conexin fsica y lgica entre el servidor de acceso remoto y el cliente de acceso remoto se facilita a travs
del equipo de acceso telefnico que se instala en el cliente de acceso remoto, el servidor de acceso remoto y la
infraestructura WAN. La naturaleza del equipo de acceso telefnico y la infraestructura WAN vara en funcin
del tipo de conexin. En las secciones siguientes se describen los mtodos de acceso telefnico remoto ms
comunes.
RTC

RTC, conocido tambin como servicio de telefona convencional, es el sistema de telfono analgico diseado
para transportar las frecuencias mnimas necesarias para distinguir la voz humana.
El equipo de acceso telefnico se compone de un mdem analgico en el cliente de acceso remoto y al menos
un mdem analgico en el servidor de acceso remoto. En las organizaciones de gran tamao, el servidor de
acceso remoto est conectado a un banco de mdems que contiene cientos de mdems. Dado que RTC no se
dise para la transmisin de datos, su velocidad de transmisin es limitada si se compara con otros mtodos de
conexin.
Conexin RTC estndar

Enlaces digitales y V.90

La velocidad de bits mxima de la conexin RTC depende del intervalo de frecuencias que transmiten los
conmutadores RTC y la relacin seal/ruido de la conexin. El sistema de telfono analgico actual es
analgico solo en el circuito local, el conjunto de cables que conectan al usuario al conmutador RTC de la
oficina central. Al llegar al conmutador RTC, la seal analgica se convierte en una seal digital.
Cuando un servidor RRAS se conecta a una oficina central mediante un conmutador digital basado en portadora
T o ISDN (RDSI) en lugar de un conmutador RTC analgico, hay una relacin seal/ruido mayor porque se
producen menos conversiones de analgico a digital y, por tanto, una velocidad de bits mxima ms alta.
Con esta tecnologa, denominada V.90, los clientes de acceso remoto pueden enviar datos a 33,6 kilobits por
segundo (Kbps) y recibirlos a 56 Kbps. En Estados Unidos, la velocidad de bits mxima es de 53 Kbps, lmite
impuesto por las normas de energa de la Comisin Federal de Comunicaciones (FCC).
Para obtener la velocidad de V.90:

El cliente de acceso remoto debe usar un mdem V.90.

El servidor de acceso remoto debe usar un conmutador digital V.90 y estar conectado a la
red RTC mediante un enlace digital, como portadora T o ISDN (RDSI).

No pueden producirse conversiones de seales analgicas a digitales en el trayecto desde

el servidor de acceso remoto hasta el cliente de acceso remoto.

Conexin RTC con V.90

Permisos para usuarios de acceso remoto

Una vez instalado el Servicio de enrutamiento y acceso remoto (RRAS), debe determinar los usuarios que
pueden conectarse al servidor RRAS. Las autorizacin RRAS se determina por las propiedades de marcado en
la cuenta del usuario, por las directivas de redes, o por ambas.
No es necesario crear cuentas de usuario simplemente para usuarios de acceso remoto. Los servidores RRAS
pueden usar cuentas de usuario existentes en las bases de datos de cuentas de usuario. En Usuarios y grupos
locales y en Usuarios y equipos de Active Directory, las cuentas de usuario tienen la ficha Marcado donde
puede configurar los permisos de acceso remoto. Para un gran nmero de usuarios, se recomienda configurar las
directivas de red en un servidor que ejecuta el servicio de servidor de directivas de redes (NPS). Para obtener

ms informacin, vea Servidor de directivas de redes (puede estar en ingls) (http://go.microsoft.com/fwlink/?

linkid=139764).

Seguridad antes de la conexin

Los siguientes pasos describen qu sucede durante los intentos de conexin de un cliente de acceso remoto a un
servidor RRAS que est configurado para usar la autenticacin de Windows:
1. Un cliente de acceso remoto intenta conectarse a un servidor RRAS.
2. El servidor enva una comprobacin al cliente.
3. El cliente enva una respuesta cifrada al servidor que consta de un nombre de usuario, un nombre de
dominio y una contrasea.
4. El servidor comprueba la respuesta en la base de datos de cuentas de usuario.
5. Si la cuenta es vlida y las credenciales de autenticacin son correctas, el servidor usa las propiedades de
acceso telefnico de la cuenta de usuario y las directivas de red para autorizar la conexin.
Si la conexin es de acceso telefnico y la devolucin de llamada est habilitada, el servidor corta la conexin,
devuelve la llamada al cliente y contina el proceso de negociacin de la conexin.
Nota
En los pasos 2 y 3, se asume que tanto el cliente de acceso remoto como el servidor RRAS usan el Protocolo de
autenticacin por desafo mutuo de Microsoft versin 2 (MS-CHAP v2) o el Protocolo de autenticacin por
desafo mutuo (CHAP). El envo de credenciales del cliente puede variar para otros protocolos de autenticacin.
Si el servidor RRAS es miembro del dominio y la respuesta del usuario no contiene un nombre de dominio, de
forma predeterminada se usar el nombre de dominio del servidor RRAS. Si desea usar un nombre de dominio
distinto al del servidor RRAS, en el cliente de acceso remoto, defina el siguiente valor del Registro como el
nombre del dominio que desee usar:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn
\DefaultDomain
Precaucin
La modificacin incorrecta del Registro puede daar gravemente el sistema. Antes de realizar cambios en el
Registro, debe hacer una copia de seguridad de los datos de valor guardados en el equipo.

Seguridad despus de la conexin

Las credenciales usadas para el acceso remoto slo proporcionan un canal de comunicacin con la red de
destino. El cliente no inicia sesin en la red como resultado de una conexin de acceso remoto. Cada vez que el
cliente intente obtener acceso a un recurso de red, se le solicitarn sus credenciales. Si no responde al desafo
con las credenciales adecuadas, el intento de acceso generar un error. Windows agrega una caracterstica para
simplificar el acceso remoto. Tras una conexin correcta, los clientes de acceso remoto que ejecutan
Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 almacenarn esas
credenciales en cach como predeterminadas durante el transcurso de toda la conexin de acceso remoto.
Cuando un recurso de red solicita una autenticacin al cliente de acceso remoto, ste proporciona las
credenciales almacenadas en cach para que el usuario no tenga que volver a escribirlas.

Asignacin de direcciones IP

Cuando un cliente de acceso remoto inicia una conexin al servidor RRAS, el cliente crea una interfaz lgica
temporal (tambin denominada interfaz virtual o adaptador de red virtual) y solicita al servidor RRAS que
asigne una direccin IP a esta interfaz lgica. Se admiten tanto las direcciones del protocolo de Internet versin
6 (IPv6) como las del protocolo de Internet versin 4 (IPv4).
La asignacin de direcciones IP se puede realizar de una de las formas siguientes:
Desde un servidor DHCP

El servidor RRAS obtiene la direccin IP que se asignar a un cliente remoto desde un servidor DHCP de la
intranet. ste es el mtodo preferido de asignacin de direcciones IP. El servidor RRAS se comporta como un
cliente DHCP frente al servidor DHCP y obtiene 10 direcciones IP a la vez. A medida que los clientes de acceso
remoto se conectan al servidor RRAS, las direcciones IP se asignan a los clientes con el Protocolo de control del
protocolo de Internet (IPCP). Para obtener ms informacin, vea RRAS y DHCP (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140605). El servidor DHCP se puede usar para asignar direcciones
IPv6 e IPv4.
Si no se puede establecer la comunicacin con un servidor DHCP, el servidor RRAS asigna automticamente
direcciones IPv4 del intervalo de direcciones IP privadas automticas (APIPA) 168.254.0.1 a 169.254.255.254.
Si no se puede establecer la comunicacin con un servidor DHCP para la asignacin de direcciones IPv6,
entonces el cliente utiliza la asignacin de prefijo IPv6 configurada en el servidor RRAS con un identificador de
interfaz generado localmente para crear una direccin de enrutamiento IPv6.
Desde un intervalo de direcciones configurado en el servidor

El servidor RRAS obtiene una direccin IPv4 de un grupo de direcciones estticas configuradas en el servidor
RRAS. Si configura un grupo de direcciones estticas, no utilice direcciones IP que ya estn asignadas a otros
equipos o que se encuentren en un intervalo que el servidor DHCP pueda asignar a otro equipo. El grupo puede
constar de intervalos de direcciones que sean un subconjunto de direcciones de la red IP a la que est conectado
el servidor o de una subred distinta. Si los intervalos del grupo de direcciones IP estticas representan una
subred diferente, asegrese de que las rutas a los intervalos de direcciones existan en los enrutadores de la
intranet, a fin de que el trfico hacia la interfaz lgica de un cliente remoto se reenve al servidor de acceso
remoto.
Para IPv6, nicamente se asigna el prefijo. El cliente genera automticamente el identificador de interfaz, que
luego utiliza la deteccin de vecinos IPv6 para garantizar su exclusividad.
Desde una direccin esttica especificada en la cuenta de usuario

Se puede configurar una direccin IP esttica para un cliente determinado en la ficha Marcado de la cuenta de
usuario del cliente remoto o en la directiva de red. Cuando un cliente remoto inicia una conexin, crea una
interfaz lgica temporal y solicita al servidor de acceso remoto que asigne una direccin IP a esta interfaz
lgica, el servidor de acceso remoto asigna las direcciones IPv4 e IPv6 especificadas en la cuenta de usuario del
cliente remoto. Este mtodo es especialmente apropiado para un nmero reducido de usuarios remotos.

Protocolos de autenticacin de acceso remoto

El acceso remoto de esta versin de Windows admite los protocolos de autenticacin de acceso remoto
enumerados en la tabla siguiente. Se muestran en orden de seguridad descendente. Se recomienda usar el
Protocolo de autenticacin extensible (EAP) y el Protocolo de autenticacin por desafo mutuo de Microsoft
versin 2 (MS-CHAPv2), y evitar el uso del Protocolo de autenticacin por desafo mutuo (CHAP) y el
Protocolo de autenticacin de contrasea (PAP).

Protocolo

EAP

MS-CHAP v2

CHAP

PAP

Descripcin

Nivel de seguridad

Permite la autenticacin
arbitraria de una conexin
de acceso remoto por medio
del uso de esquemas de
autenticacin, lo que se
conoce como tipos EAP.
Admite la autenticacin
mutua bidireccional. El
cliente de acceso remoto
recibe confirmacin de que
el servidor de acceso remoto
al que est llamando tiene
acceso a la contrasea del
usuario.
Usa el esquema de hash
MD5 (sntesis del
mensaje 5) estndar del
sector para cifrar la
respuesta.

EAP ofrece el mayor nivel de seguridad proporcionando la

mxima flexibilidad en las variaciones de autenticacin. Para
obtener ms informacin, vea http://go.microsoft.com/fwlink/?
linkid=140608 (puede estar en ingls).

Usa contraseas de texto

simple. Se suele emplear
cuando el cliente y el
servidor de acceso remoto
no pueden negociar una
forma de validacin ms
segura.

MS-CHAP v2 ofrece ms seguridad que CHAP. Para obtener

ms informacin, vea MS-CHAP v2 (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140609).

CHAP supone una mejora con respecto a PAP, ya que la

contrasea no se enva a travs del enlace PPP. CHAP exige
una versin de texto simple de la contrasea para validar la
respuesta al desafo. CHAP no protege frente a la suplantacin
del servidor remoto. Para obtener ms informacin, vea CHAP
(puede estar en ingls) (http://go.microsoft.com/fwlink/?
linkid=140610).
PAP es el protocolo de autenticacin menos seguro. No protege
frente a ataques de reproduccin, suplantacin del cliente
remoto ni suplantacin del servidor remoto. Para obtener ms
informacin, vea PAP (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140611).

Acceso no autenticado

RRAS tambin es compatible con el acceso no autenticado, lo que significa que no se necesitan credenciales de
usuario (un nombre de usuario y una contrasea). Existen situaciones en las que el acceso no autenticado resulta
til. Para obtener ms informacin, vea Acceso no autenticado (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=73649).

Seguridad Nota
Cuando el acceso no autenticado est habilitado, los usuarios de acceso remoto se conectan sin
necesidad de enviar sus credenciales de usuario. Un cliente de acceso remoto no autenticado no
negocia el uso de un protocolo de autenticacin comn durante el proceso de establecimiento
de conexin ni enva un nombre de usuario o una contrasea.
El acceso remoto no autenticado con clientes de acceso remoto puede producirse cuando los
protocolos de autenticacin configurados por el cliente de acceso remoto no coinciden con los
configurados en el servidor de acceso remoto. En este caso, no se negocia el uso de un protocolo
de autenticacin comn ni el cliente de acceso remoto enva un nombre de usuario y una
contrasea.
Enrutamiento
Personas que lo han encontrado til: 1 de 1 - Valorar este tema

Se aplica a: Windows Server 2008 R2

El enrutamiento es el proceso de recepcin de un paquete de red desde una red conectada a una interfaz y su
reenvo a una red conectada a otra interfaz.
1. Enrutamiento IPv4 (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140614)
2. Enrutamiento IPv6 (puede estar en ingls) (http://go.microsoft.com/fwlink/?linkid=140615)
3. Enrutamiento esttico (puede estar en ingls) (http://go.microsoft.com/fwlink/?
linkid=140617)
4. Traduccin de direcciones de red (puede estar en ingls) (http://go.microsoft.com/fwlink/?
linkid=140619)
5. Enrutamiento de marcado a peticin (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140603)
Directivas de red

Las directivas de red, antes conocidas como directivas de acceso remoto, se administran ahora desde el Servidor
de directivas de redes (NPS). Para obtener ms informacin, vea Servidor de directivas de redes (puede estar en
ingls) (http://go.microsoft.com/fwlink/?linkid=139764).

Listas de comprobacin para RRAS

Estas listas de comprobacin cubren las principales tareas de configuracin de RRAS.

Lista de comprobacin: instalacin y configuracin

de un servidor VPN de RRAS
Tarea

Referencia

Revise los conceptos principales.

Redes privadas virtuales

Obtenga la informacin necesaria.

Requisitos para instalar RRAS como un servidor VPN

Configure TCP/IP en los adaptadores de red del

servidor RRAS.

Configurar TCP/IP en el servidor RRAS

Instale RRAS.

Instalar RRAS

Habilite RRAS y configrelo como servidor VPN.

Habilitar RRAS como servidor VPN

Si el servidor RRAS se encuentra detrs de un

firewall perimetral o ejecuta un firewall basado en
host como, por ejemplo, Firewall de Windows con
seguridad avanzada, configure las reglas de
firewall necesarias para permitir que el trfico de
red de la red privada virtual (VPN) vaya a travs
del firewall hasta el servidor RRAS.

Configurar un firewall para trfico VPN (puede estar en

ingls) (http://go.microsoft.com/fwlink/?linkid=140709)

Si el servidor RRAS se encuentra detrs de un

firewall perimetral y no ejecuta un firewall basado
en host como, por ejemplo, Firewall de Windows
con seguridad avanzada, configure filtros de
paquetes estticos para permitir en el servidor
RRAS solo el trfico de red VPN necesario.

Configurar filtros estticos para trfico VPN (puede

estar en ingls) (http://go.microsoft.com/fwlink/?
linkid=140713)

Configure los tipos de conexiones VPN y el

nmero de ellas admitidas por el servidor VPN.

Configuracin de puertos para acceso remoto

De forma predeterminada, RRAS admite, en esta

versin de Windows, 128 conexiones de
Intercambio de claves por red versin 2 (IKEv2),
protocolo de tnel de capa dos (L2TP), Protocolo
de tnel punto a punto (PPTP) y Protocolo de
tnel de sockets seguros (SSTP). Si habilita VPN
despus de instalar RRAS, los puertos de VPN se

deshabilitarn y Windows solo crear cinco de

cada tipo de conexin. Habilite los puertos y
configure los que necesite siguiendo este
procedimiento.
Especifique DHCP o configure un grupo esttico
de direcciones IP para clientes VPN.

Configuracin de la asignacin de direcciones IP de

RRAS a clientes VPN

Si utiliza DHCP para proporcionar direcciones IP

a clientes remotos y el servidor DHCP no se
encuentra en la misma subred IP que el servidor
RRAS, configure un agente de retransmisin
DHCP que reenve las solicitudes y respuestas
DHCP de difusin a travs de los enrutadores al
servidor DHCP.

Configurar el Agente de retransmisin DHCP IPv4

Si utiliza el Servidor de directivas de redes (NPS)

para administrar de forma centralizada las
directivas de los servidores RRAS, configure las
propiedades de marcado y las directivas de red de
la configuracin de permiso de marcado,
autenticacin y cifrado.

Vea "Lista de comprobacin: para configurar NPS para

acceso telefnico y VPN en la Ayuda del Servidor de
directivas de redes.

Ajuste los niveles de registro de RRAS y de cada

protocolo de enrutamiento.

Configurar niveles de registro para RRAS

(Opcional) Cree un perfil de Connection Manager

para administrar la capacidad de conexin de
cliente de los usuarios y simplificar la solucin de
problemas de las conexiones de cliente.

Kit de administracin de Connection Manager (puede

estar en ingls) (http://go.microsoft.com/fwlink/?
linkid=136440)

Si la configuracin de RRAS requiere certificados

para autenticacin, por ejemplo, al utilizar
conexiones VPN basadas en IKEv2 o SSTP,
deber tener un origen para los certificados.
Instale Servicios de certificados de Active
Directory (AD CS) en un servidor de la red como
alternativa para adquirir certificados de entidades
de certificacin raz de terceros.

Servicios de certificados de Active Directory (puede

estar en ingls) (http://go.microsoft.com/fwlink/?
linkid=136444)

Para compatibilidad con conexiones VPN

autenticadas mediante certificado SSTP o IKEv2,
debe instalar un certificado de equipo con la
propiedad Autenticacin de servidor o Uso

Configurar RRAS con un certificado de autenticacin de

equipo

Configurar el Agente de retransmisin DHCP IPv6

mejorado de clave (EKU) Todos los propsitos

instalada en el servidor RRAS.
Si ha configurado inicialmente el servidor RRAS
para que sea compatible solo con el protocolo de
Internet versin 4 (IPv4), puede agregarle
compatibilidad con el acceso remoto del protocolo
de Internet versin 6 (IPv6).

Habilitar el acceso remoto IPv6

(Opcional) Configure el servidor VPN para que

utilice Proteccin de acceso a redes (NAP) para
aplicar las directivas de requisitos de
mantenimiento.

Configuracin del cumplimiento de Proteccin de

acceso a redes para VPN

Lista de comprobacin: instalacin y configuracin de un enrutador RRAS

Tarea

Revisar los conceptos principales.

Decidir qu protocolos y caractersticas
de enrutamiento de RRAS desea usar.

Configurar TCP/IP en los adaptadores

de red del servidor RRAS.
Instalar RRAS.
Habilitar RRAS y configurarlo como
enrutador.
(Opcional) Disear e implementar el
enrutamiento IP esttico.
(Opcional) Disear e implementar el
Protocolo de informacin de
enrutamiento para IP.
(Opcional) Agregar y configurar el
Agente de retransmisin DHCP.
(Opcional) Configurar la
compatibilidad con la multidifusin IP.
(Opcional) Disear e implementar la
traduccin de direcciones de red
(NAT).
(Opcional) Configurar los filtros de
paquetes IP.
(Opcional) Disear e implementar el
enrutamiento de marcado a peticin.

Referencia

Enrutamiento
Enrutamiento IPv4 (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140614)
Enrutamiento IPv6 (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140615)
Enrutamiento esttico (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140617)
Protocolo de informacin de enrutamiento para IPv4 (puede estar
en ingls) (http://go.microsoft.com/fwlink/?linkid=140716)
Traduccin de direcciones de red (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140619)
Enrutamiento de marcado a peticin (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140603)
Configurar TCP/IP en el servidor RRAS
Instalar RRAS
Habilitar RRAS como enrutador LAN y WAN
Crear una ruta esttica
Habilitar y configurar RIP

Configurar el Agente de retransmisin DHCP IPv4

Configurar el Agente de retransmisin DHCP IPv6
Enrutamiento de multidifusin IPv4 (puede estar en ingls)
(http://go.microsoft.com/fwlink/?linkid=140717)
Habilitacin y configuracin de NAT

Configurar filtros de paquetes estticos (puede estar en ingls)

(http://go.microsoft.com/fwlink/?linkid=140713)
Creacin de una interfaz de marcado a peticin

Lista de comprobacin: configuracin de acceso remoto detrs de

un enrutador habilitado para NAT
Tarea

Referencia

Revisar los conceptos

principales.
Recopilar informacin
requerida.
Configurar TCP/IP en los
adaptadores de red del servidor
RRAS.
Instalar RRAS.
Habilitar RRAS y configurarlo
como servidor VPN y
enrutador NAT.
Completar los otros pasos
requeridos para configurar el
servidor VPN.

Traduccin de direcciones de red (puede estar en ingls)

(http://go.microsoft.com/fwlink/?linkid=140619) y Redes privadas virtuales
Requisitos para instalar RRAS como un servidor VPN
Configurar TCP/IP en el servidor RRAS

Instalar RRAS
Instalar RRAS

Lista de comprobacin: instalacin y configuracin de un servidor VPN de

RRAS

Lista de comprobacin: conexin de sitios remotos

A continuacin encontrar las tareas que debe realizar para permitir conexiones de clientes remotos.
Elegir el tipo de conexin del sitio remoto:

Conexin de acceso telefnico o de red privada virtual (VPN).

Conexin a peticin o persistente.

Conexin unidireccional o bidireccional.

Elegir las caractersticas de seguridad:

Integrar el servidor VPN en una red perimetral.

Elegir el proveedor de autenticacin.

Elegir el mtodo de autenticacin.

Elegir el cifrado punto a punto de Microsoft (MPPE) o el cifrado de protocolo de seguridad

de Internet (IPsec).

Elegir grupos y cuentas de usuario del enrutador.

Elegir el tipo de directiva de acceso remoto.

Integrar la conexin del sitio remoto en la red:

Disear la infraestructura de enrutamiento.

Planear la asignacin de direcciones IP y la resolucin de nombres.

Planear la integracin de Servicios de dominio de Active Directory (AD DS).

Implementar la conexin de sitio a sitio.

Configuracin de RRAS

Se usan los siguientes procedimientos para configurar el servicio Enrutamiento y acceso remoto (RRAS).

Instalar RRAS

Abrir el complemento RRAS de MMC

Configurar un servidor de acceso telefnico remoto

Configurar un firewall para el trfico de VPN (puede estar en ingls)

(http://go.microsoft.com/fwlink/?linkid=140709)

Configuracin de la asignacin de direcciones IP de RRAS a clientes VPN

Configurar niveles de registro para RRAS

Configuracin del cumplimiento de Proteccin de acceso a redes para VPN

Configuracin de puertos para acceso remoto

Configurar RRAS con un certificado de autenticacin de equipo

Configurar filtros de paquetes estticos (puede estar en ingls)

(http://go.microsoft.com/fwlink/?linkid=140713)

Configurar el Agente de retransmisin DHCP IPv4

Configurar el Agente de retransmisin DHCP IPv6

Configurar TCP/IP en el servidor RRAS

Creacin de una interfaz de marcado a peticin

Crear una ruta esttica

Habilitacin y configuracin de NAT

Habilitar y configurar RIP

Habilitar el acceso remoto IPv6

Habilitar RRAS como enrutador LAN y WAN

Habilitar RRAS como servidor VPN

Habilitar RRAS como servidor VPN y enrutador NAT

Quitar RRAS de un servidor

Ver informacin en RRAS