Direct Access vs VPN

Hola.

Para empezar tendremos que definir que es cada cosa ya que Direct Access y VPN no son la misma cosa. Comencemos por VPN, Virtual Private Network, son muy conocidas y altamente empleadas por todos los fabricantes de electronica de comunicaciones. Microsoft por su parte también la implementa mediante RRAS, Route and Remote Access Server, que es el RAS de toda la vida paro los que llevamos algún tiempo en esto.

 

El problema: No se ve clara la diferencia.

Direct Access - VPN

 

VPN: Es un Túnel que se crea a través de internet para que las comunicaciones entre los dos puntos sean como si estuviésemos en la misma red. Es un sistema abierto y compartido por todos los fabricantes.

Direct Access: Es un Super-tunel que ha creado Microsoft para mejorar las VPN tradicionales. Lo implementan solo las ultimas versiones de Windows Server y Windows 7, 8 en adelante.

 

Las Ventajas de Direct Access son su talón de Aquiles.

 

DirectAccess

VPN

Los equipos se conectan automáticamente sin intervención.

           X

Funciona a través de todos los firewalls

           X

Se puede seleccionar el servidor de acceso y el tipo de autenticación durante la conexión.

           X

Soporta autenticación y encriptación de punto a punto

           X

Soporta administración de los equipos remotos

           X

Compatible todas las versiones de clientes Windows

           X

Compatible con equipos de otros Sistemas Operativos

           X

Compatible con equipos fuera de dominio

           X

No necesita Windows Server 2008 R2 en el punto remoto

           X

Visto así, todo son ventajas, pero para implementar Direct Access no es tan sencillo como lo pintan. si lo viesemos de esta otra forma…

Se necesita:

  • Servidores con Direct Access, mínimo Windows Server 2008 R2
  • Dos adaptadores de red: Uno a la Lan y otro a internet con 2 IPs consecutivas Públicas.
  • Los clientes de DirectAccess con Windows 7 o superior.
  • Un controlador de dominio y DNS con Server 2008 R2 o superior.
  • Una infraestructura PKI, Public Key Infrastructure para generar certificados.
  • IPsec para la protección del tráfico.
  • IPv6 en el servidor DirectAccess: ISATAP, Teredo o 6to4.
  • Ademas para dar acceso a clientes con IPv4 necesitaremos la ayuda de terceros.

 

La implementación

La implementación tanto de direct access como de VPN se puede realizar mediante el asistente que ofrece el servidor tras instalar el rol de Acceso remoto.

Direct Access

 

Problemas en la implementación

La implementación parece sencilla hasta que nos ponemos a hacerla ya que en uno de los pasos mas importantes, nos encontramos con el principal problema: ¿Como poner el servidor? en la red perimetral, en la interna, con uno o con dos adaptadores de red… y lo mas importante ¿como le ponemos 2 IPs públicas a la nic del Servidor?

Era típico el error: «no se encuentra un adaptador interno con una dirección IP válida»

image0001

 

Soluciones en la implementación

Vemos que desde Server 2008 ha sido siempre una implementación rígida y difícil de realizar. Hemos tenido que esperar a 2012 R2 para simplificar las cosas .

Captura de pantalla 2015-04-06 a las 23.48.04

Desde que instalamos el Rol, ya nos aparecen mas opciones, El proxy para aplicaciones Web. Y a la hora de implementar también nos dejara poner los adaptadores dentro de la red interna y hacer NAT hacia ellos, incluso con un solo adaptador.

image0002

 

Para la gran mayoria

Hoy por hoy las VPN aunque menos seguras son las mas flexible y fáciles de configurar. En Windows server prácticamente no han cambiado a excepciona de que ahora están en el mismo rol que el que dota al servidor de la capacidad de enrrutar y unir delegaciones entre si; RRAS.

conf_