[Solucionado] VPN L2TP + IPSEC + Autenticacion por radius [pfSense 2.3]
-
Aleximper gracias, segui el tutorial pero no a rajatabla, y les cuento mi resultado:
Probe conectar a la vpn montada con ipsec+l2tp, me asigna la ip 10.0.0.0 al conectarme, y como gateway 0.0.0.0, solo me deja hacer ping al pfsense que es la 10.0.0.1 y entrar a la administracion del mismo por el browser. Pero lo raro es que no me deja pinguear ni llegar a otros dispositivos que estan en el mismo rango de ip, y tampoco a otras subredes.
A continuacion, les dejo imagenes de mi configuracion actual para quien desee configurar la VPN con IPSEC + L2TP, y aprovecho para consultarles si tienen idea de que me estaria faltando para poder llegar bien a toda la red.
Las imagenes que adjunto son:
Configuracion de VPN - > IPSEC
Configuracion de VPN - > L2TP
Configuracion de Firewall -> Rules -> IPSEC (interfaz)
Configuracion de Firewall -> Rules -> L2TP (interfaz)Desde ya agradezco la ayuda y cuando logrue llegar a toda la red subo la configuracion completa.
saludos a la comunidad.
-
Buen día
IPLAN es tu WAN?, como son las reglas de firewall que tienes, o mejor dicho porfa sube la configuración completa XD.
-
IPLAN es mi WAN, dentro de las reglas que estan allí tengo permitido todo el trafico de VPN, adjunto configuracion de las reglas de la interfaz wan. Aclaro que tambien tengo permitido trafico http/https, dns, etc.
-
Buen día
Tú conectas clientes windows?, y que versión. ya intenté pero nada, con windows 10.
-
Lo probé en windows 7 starter, y windows 10 pro, sin problemas, te paso la config del cliente adjunta. Recorda que uso autenticacion por radius. Cual es tu problema, no loguea? no conecta? que error te da?
-
Buen día
Utilizo MSCHAPv2, en L2TP, , no conecta es windows 10
-
Encontre el problema por el cual no veia la red, es muy importante en la opcion "Remote address range " dentro de L2TP colocar bien el subneteo. Ejemplo, yo le puse que arranque de 10.0.0.128 con un /26 donde tendria unos 60 host. Por eso me asignaba ip 10.0.0.0
Bien , por ultimo , me faltaria que los clientes no puedan navegar , con que regla puedo hacer esto? ya que no quiero que usen la conexion a internet.
-
Buen día
En las reglas de firewall en la interfaz L2TP, puedes ajustar esa regla inicial a los destinos que necesitas. podrías postear la configuración completa, además el servidor radius está en el mismo PFSense?.
Saludos
-
Como seria esa regla? ya que no logro armarla… solo quiero que los usuarios que se conecten por vpn tengan acceso a la lan y no tengan salida a internet (WAN).
El servidor radius esta en el mismo que el active directory, es windows server 2008 standar.
Gracias
-
Buen día
la regla que tienes de L2TP, indicar que el destino, sea la LAN net, quitando el any, porque así pueden acceder a internet., aunque la podría probar en IPSec
-
Le puse como regla en la interfaz wan que deniege el trafico del source L2TP Client.
muchas gracias.
Lo unico que no logro encontrar (y busqué bastante), es que el la vpn asigne dominio al cliente que se conecta, ya que sino para acceder a un host tengo que poner el nombre.dominio y no funciona solo con el nombre y podria afectarme en algunas configuraciones.
-
Yo tengo configurado Radius server de windows 2012 R2 en NPS , con un pfsense y como tu lo indicas autentica mediante usuarios de un grupo de seguridad , mmm yo opte por openvpn , el cliente es completamente desatendido , el usuario le da siguiente siguiente acepto y listo