none
Servidor VPN l2tp/ipsec con certificado en un server 2016

    Pregunta

  • Buenas a todos,

    He configurado un servidor 2016 con el rol de remote access más enrutamiento. El servidor está unido a un dominio por lo cual los usuarios del dominio pueden autenticarse desde el esxterior

    Tengo el certificado como máquina local y es el que uso para que se conecten los clientes.

    Configuro RRAS y creo la política en NPS para que se conecten solo un grupo de usuarios del dominio y solo las peticiones que vengan con el protocolo l2tp.

    Pruebo con Android, Ios, MacOS y funciona correctamente, cuando pruebo con windows 10 todo son problemas. El último es un error 789 "Error en el intento de conexión L2TP porque el nivel de seguridad encontró un error de proceso durante las negociaciones iniciales con el equipo remoto" . 

    Leo muchos post de que se debe modificar en el windows 10 cliente el registro del sistema para que funcione.

    Alguien puede decirme porque puede estar pasando esto?

    Muchas Gracias

    Un Saludo


    David

    miércoles, 7 de marzo de 2018 16:36

Respuestas

Todas las respuestas

  • Hola David, el uso de L2TP+IPSec no es fácil de configurar, hay múltiples lugares donde una configuración puede hacer que no se llegue a conectar

    Desde los protocolos de autenticación y autorización de IPSec, como del acceso a certificados

    Recuerda que para que estos últimos sean tomados como válidos, el cliente los debe tomar como confiables, y por lo tanto tiene que tener todos los certificados hasta la "Root CA", y además debe poder acceder a la CRL de cada CA

    Recuerdo que en XP por ejemplo, si el certificado estaba dentro de la fecha de validez y no se podía acceder a la CRL, lo tomaba como válido; pero a partir de W7 ya no es así

    Además en el cliente hay que configurar que específicamente utilice L2TP

    Y no olvidarse de todos los puertos en el cortafuegos externo

    Dejo unos enlaces que quizás te ayuden, son un poco "viejos" pero escencialmente todo sigue casi igual, es una demostración en ambiente de pruebas

    Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 1 por PPTP | WindowServer
    https://windowserver.wordpress.com/2011/07/09/demostracin-conectando-clientes-a-la-red-por-vpn-windows-server-2008-r2-y-windows-7-parte-1-pptp-2/

    Preparación de simulación de Internet para Demostraciones | WindowServer
    https://windowserver.wordpress.com/2011/10/01/preparacin-de-la-simulacin-de-internet/

    Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 2 por L2TP-IPSec, SSTP y IKEv2 | WindowServer
    https://windowserver.wordpress.com/2011/10/02/demostracin-conectando-clientes-a-la-red-por-vpn-windows-server-2008-r2-y-windows-7-parte-2-por-l2tp-ipsec-sstp-y-ikev2/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 7 de marzo de 2018 17:31
    Moderador
  • Buenas Tardes,

    Veo que si no puedo hacer que mis usuarios modifiquen el registro del sistema lo único que puedo hacer qes que mi servidor VPn tenga una salida a ip pública. Para ello he puesto el router de movistar en monopuesto.

    Creo una conexión nueva en el servidor con una conexión PPPOE y de esta forma adquiere ip pública, pero el problema es que cuando inicio de nuevo la configuración del servidor VPN no me detecta como interface la conexión de broadband donde se encuentra la ip externa.

    Como puedo hacer para que el RRAS al configurarlo me muestre como posible conexión externa la nueva conexión que he creado PPPOE?

    Muchas Gracias

    Un Saludo


    David

    jueves, 8 de marzo de 2018 16:02
  • ¿PPPoE? hace años años que no peleo con eso :)

    No creo que funcione, porque PPPoE es "PPP over Ethernet" y IP-Sec justamente no usa PPP

    Por el resto que preguntas, realmente no sé, sólo sé que cuesta bastante hacer funcionar el L2TP+IPSec justamente por el tema certificados. Si resuelve a una IP que no tiene exactamente el nombre del certificado simplemente no se conecta

    Si es por el tema certificados, siempre puedes probarlo usando "Shared secret", pero en ese caso la seguridad no se compara, sirve sólo para acotar el problema, si es por los certificados o no

    Quizás algún compañero ya tuvo un escenario similar y pueda darte más ayuda

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 8 de marzo de 2018 19:10
    Moderador