[Solucionado] VPN L2TP + IPSEC + Autenticacion por radius [pfSense 2.3]
-
IPLAN es mi WAN, dentro de las reglas que estan allí tengo permitido todo el trafico de VPN, adjunto configuracion de las reglas de la interfaz wan. Aclaro que tambien tengo permitido trafico http/https, dns, etc.
-
Buen día
Tú conectas clientes windows?, y que versión. ya intenté pero nada, con windows 10.
-
Lo probé en windows 7 starter, y windows 10 pro, sin problemas, te paso la config del cliente adjunta. Recorda que uso autenticacion por radius. Cual es tu problema, no loguea? no conecta? que error te da?
-
Buen día
Utilizo MSCHAPv2, en L2TP, , no conecta es windows 10
-
Encontre el problema por el cual no veia la red, es muy importante en la opcion "Remote address range " dentro de L2TP colocar bien el subneteo. Ejemplo, yo le puse que arranque de 10.0.0.128 con un /26 donde tendria unos 60 host. Por eso me asignaba ip 10.0.0.0
Bien , por ultimo , me faltaria que los clientes no puedan navegar , con que regla puedo hacer esto? ya que no quiero que usen la conexion a internet.
-
Buen día
En las reglas de firewall en la interfaz L2TP, puedes ajustar esa regla inicial a los destinos que necesitas. podrías postear la configuración completa, además el servidor radius está en el mismo PFSense?.
Saludos
-
Como seria esa regla? ya que no logro armarla… solo quiero que los usuarios que se conecten por vpn tengan acceso a la lan y no tengan salida a internet (WAN).
El servidor radius esta en el mismo que el active directory, es windows server 2008 standar.
Gracias
-
Buen día
la regla que tienes de L2TP, indicar que el destino, sea la LAN net, quitando el any, porque así pueden acceder a internet., aunque la podría probar en IPSec
-
Le puse como regla en la interfaz wan que deniege el trafico del source L2TP Client.
muchas gracias.
Lo unico que no logro encontrar (y busqué bastante), es que el la vpn asigne dominio al cliente que se conecta, ya que sino para acceder a un host tengo que poner el nombre.dominio y no funciona solo con el nombre y podria afectarme en algunas configuraciones.
-
Yo tengo configurado Radius server de windows 2012 R2 en NPS , con un pfsense y como tu lo indicas autentica mediante usuarios de un grupo de seguridad , mmm yo opte por openvpn , el cliente es completamente desatendido , el usuario le da siguiente siguiente acepto y listo