En la nota anterior “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 3 de 5]” ya hemos hecho la conexión entre los sitios mediante VPN utilizando PPTP
En esta nota comenzaremos cambiando PPTP con un protocolo más seguro, como es L2TP+IPSec
La utilización de IPSec tiene ventajas en cuanto a seguridad, pero tiene inconvenientes en cuanto a requisitos. Una buena implementación de IPSec requiere por lo menos la utilzación de certificados digitales lo cual en algunos casos puede complicar su implementación
Por lo tanto implementaré primero, y en esta nota, usando “Shared Secret” (Secreto Compartido) que aunque no es lo mismo tiene una fácil implementación, y recién para la siguente nota utilizaré certificados
Recuerdo la infraestructura utilizada
En la nota anterior dejamos todo funcionando correctamete sólo que el protocolo de las VPNs era PPTP, y ahora vamos a cambiarlo por L2TP+IPSec. En esta nota lo configuraremos mediante el método de “Secreto Compartido” (“Shared Secret”) que aunque no es tan seguro es sencillo de implementar, para luego en la siguiente nota hacer la autentificación mediante certificados digitales de máquina
Entonces para comenzar debemos levantar las cuatro máquinas que necesitaremos: DC1, RTR1, RTR2 y SRV
Un detalle importante a tener en cuenta, cuando apenas se levantan los Windows Server 2012 R2, es normal ver errores de servicios en la pantalla de “Server Manager”
Esto es normal hasta dejar pasar unos minutos porque algunos servicios, aunque tienen arranque automático, lo tienen demorado (“Delayed Start”), y entre ellos está justamente el que necesitamos para comenzar con nuestra tarea
Esto podemos confirmarlo inclusive en la consola de servicios, en las propiedades del mismo
Podemos esperar, o arrancarlo directamente
Y luego refrescando “Server Manager” ya desaparecerán los errores de servicios
Antes de comenzar con los cambios verifiquemos que tenemos conectividad entre SRV y DC1, ya que de esa forma verificamos que las VPNs funcionan adecuadamente
Debemos ejecutar los siguientes cambios tanto en RTR1, como en RTR2, sólo mostraré RTR1, pero recuerden efectuarlo también en RTR2
En la consola “Routing and Remote Access” ingresamos a las propiedades de la interfaz VPN y en la ficha “Security” cambiamos el tipo de túnel a “Layer 2 Tunneling Protocol with IPsec (L2TP/IPsec)”; luego ingresamos con el botón “Advanced Settings”, seleccionamos “Use preshared key for authentication”, e ingresamos el “Secreto Compartido”, debemos usar el mismo en todos los servidores VPN que participen
Aclaración: no usen algo tan simple como el que muestro, en un ambiente real
Luego del cambio reiniciamos el servicio RRAS
Luego de hacer lo anterior, en ambos servidores, probemos si conecta
Este mensaje de error realmente desconcierta ¿de qué modem me está hablando?
Independientemente de este error “loco”, el tema es que falta aún otra configuración para que funcione 😉
En las propiedades del servidor, hacerlo en ambos, debemos ingresar a la ficha “Security”, marcar la opción “Allow custom IPsec policy for L2TP/IKEv2 connection” y volver a introducir el “Secreto compartido”
Avisa que debemos reiniciar el servicio
Y lo reiniciamos
Ahora si, ya se conecta con L2TP+IPSec
Y podemos verficar la conectividad entre SRV y DC1
Buen momento para apagar las máquinas y sacar un “Snapshot”, tanto de RTR1 como de RTR2
En esta nota llegamos hasta acá, dejamos todo funcionando adecuadamente con L2TP+IPSec con “Shared Secret”. Continuaremos en la próxima “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 5 de 5]” haciendo los cambios para que la autentificación se haga mediante certificados digitales de máquina
