Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 4 de 5]

En la nota anterior “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 3 de 5]” ya hemos hecho la conexión entre los sitios mediante VPN utilizando PPTP

En esta nota comenzaremos cambiando PPTP con un protocolo más seguro, como es L2TP+IPSec

La utilización de IPSec tiene ventajas en cuanto a seguridad, pero tiene inconvenientes en cuanto a requisitos. Una buena implementación de IPSec requiere por lo menos la utilzación de certificados digitales lo cual en algunos casos puede complicar su implementación

Por lo tanto implementaré primero, y en esta nota, usando “Shared Secret” (Secreto Compartido) que aunque no es lo mismo tiene una fácil implementación, y recién para la siguente nota utilizaré certificados

Recuerdo la infraestructura utilizada

En la nota anterior dejamos todo funcionando correctamete sólo que el protocolo de las VPNs era PPTP, y ahora vamos a cambiarlo por L2TP+IPSec. En esta nota lo configuraremos mediante el método de “Secreto Compartido” (“Shared Secret”) que aunque no es tan seguro es sencillo de implementar, para luego en la siguiente nota hacer la autentificación mediante certificados digitales de máquina

Entonces para comenzar debemos levantar las cuatro máquinas que necesitaremos: DC1, RTR1, RTR2 y SRV

Un detalle importante a tener en cuenta, cuando apenas se levantan los Windows Server 2012 R2, es normal ver errores de servicios en la pantalla de “Server Manager”

Esto es normal hasta dejar pasar unos minutos porque algunos servicios, aunque tienen arranque automático, lo tienen demorado (“Delayed Start”), y entre ellos está justamente el que necesitamos para comenzar con nuestra tarea

Esto podemos confirmarlo inclusive en la consola de servicios, en las propiedades del mismo

Podemos esperar, o arrancarlo directamente

Y luego refrescando “Server Manager” ya desaparecerán los errores de servicios

Antes de comenzar con los cambios verifiquemos que tenemos conectividad entre SRV y DC1, ya que de esa forma verificamos que las VPNs funcionan adecuadamente

Debemos ejecutar los siguientes cambios tanto en RTR1, como en RTR2, sólo mostraré RTR1, pero recuerden efectuarlo también en RTR2

En la consola “Routing and Remote Access” ingresamos a las propiedades de la interfaz VPN y en la ficha “Security” cambiamos el tipo de túnel a “Layer 2 Tunneling Protocol with IPsec (L2TP/IPsec)”; luego ingresamos con el botón “Advanced Settings”, seleccionamos “Use preshared key for authentication”, e ingresamos el “Secreto Compartido”, debemos usar el mismo en todos los servidores VPN que participen
Aclaración: no usen algo tan simple como el que muestro, en un ambiente real

Luego del cambio reiniciamos el servicio RRAS

Luego de hacer lo anterior, en ambos servidores, probemos si conecta

Este mensaje de error realmente desconcierta ¿de qué modem me está hablando?

Independientemente de este error “loco”, el tema es que falta aún otra configuración para que funcione ;)

En las propiedades del servidor, hacerlo en ambos, debemos ingresar a la ficha “Security”, marcar la opción “Allow custom IPsec policy for L2TP/IKEv2 connection” y volver a introducir el “Secreto compartido”

Avisa que debemos reiniciar el servicio

Y lo reiniciamos

Ahora si, ya se conecta con L2TP+IPSec

Y podemos verficar la conectividad entre SRV y DC1

Buen momento para apagar las máquinas y sacar un “Snapshot”, tanto de RTR1 como de RTR2

 

En esta nota llegamos hasta acá, dejamos todo funcionando adecuadamente con L2TP+IPSec con “Shared Secret”. Continuaremos en la próxima “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 5 de 5]” haciendo los cambios para que la autentificación se haga mediante certificados digitales de máquina

 

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Fernando  On 10/09/2016 at 12:31

    Ante todo agradecerte por tu respuesta y comentarte que es un gran trabajo el que realizas en tu blog.
    Mira monte el ambiente de prueba de tu ejemplo con IPSec incluso trabaje con 2 sitios cada uno con su controlador de dominio y su respectiva replicacion asi como también con sus respectivos clientes en ambos controladores y todo anduvo perfecto, cabe mencionar que toda la infraestructura la monte con Server 2012R2 y tuve comunicación entre todos los equipos de la red. (incluyendo los servidores VPN)
    Pero cuando la monte con Server 2008R2 todo anduvo bien pero hay un unico detalle que los servidores VPN no se comunican (ya habilite el ICMPv4 en los 2 servidores VPN) el resto de la red no hay problema. A que se debera esto no se si me podrias ayudar.
    Una pregunta adicional ¿Podre Instalar un servidor FOREFRONT TMG en los mismos servidores VPN o es recomendable hacerlo en servidores independientes muchas gracias por las respuestas.

    • Guillermo Delprato  On 12/09/2016 at 07:44

      Hola Fernando ¡Gracias por tu comentario! :)
      No debería haber diferencias entre W2012R2 y W2008. Revisa en los filtros de entrada y salida sobre la interfaz de red externa, en ambos servidores, ya que por omisión quedan permitidos únicamente los protocolos de VVPN (todos)
      Hay algo que no termino de comprender de la pregunta así que pregunto ¿los equipos de ambas redes se conectan entre ellas? trato de acotar el problema, si es sólo los servidores VPN o hay algo más

      • Fernando  On 13/09/2016 at 13:59

        Si en mi caso hay 2 controladores de dominio con sus respectivos clientes ( claro que cada servidor en redes distintas) y las direcciones se les asignan a los clientes es por medio de DHCP y todas tienen salida a internet ( habilite enrutamiento en los servidores VPN y habilite la puerta de enlace en los servidores DHCP que a la ves son DC)). Hay comunicacion entre los clientes de cada DC, también entre los mismos DC, incluso los DC hacen ping a los servidores VPN, pero los servidores VPN no pueden hacer ping entre ellos ni con ningun equipo de la otra red.
        Cabe mencionar que aparte del ping para comprobar la comunicación en la red también probé el acceso remoto, carpetas compartidas ( entre redes distintas claro esta) incluso hice los sitios y replicación de los mismos entre DC. Todo esto solo pasa cuando la implementación es con Win2k8R2. Con el Win2k12R2 TODO FUNCIONA PERFECTO.
        Un Favor otra pequeña ayuda no olvides de comentarme si es recomendable instalar un servidor Forefront TMG en el mismo servidor VPN gracias. Ojo que aun no lo e implementado en ningún lado.

      • Guillermo Delprato  On 13/09/2016 at 17:27

        Hola Fernando, no comprendo bien :)
        Confirmame si lo que escribo es correcto: todo funciona correctamente, sólo que no puedes hacer PING entre los dos servidores VPN
        ¿Es así? es lo que interpreto, y a eso respondo
        Si hay conectividad entre ambas redes, entonces no te preocupes ya que eso prueba que hay conectividad entre los dos VPNs
        El tema de PING entre los dos VPNs está en cuál dirección estás usando, porque tiene tres: interna, externa y VPN
        Por omisión el sistema configura filtrado estático de IPs. En Enrutamiento y Acceso Remoto, IPv4, General, propiedades de cada interfaz, tienes dos botones “Inbound Filters” y “Outbound Filters”, revísalos
        De todas formas, ten en cuenta que no es conveniente que la interfaz externa permita PING o cualquier otro protocolo/servicio que no sea el necesario

      • Fernando  On 16/09/2016 at 16:57

        Trato de hacer PING de red interna a red interna entre servidores VPN, bueno hasta ahora no logro que funcione, pero solo sucede cuando los 2 servidores VPN tiene instalado server 2008 R2, con el server 2012R2 en los 2 VPN todo normal y si hay comunicacion.

      • Guillermo Delprato  On 16/09/2016 at 18:06

        Hola Fernando, muy raro porque que yo sepa en esa parte no hay cambios entre W2012R2 y W2008R2, sólo puedo decirte que revises bien cada cosa
        ¿Lo tienes permitido en el cortafuegos ICMP? porque por omisión no lo admite

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: