Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 4 de 5]

En la nota anterior “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 3 de 5]” ya hemos hecho la conexión entre los sitios mediante VPN utilizando PPTP

En esta nota comenzaremos cambiando PPTP con un protocolo más seguro, como es L2TP+IPSec

La utilización de IPSec tiene ventajas en cuanto a seguridad, pero tiene inconvenientes en cuanto a requisitos. Una buena implementación de IPSec requiere por lo menos la utilzación de certificados digitales lo cual en algunos casos puede complicar su implementación

Por lo tanto implementaré primero, y en esta nota, usando “Shared Secret” (Secreto Compartido) que aunque no es lo mismo tiene una fácil implementación, y recién para la siguente nota utilizaré certificados

Recuerdo la infraestructura utilizada

En la nota anterior dejamos todo funcionando correctamete sólo que el protocolo de las VPNs era PPTP, y ahora vamos a cambiarlo por L2TP+IPSec. En esta nota lo configuraremos mediante el método de “Secreto Compartido” (“Shared Secret”) que aunque no es tan seguro es sencillo de implementar, para luego en la siguiente nota hacer la autentificación mediante certificados digitales de máquina

Entonces para comenzar debemos levantar las cuatro máquinas que necesitaremos: DC1, RTR1, RTR2 y SRV

Un detalle importante a tener en cuenta, cuando apenas se levantan los Windows Server 2012 R2, es normal ver errores de servicios en la pantalla de “Server Manager”

Esto es normal hasta dejar pasar unos minutos porque algunos servicios, aunque tienen arranque automático, lo tienen demorado (“Delayed Start”), y entre ellos está justamente el que necesitamos para comenzar con nuestra tarea

Esto podemos confirmarlo inclusive en la consola de servicios, en las propiedades del mismo

Podemos esperar, o arrancarlo directamente

Y luego refrescando “Server Manager” ya desaparecerán los errores de servicios

Antes de comenzar con los cambios verifiquemos que tenemos conectividad entre SRV y DC1, ya que de esa forma verificamos que las VPNs funcionan adecuadamente

Debemos ejecutar los siguientes cambios tanto en RTR1, como en RTR2, sólo mostraré RTR1, pero recuerden efectuarlo también en RTR2

En la consola “Routing and Remote Access” ingresamos a las propiedades de la interfaz VPN y en la ficha “Security” cambiamos el tipo de túnel a “Layer 2 Tunneling Protocol with IPsec (L2TP/IPsec)”; luego ingresamos con el botón “Advanced Settings”, seleccionamos “Use preshared key for authentication”, e ingresamos el “Secreto Compartido”, debemos usar el mismo en todos los servidores VPN que participen
Aclaración: no usen algo tan simple como el que muestro, en un ambiente real

Luego del cambio reiniciamos el servicio RRAS

Luego de hacer lo anterior, en ambos servidores, probemos si conecta

Este mensaje de error realmente desconcierta ¿de qué modem me está hablando?

Independientemente de este error “loco”, el tema es que falta aún otra configuración para que funcione 😉

En las propiedades del servidor, hacerlo en ambos, debemos ingresar a la ficha “Security”, marcar la opción “Allow custom IPsec policy for L2TP/IKEv2 connection” y volver a introducir el “Secreto compartido”

Avisa que debemos reiniciar el servicio

Y lo reiniciamos

Ahora si, ya se conecta con L2TP+IPSec

Y podemos verficar la conectividad entre SRV y DC1

Buen momento para apagar las máquinas y sacar un “Snapshot”, tanto de RTR1 como de RTR2

 

En esta nota llegamos hasta acá, dejamos todo funcionando adecuadamente con L2TP+IPSec con “Shared Secret”. Continuaremos en la próxima “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 5 de 5]” haciendo los cambios para que la autentificación se haga mediante certificados digitales de máquina

Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *