Cómo Conectarse al Entorno de Escritorio Remoto por VPN site-to-site
Une el servidor de Escritorio Remoto con la red de la oficina del cliente a través de un túnel VPN: añade la tarjeta de red de la VPC y la ruta estática hacia la red remota.
Para que el entorno de Escritorio Remoto alcance la red de la oficina del cliente sin exponer nada a internet, lo conectas por un túnel VPN site-to-site. Esta guía cubre la parte que falta en el lado del servidor de Escritorio Remoto, una vez que el túnel ya existe: añadir la tarjeta de red de la VPC y la ruta estática hacia la red remota.
Esta es la topología a la que llegamos: el servidor sale a internet por la red Estándar (su ruta por defecto) y alcanza la red de la oficina por la red VPC a través del túnel, gracias a una ruta estática.
Qué consiguesEl servidor de Escritorio Remoto comunicado con la red de la oficina a través del túnel VPN, con su tarjeta de red en la VPC y la ruta estática hacia la red remota.
Antes de empezar
Esta guía asume que el túnel VPN ya está montado. Necesitas tener antes:
- Una suscripción de Escritorio Remoto activa. Si aún no la tienes, móntala con el Inicio Rápido de Escritorio Remoto.
- Una red VPC con su TIER asociado. El proceso está en Redes del servidor.
- Un túnel VPN site-to-site ya creado, en Cómo crear un túnel VPN site-to-site.
Dónde ves la configuración de la VPNLa configuración del túnel (IPs públicas de ambos extremos, redes y TIER) la tienes en la suscripción de Servidores, en la subsección VPN. Te servirá de referencia para los datos de la ruta estática del Paso 2.
Paso 1. Añade la tarjeta de red de la VPC al servidor
Ve a la ficha del servidor que se desplegó con el entorno de Escritorio Remoto: Servidores → editar servidor → Tarjetas de Red. Pulsa para añadir una nueva tarjeta de red.
En el asistente, selecciona la red VPC (TIER) que quieres conectar y continúa. Si solo hay una red disponible, basta con continuar; si hay varias, elige la correcta antes de seguir.
Al terminar, el servidor tiene dos interfaces: la de la red Estándar (INT) como predeterminada, y la nueva de la red VPC (TIER).
La ruta por defecto sigue saliendo por la red EstándarEl servidor mantiene su salida por defecto a través del gateway de la red Estándar. Para que alcance la red de la oficina por el túnel, tienes que añadir una ruta estática que vaya por el gateway de la red VPC. Es el Paso 2.
Paso 2. Añade la ruta estática hacia la red de la oficina
Conéctate al servidor (por RDP, consola web, etc.), abre el CMD como administrador y añade una ruta permanente que dirija el tráfico de la red remota por el gateway de la VPC:
route -p add <RED_OFICINA> mask <MASCARA> <GATEWAY_VPC> METRIC 1Por ejemplo, para alcanzar la red de oficina 192.0.2.0/16 a través del gateway de la VPC 10.0.0.254:
route -p add 192.0.2.0 mask 255.255.0.0 10.0.0.254 METRIC 1
Una ruta por cada red remotaSi el túnel da acceso a varias redes remotas, añade una ruta estática por cada una. La opción
-pla hace permanente, así que sobrevive a los reinicios del servidor.
Conclusión
Conectar el Escritorio Remoto por VPN site-to-site, una vez existe el túnel, son dos gestos: dar al servidor una pata en la red VPC con una nueva tarjeta de red, y decirle por dónde llegar a la oficina con una ruta estática permanente hacia el gateway de la VPC.
Con eso, el entorno alcanza la red del cliente por el túnel cifrado, sin exponer el servicio a internet. Recuerda añadir una ruta por cada red remota a la que deba llegar.
Siguientes pasos
- Refuerza el acceso administrativo evitando puertos abiertos en Cómo configurar los puertos de tu Escritorio Remoto .
- Repasa los tipos de red y la VPN en Redes del servidor.
- Para acceso de usuarios remotos, monta una VPN de acceso remoto.