Cómo solucionar los problemas más comunes de conexión VPN en Windows Server
Las redes privadas virtuales (VPN) han dejado de ser desconocidas para convertirse en el método preferido para vincular redes privadas. Aunque las VPN se hicieron populares porque permitían utilizar Internet para asegurar las conexiones de red, eliminando así la necesidad de circuitos dedicados costosos, su adopción se disparó debido a que la tecnología también resultó ser relativamente simple, confiable y segura.
Sin embargo, considerar las VPN infalibles puede llevar a una falsa sensación de seguridad. Después de los ataques patrocinados por el estado que utilizaron VPN comprometidas para habilitar ataques explotadores, las organizaciones recibieron un llamado de atención de que las cuentas de VPN también requieren un monitoreo y resguardo cercano.
Con prácticas de seguridad adecuadas, las VPN siguen cumpliendo de manera efectiva una necesidad esencial al conectar de manera confiable y segura empleados remotos, oficinas de sucursales, socios autorizados y otros sistemas. Sin embargo, los errores de conexión VPN siguen surgiendo inevitablemente.
Trabajando con la consola de enrutamiento y acceso remoto de Windows Server
Una vez que se configura una VPN utilizando un servidor Windows, ocasionalmente surgen problemas de conexión, incluso cuando una conexión funcionaba correctamente anteriormente. La solución de problemas a menudo implica trabajar con la herramienta de consola de Enrutamiento y Acceso Remoto de los servidores Windows, donde Microsoft concentra muchas configuraciones de VPN.
La herramienta de Enrutamiento y Acceso Remoto se encuentra dentro de la Consola de Administración de Microsoft, conocida como MMC. Hay varias formas de acceder a la MMC. Puede seleccionar la consola desde las opciones del menú Inicio, dentro de la carpeta Herramientas Administrativas en el Panel de Control del servidor Windows o escribir "mmc" en un símbolo del sistema. También puede llegar a la MMC presionando la tecla de Windows y la tecla R simultáneamente y escribiendo "mmc", luego presionando la tecla Enter.
Aunque la interfaz de usuario real y las opciones del menú pueden cambiar sutilmente entre versiones específicas del servidor, los administradores deberían poder navegar por las diferentes consolas, ya sea que estén trabajando con una versión anterior o la iteración actual de Windows Server 2022, utilizando el mismo enfoque.
Cómo garantizar la validación local de los clientes en un dominio multi-sitioCómo solucionar los cuatro problemas más comunes con las conexiones VPN fallidas
1: La conexión VPN es rechazada.
Tener una conexión rechazada por parte del cliente de VPN es quizás el problema más común de VPN. Parte de la razón por la que este problema es tan común es que muchas incidencias pueden provocar que una conexión sea rechazada.
Si la VPN de Windows Server rechaza las conexiones de los clientes, lo primero que debe hacer es confirmar que el Servicio de Enrutamiento y Acceso Remoto realmente esté funcionando en el servidor Windows. Puede verificar esto abriendo la consola de Servicios del servidor Windows, a la que puede acceder haciendo clic en Inicio | Panel de Control | Herramientas Administrativas | Servicios. Con la consola de servicios abierta, navegue dentro de la lista de servicios hasta encontrar la entrada de Enrutamiento y Acceso Remoto y asegúrese de que esté en ejecución.
Tal como Brandon Vigliarolo de Newsmatic demuestra en su video al comienzo de este artículo, la consola de Servicios muestra el estado de la entrada de Enrutamiento y Acceso Remoto. Dentro de la consola de Servicios y con la entrada de Enrutamiento y Acceso Remoto resaltada, puede hacer clic en "Iniciar el servicio" o hacer clic derecho en la entrada y seleccionar "Reiniciar". Si el servicio de RRAS estaba configurado como Manual o Deshabilitado, puede abrir la entrada, cambiar el tipo de inicio a Automático y luego hacer clic en "Iniciar" y "Aceptar".
Después de confirmar que el servicio de RRAS está en ejecución, y como también revisa Vigliarolo, es recomendable probar la conexión, primero haciendo ping al servidor VPN por dirección IP y luego por su nombre de dominio completo. Si encuentras errores, es probable que haya un problema de DNS y debes resolver ese problema.
Si los pings al servidor VPN funcionan correctamente pero sigues teniendo problemas de conexión, presta atención a una posible descoordinación de autenticación. A veces, el cliente VPN y el servidor VPN están configurados para utilizar métodos de autenticación diferentes.
Confirma si un error de autenticación es el problema abriendo la consola del servidor. Otra forma de acceder a la MMC es escribir Control+R para abrir un símbolo del sistema en el cual puedes escribir "mmc" y presionar Enter o hacer clic en "Aceptar".
Cuál es la mejor opción de protocolo de enrutamiento para una red empresarialCon la consola abierta, navega hasta la entrada de Enrutamiento y Acceso Remoto. Si la entrada no está presente, haz clic en "Archivo", selecciona "Agregar o quitar complemento" elige la opción de Enrutamiento y Acceso Remoto de las opciones y haz clic en "Agregar" y luego "Aceptar".
Una vez que se haya agregado el complemento de Enrutamiento y Acceso Remoto, haz clic derecho en el servidor VPN y selecciona "Propiedades". Luego, revisa la pestaña de Seguridad para confirmar el método de autenticación. La autenticación de Windows es la más común, aunque puede haber otra opción como RADIUS. Asegúrate de que el cliente VPN esté configurado con el método de autenticación especificado en la pestaña de Seguridad.
Más cosas para verificar
Típicamente, los elementos recién revisados son responsables de la mayoría de los errores de rechazo de conexión VPN. Pero también se deben corregir otros elementos fundamentales.
Por ejemplo, si el servidor Windows que hospeda la VPN no se ha unido al dominio de Windows, el servidor no podrá autenticar los inicios de sesión. Primero debes conectar el servidor al dominio.
Las direcciones IP son otro elemento fundamental que debe configurarse correctamente. Cada conexión VPN basada en web generalmente utiliza dos direcciones IP diferentes para la computadora cliente de la VPN. La primera dirección IP es la que fue asignada por el proveedor de servicios de Internet del cliente. Esta es la dirección IP que se utiliza para establecer la conexión TCP/IP inicial con el servidor VPN a través de Internet. Sin embargo, una vez que el cliente se conecta al servidor VPN, el servidor VPN le asigna una segunda dirección IP. Esta dirección IP generalmente tiene el mismo grupo de subred que la red local y permite que el cliente se comunique con la red local.
Cuando configuras el servidor VPN, debes configurar un servidor DHCP para asignar direcciones a los clientes o puedes crear un banco de direcciones IP para asignar a los clientes directamente desde el servidor VPN. En cualquier caso, si el servidor se queda sin direcciones IP válidas, no podrá asignar una dirección al cliente y se rechazará la conexión.
Los 8 pasos para solucionar problemas de red y sistemasPara entornos de servidor DHCP, un error común de configuración es especificar una NIC incorrecta. Si haces clic derecho en el servidor VPN dentro de la consola de Enrutamiento y Acceso Remoto y seleccionas el comando "Propiedades" en el menú contextual resultante, deberías ver las propiedades del servidor. La pestaña de IP correspondiente contiene configuraciones que permiten especificar la fuente DHCP. Asegúrate de que, si la opción del servidor DHCP está habilitada, se seleccione el adaptador de red adecuado. Debes seleccionar un adaptador de red que tenga una ruta TCP/IP hacia el servidor DHCP.
2: Se acepta una conexión no autorizada.
A continuación, revisemos el problema opuesto, en el que se aceptan conexiones no autorizadas. Este problema es mucho menos común que la falta de conexión, pero es mucho más grave debido a los posibles problemas de seguridad y al tráfico no autorizado resultante.
Si revisas la hoja de propiedades de un usuario en la consola Usuarios y Equipos de Active Directory, la pestaña de Marcación suele contener una opción para controlar el acceso a través de la política de acceso remoto. Si esta opción está seleccionada y la política de acceso remoto efectiva está configurada para permitir el acceso remoto, el usuario podrá conectarse a la VPN.
Aunque no he podido recrear personalmente la situación, he escuchado rumores de que existe un error en los servidores Windows antiguos que pueden hacer que la conexión sea aceptada incluso si la política de acceso remoto efectiva está configurada para denegar la conexión de un usuario. Por lo tanto, y especialmente en plataformas de servidor más antiguas, es mejor permitir o denegar las conexiones directamente a través de la consola Usuarios y Equipos de Active Directory.
También se deben tener en cuenta otros fundamentos de seguridad para ayudar a prevenir el acceso no autorizado a la VPN. Las cuentas de VPN innecesarias siempre deben estar deshabilitadas e incluso eliminadas, cuando sea posible. Se debe exigir a los usuarios que cambien sus contraseñas correspondientes con frecuencia, y esas contraseñas deben cumplir con los requisitos de complejidad.
Se debe requerir autenticación de múltiples factores para todas las conexiones VPN, y los firewalls de red y los servicios de seguridad deben monitorear continuamente las conexiones no autorizadas o sospechosas para generar alertas de alta prioridad siempre que sea posible. Implementar estos pasos ayudará a reducir la probabilidad de que se acepte una conexión no autorizada.
Diferencias entre redes cliente/servidor y peer-to-peer3: No se puede acceder a ubicaciones más allá del servidor VPN.
Otro problema común de VPN es que se establece una conexión con éxito, pero el usuario remoto no puede acceder a la red más allá del servidor VPN. Por mucho, la causa más común de este problema es que no se ha otorgado el permiso para que el usuario acceda a toda la red.
Para permitir que un usuario acceda a toda la red, ve a la consola de Enrutamiento y Acceso Remoto y haz clic derecho en el servidor VPN que tiene el problema. Selecciona el comando "Propiedades" en el menú contextual resultante para mostrar la hoja de propiedades del servidor y luego selecciona la pestaña IP de la hoja de propiedades. En la parte superior de la pestaña IP se encuentra una casilla de verificación "Habilitar enrutamiento IP". Si esta casilla de verificación está habilitada, los usuarios de VPN podrán acceder al resto de la red, siempre y cuando los firewalls de red y la configuración de seguridad de servicio permitan. Si la casilla de verificación no está seleccionada, estos usuarios solo podrán acceder al servidor VPN, pero no más allá.
El problema también podría estar relacionado con otros problemas de enrutamiento. Por ejemplo, si un usuario se está conectando directamente al servidor VPN, generalmente es mejor configurar una ruta estática entre el cliente y el servidor.
Puedes configurar una ruta estática haciendo clic en la pestaña de Marcación de la hoja de propiedades del usuario en Usuarios y Equipos de Active Directory y seleccionando la casilla "Aplicar una ruta estática". Esto hará que Windows muestre el cuadro de diálogo de Rutas estáticas. Haz clic en el botón "Agregar ruta" y luego ingresa la dirección IP de destino y la máscara de red en el espacio provisto. El métrico debe dejarse en 1.
Si estás utilizando un servidor DHCP para asignar direcciones IP a los clientes, hay un par de problemas adicionales que podrían impedir que los usuarios puedan ir más allá del servidor VPN. Uno de estos problemas es el de direcciones IP duplicadas. Si el servidor DHCP asigna al usuario una dirección IP que ya se está utilizando en otra parte de la red, Windows detectará el conflicto y evitará que el usuario acceda al resto de la red.
Otro problema común es que el usuario no recibe ninguna dirección IP. La mayoría de las veces, si el servidor DHCP no puede asignar una dirección IP al usuario, la conexión no llegará hasta este punto. Sin embargo, hay situaciones en las que la asignación de una dirección IP falla, por lo que Windows asigna automáticamente al usuario una dirección de la gama 169.254.x.x. Si al cliente se le asigna una dirección en una gama que no está presente en las tablas de enrutamiento del sistema, el usuario no podrá acceder a la red más allá del servidor VPN.
Qué son los switches Cisco y cómo funcionanOtros problemas también pueden contribuir a este problema. Asegúrate de que los recursos a los que el usuario intenta acceder realmente estén en la red a la que se está conectando el usuario.
Con el creciente número de servidores, plataformas en la nube y opciones de aplicación como servicio, es posible que el usuario esté buscando un recurso en la red incorrecta o en una subred a la que la red a la que se conecta el usuario no puede llegar. De hecho, es posible que se requiera una conexión VPN a la otra subred. Un firewall o una solución de seguridad como servicio también podrían ser los culpables, así que no olvides revisar las configuraciones de esas soluciones si existen componentes de este tipo entre el servidor VPN y los recursos a los que el usuario intenta acceder.
4: No se puede establecer un túnel.
Si todo parece funcionar bien, pero no puedes establecer un túnel entre el cliente y el servidor, hay dos posibilidades principales de lo que podría estar causando el problema.
La primera posibilidad es que uno o más de los enrutadores involucrados estén realizando filtrado de paquetes IP. El filtrado de paquetes IP podría evitar el tráfico de túnel IP. Recomiendo verificar si hay filtros de paquetes IP en el cliente, el servidor y en cualquier máquina intermedia. Puedes hacer esto haciendo clic en el botón "Avanzado" en la hoja de propiedades de TCP/IP de cada máquina, seleccionando la pestaña "Opciones" de la hoja de propiedades "Configuración avanzada de TCP/IP", seleccionando "Filtrado de TCP/IP" y haciendo clic en el botón "Propiedades".
La otra posibilidad es que un servidor proxy esté interponiéndose entre el cliente y el servidor VPN. Un servidor proxy realiza traducción NAT en todo el tráfico que fluye entre el cliente y Internet. Esto significa que los paquetes parecen provenir del servidor proxy en lugar de del cliente mismo. En algunos casos, esta interacción podría evitar el establecimiento de un túnel, especialmente si el servidor VPN espera que el cliente tenga una dirección IP específica.
También debes tener en cuenta que los servidores proxy más antiguos o de gama baja (o los firewalls NAT) no admiten los protocolos L2TP, IPSec o PPTP que se utilizan a menudo para las conexiones VPN.
Técnicas para mejorar la seguridad en redes peer-to-peerEn otros casos, los servicios de seguridad de firewall o seguridad como servicio podrían estar bloqueando la formación de un túnel VPN. Revisa las configuraciones dentro de esos diversos dispositivos o servicios para asegurarte de que el tráfico VPN con servidor Windows esté siendo correctamente admitido.
Otros problemas con las VPN
Las VPN impulsadas por servidores Windows siguen siendo una solución importante para conectar de manera segura a usuarios y sistemas remotos. Si bien los menús y las propiedades específicas del servidor pueden cambiar con el tiempo, los fundamentos revisados anteriormente son a menudo responsables de los problemas más comunes. A medida que se lanzan nuevas versiones de servidores, actualizaciones y paquetes de servicio, surgirán diferentes problemas y soluciones de conexión VPN y acceso remoto. Afortunadamente, Microsoft publica regularmente actualizaciones y orientación para la solución de problemas de conexiones VPN, las cuales puedes monitorear y ver en su sitio web aquí.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Cómo solucionar los problemas más comunes de conexión VPN en Windows Server , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados