Configurar el servidor Radius en Windows Server para autenticar usuarios de VPN Cisco

Una VPN (Virtual Private Network: red privada virtual) permite conectarse a una red privada a través de un acceso a Internet desde cualquier lugar del mundo.

Puede resultar muy útil para los usuarios de empresas que desean acceder de forma segura a los recursos internos de la empresa.

En este artículo vamos a ver cómo usar los mismos usuarios de Active Directory para iniciar sesión en una VPN configurada en un router Cisco.

El escenario incluye un router Cisco 1801 en el que hay configurada una VPN de tipo Road Warrior y un servidor con sistema operativo Windows 2012 Server R2 en el que está activo el rol de controlador de dominio y de servidor Radius.

Para facilitar la administración de los usuarios autorizados a acceder mediante la VPN, crearemos un grupo dedicado en Active Directory, VpnAuthorizedUsers:

Radius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco

Asignad al grupo VpnAuthorizedUsers el usuario al que deseáis permitir el acceso mediante la VPN:

Radius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco
Abrid el Administrador del servidor en Windows Server 2012 R2 y seleccionad Agregar roles y características:

Radius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco

Seleccionad el servidor en el que queréis instalar el rol:

Radius Windows Server 2012 R2 Vpn Cisco

Seleccionad el rol Servicios de acceso y directivas de redes:

Radius Windows Server 2012 R2 Vpn Cisco

Continuad introduciendo las características requeridas:

Radius Windows Server 2012 R2 Vpn Cisco

Radius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco

Seleccionad Servidor de directivas de redes:

Radius Windows Server 2012 R2 Vpn Cisco
Pulsad Instalar para comenzar la instalación:

Radius Windows Server 2012 R2 Vpn Cisco
Una vez que aparece el texto resaltado, pulsad Cerrar para salir del asistente:

Radius Windows Server 2012 R2 Vpn Cisco

Seguid con la configuración del servidor Radius seleccionando NAP, a continuación, haced clic con el botón derecho en el nombre del servidor y pulsad en Servidor de directivas de redes:

Radius Windows Server 2012 R2 Vpn Cisco

Haced clic con el botón derecho en NPS y seleccionad Registrar servidor en Active Directory:

Radius Windows Server 2012 R2 Vpn Cisco

Expandid el menú Radius y haced clic con el botón derecho en Clientes RADIUS:

Radius Windows Server 2012 R2 Vpn Cisco

Indicad el nombre y la dirección IP del dispositivo que reenviará las solicitudes de autenticación a Radius, definid también una contraseña que autorice al dispositivo para conectarse al servidor Radius:

Radius Windows Server 2012 R2 Vpn Cisco

Expandid las Directivas y haced clic con el botón derecho en Directivas de solicitud de conexión:

Radius Windows Server 2012 R2 Vpn Cisco

Definid un nombre para la directiva:

Radius Windows Server 2012 R2 Vpn Cisco

Añadid una condición en Nombre descriptivo del cliente:

Radius Windows Server 2012 R2 Vpn Cisco

Estableced el parámetro de la condición con el mismo nombre que habéis dado antes en la definición de los Clientes Radius:

Radius Windows Server 2012 R2 Vpn CiscoRadius Windows Server 2012 R2 Vpn Cisco

Haced clic en Siguiente:
Radius Windows Server 2012 R2 Vpn Cisco

Seleccionad como atributo Nombre-Usuario:

Radius Windows Server 2012 R2 Vpn Cisco

Haced clic con el botón derecho en Directivas de red:

Radius Windows Server 2012 R2 Vpn Cisco

Definid el nombre de la directiva:

Radius Windows Server 2012 R2 Vpn Cisco

Especificad la condición Grupos de Usuarios:

Radius Windows Server 2012 R2 Vpn Cisco

Agregad el grupo que habéis creado antes, VpnAuthrizedUsers:

Radius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco

Radius Windows Server 2012 R2 Vpn Cisco

Habilitad el acceso PAP, SPAP:

Radius Windows Server 2012 R2 Vpn Cisco

Pulsad NO en el siguiente aviso:

Radius Windows Server 2012 R2 Vpn CiscoRadius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco

Una vez configurada la VPN Road Warrior en el router Cisco, tendréis que habilitar la autenticación de los usuarios VPN a través del servidor Radius.

El comando local que sigue a la entrada radius permite garantizar la conexión a través de VPN con los usuarios locales del router en caso de que el servidor Radius esté desconectado por algún motivo:

conf t
aaa authentication login vpnuser group radius local

Aseguraos de que el comando del mapa criptográfico resaltado tenga el mismo nombre que aaa authentication:

Radius Windows Server 2012 R2 Vpn Cisco

Entrad en modo de configuración (Configurar terminal) e introducid los parámetros del radius con la dirección IP y la contraseña definidas al principio del tutorial:

radius-server host 10.0.0.1 auth-port 1812 acct-port 1813 key password xxxxxxxxx

Share: Facebook Twitter Linkedin

Comments