En la nota anterior “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 3 de 5]” ya hemos hecho la conexión entre los sitios mediante VPN utilizando PPTP
En esta nota comenzaremos cambiando PPTP con un protocolo más seguro, como es L2TP+IPSec
La utilización de IPSec tiene ventajas en cuanto a seguridad, pero tiene inconvenientes en cuanto a requisitos. Una buena implementación de IPSec requiere por lo menos la utilzación de certificados digitales lo cual en algunos casos puede complicar su implementación
Por lo tanto implementaré primero, y en esta nota, usando “Shared Secret” (Secreto Compartido) que aunque no es lo mismo tiene una fácil implementación, y recién para la siguente nota utilizaré certificados
Recuerdo la infraestructura utilizada
En la nota anterior dejamos todo funcionando correctamete sólo que el protocolo de las VPNs era PPTP, y ahora vamos a cambiarlo por L2TP+IPSec. En esta nota lo configuraremos mediante el método de “Secreto Compartido” (“Shared Secret”) que aunque no es tan seguro es sencillo de implementar, para luego en la siguiente nota hacer la autentificación mediante certificados digitales de máquina
Entonces para comenzar debemos levantar las cuatro máquinas que necesitaremos: DC1, RTR1, RTR2 y SRV
Un detalle importante a tener en cuenta, cuando apenas se levantan los Windows Server 2012 R2, es normal ver errores de servicios en la pantalla de “Server Manager”
Esto es normal hasta dejar pasar unos minutos porque algunos servicios, aunque tienen arranque automático, lo tienen demorado (“Delayed Start”), y entre ellos está justamente el que necesitamos para comenzar con nuestra tarea
Esto podemos confirmarlo inclusive en la consola de servicios, en las propiedades del mismo
Podemos esperar, o arrancarlo directamente
Y luego refrescando “Server Manager” ya desaparecerán los errores de servicios
Antes de comenzar con los cambios verifiquemos que tenemos conectividad entre SRV y DC1, ya que de esa forma verificamos que las VPNs funcionan adecuadamente
Debemos ejecutar los siguientes cambios tanto en RTR1, como en RTR2, sólo mostraré RTR1, pero recuerden efectuarlo también en RTR2
En la consola “Routing and Remote Access” ingresamos a las propiedades de la interfaz VPN y en la ficha “Security” cambiamos el tipo de túnel a “Layer 2 Tunneling Protocol with IPsec (L2TP/IPsec)”; luego ingresamos con el botón “Advanced Settings”, seleccionamos “Use preshared key for authentication”, e ingresamos el “Secreto Compartido”, debemos usar el mismo en todos los servidores VPN que participen
Aclaración: no usen algo tan simple como el que muestro, en un ambiente real
Luego del cambio reiniciamos el servicio RRAS
Luego de hacer lo anterior, en ambos servidores, probemos si conecta
Este mensaje de error realmente desconcierta ¿de qué modem me está hablando?
Independientemente de este error “loco”, el tema es que falta aún otra configuración para que funcione ;)
En las propiedades del servidor, hacerlo en ambos, debemos ingresar a la ficha “Security”, marcar la opción “Allow custom IPsec policy for L2TP/IKEv2 connection” y volver a introducir el “Secreto compartido”
Avisa que debemos reiniciar el servicio
Y lo reiniciamos
Ahora si, ya se conecta con L2TP+IPSec
Y podemos verficar la conectividad entre SRV y DC1
Buen momento para apagar las máquinas y sacar un “Snapshot”, tanto de RTR1 como de RTR2
En esta nota llegamos hasta acá, dejamos todo funcionando adecuadamente con L2TP+IPSec con “Shared Secret”. Continuaremos en la próxima “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 5 de 5]” haciendo los cambios para que la autentificación se haga mediante certificados digitales de máquina
WindowServer 
Comentarios
Ante todo agradecerte por tu respuesta y comentarte que es un gran trabajo el que realizas en tu blog.
Mira monte el ambiente de prueba de tu ejemplo con IPSec incluso trabaje con 2 sitios cada uno con su controlador de dominio y su respectiva replicacion asi como también con sus respectivos clientes en ambos controladores y todo anduvo perfecto, cabe mencionar que toda la infraestructura la monte con Server 2012R2 y tuve comunicación entre todos los equipos de la red. (incluyendo los servidores VPN)
Pero cuando la monte con Server 2008R2 todo anduvo bien pero hay un unico detalle que los servidores VPN no se comunican (ya habilite el ICMPv4 en los 2 servidores VPN) el resto de la red no hay problema. A que se debera esto no se si me podrias ayudar.
Una pregunta adicional ¿Podre Instalar un servidor FOREFRONT TMG en los mismos servidores VPN o es recomendable hacerlo en servidores independientes muchas gracias por las respuestas.
Hola Fernando ¡Gracias por tu comentario! :)
No debería haber diferencias entre W2012R2 y W2008. Revisa en los filtros de entrada y salida sobre la interfaz de red externa, en ambos servidores, ya que por omisión quedan permitidos únicamente los protocolos de VVPN (todos)
Hay algo que no termino de comprender de la pregunta así que pregunto ¿los equipos de ambas redes se conectan entre ellas? trato de acotar el problema, si es sólo los servidores VPN o hay algo más
Si en mi caso hay 2 controladores de dominio con sus respectivos clientes ( claro que cada servidor en redes distintas) y las direcciones se les asignan a los clientes es por medio de DHCP y todas tienen salida a internet ( habilite enrutamiento en los servidores VPN y habilite la puerta de enlace en los servidores DHCP que a la ves son DC)). Hay comunicacion entre los clientes de cada DC, también entre los mismos DC, incluso los DC hacen ping a los servidores VPN, pero los servidores VPN no pueden hacer ping entre ellos ni con ningun equipo de la otra red.
Cabe mencionar que aparte del ping para comprobar la comunicación en la red también probé el acceso remoto, carpetas compartidas ( entre redes distintas claro esta) incluso hice los sitios y replicación de los mismos entre DC. Todo esto solo pasa cuando la implementación es con Win2k8R2. Con el Win2k12R2 TODO FUNCIONA PERFECTO.
Un Favor otra pequeña ayuda no olvides de comentarme si es recomendable instalar un servidor Forefront TMG en el mismo servidor VPN gracias. Ojo que aun no lo e implementado en ningún lado.
Hola Fernando, no comprendo bien :)
Confirmame si lo que escribo es correcto: todo funciona correctamente, sólo que no puedes hacer PING entre los dos servidores VPN
¿Es así? es lo que interpreto, y a eso respondo
Si hay conectividad entre ambas redes, entonces no te preocupes ya que eso prueba que hay conectividad entre los dos VPNs
El tema de PING entre los dos VPNs está en cuál dirección estás usando, porque tiene tres: interna, externa y VPN
Por omisión el sistema configura filtrado estático de IPs. En Enrutamiento y Acceso Remoto, IPv4, General, propiedades de cada interfaz, tienes dos botones «Inbound Filters» y «Outbound Filters», revísalos
De todas formas, ten en cuenta que no es conveniente que la interfaz externa permita PING o cualquier otro protocolo/servicio que no sea el necesario
Trato de hacer PING de red interna a red interna entre servidores VPN, bueno hasta ahora no logro que funcione, pero solo sucede cuando los 2 servidores VPN tiene instalado server 2008 R2, con el server 2012R2 en los 2 VPN todo normal y si hay comunicacion.
Hola Fernando, muy raro porque que yo sepa en esa parte no hay cambios entre W2012R2 y W2008R2, sólo puedo decirte que revises bien cada cosa
¿Lo tienes permitido en el cortafuegos ICMP? porque por omisión no lo admite
Trackbacks
[…] la próxima nota “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 4 …]” haremos los cambios necesarios para pasar de PPTP a L2TP pero sólo con “Shared Secret” […]
[…] Cambios de configuración para “L2TP+IPSec con Shared Secret” […]