[Solucionado] VPN L2TP + IPSEC + Autenticacion por radius [pfSense 2.3]



  • Estimados amigos de la comunidad:

    Actualmente tengo una VPN por PPTP en windows server, y debido a que implemente pfSense, me gustaria aprovecharlo tambien como servidor VPN. Lamentablemente me encontré con que en la version 2.3 no hay mas PPTP. Por lo cual decidí armarla con L2TP ya que OpenVPN me obliga a instalar un cliente en las maquinas que se van a conectar y se torna engorroso para el usuario.

    Mi consulta, es si alguno de ustedes implemento L2TP, con autenticacion por radius, que valide contra active directory (especificamente un grupo "VPN USUARIOS") para saber si el usuario tiene permiso o no de conectar a la VPN.

    Agradeceria cualquier tipo de informacion y/o experiencia al respecto.

    Saludos a la comunidad.



  • Bueno ,pareceria ser que nadie configuro aun una vpn de esta forma, pero quizá me puedan ayudar con este error que estoy teniendo. Intente conectar desde otro lugar fisico a la vpn que implemente como comente arriba, pero me rechazaba la conexion diciendo error de login o no estoy autorizado (es raro, porque la probe localmente saliendo por otro isp y funciona), pero hoy me aparece la siguiente alerta en pfsense:

    There were error(s) loading the rules: /tmp/rules.debug:58: could not parse host specification - The line in question reads [58]: no nat on l2tp proto tcp from l2tp to 10.0.0.20 port 80 @ 2016-06-07 21:31:14

    No se porque asocia l2tp con un nat que tengo en la ip 10.0.0.20 que es un webserver con virtual ip configurada en pfsense.

    Viendo los logs, me encontre con esto :

    [2.3.1-RELEASE][admin@fw-01]/root: grep -ni l2tp /tmp/rules.d                  ebug
    11:L2TP = "{ l2tp }"
    55:rdr on { re1 l2tp } proto tcp from any to 181.15.2xx.xxx port 80 -> 10.0.0.20
    58:no nat on l2tp proto tcp from l2tp to 10.0.0.20 port 80
    59:nat on l2tp proto tcp from 10.0.0.0/24 to 10.0.0.20 port 80 -> 10.0.0.99 port                    1024:65535
    63:rdr on { re1 l2tp } proto tcp from any to 201.216.2xx.xxx port 80 -> 10.0.0.2
    66:no nat on l2tp proto tcp from l2tp to 10.0.0.2 port 80
    67:nat on l2tp proto tcp from 10.0.0.0/24 to 10.0.0.2 port 80 -> 10.0.0.99 port                    1024:65535
    148:pass  in  quick  on $L2TP inet from any to any tracker 1465324462 keep state                    label "USER_RULE"

    Alguna idea? desde ya agradezco cualquier tipo de colaboracion, cuando lo tenga funcional, subire una guia de como armarlo.

    Saludos !



  • Buen día amigo

    No se peude configurar L2TP solo, puesto que por si mismo no provee encripción, debes configurarlo en  compañía de IPSec, ya me he matado la cabeza mucho con eso y no he podido, ya que los clientes windows no se conectan, ahora estoy probando con VPN ipsec con ikev2, logro que se conecten pero no hay tráfico y están las reglas de firewall

    https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2  miralo pero con radius



  • Alex, gracias por tu respuesta. En pfsense 2.3 no veo opcion de "ikev2", la idea es que los clientes que vayan a conectar no tengan que colocar un certificado. Tenes algo de documentacion sobre como configurar ipsec con l2tp ?

    Muchas gracias!



  • Buen día

    Yo ya he intentado todo con ipsec + l2tp, pero en el mismo https://doc.pfsense.org/index.php/L2TP/IPsec, dicen que clientes windows presentan problemas, y sugieren utilizar Ikev2, pero ten en cuenta una cosa, si usas IPSec/l2tp, la fase 2 del tunel debe ser en modo transporte, provee conectividad extremo, pero es más inseguro, aunque con L2TP se ayuda bastante, pero es más seguro el modo tunel, puesto que protege los paquetes ya sea con ESP o con AH, teniendo eso en cuenta, como dije anteriormente, no pude hacer funcionar l2tp, entonces IKEV2 debes mirar el documento anterior, lee la configuración, pero este modo de ipsec no se combina con L2TP, y es hasta mejor.



  • Aleximper gracias, segui el tutorial pero no a rajatabla, y les cuento mi resultado:

    Probe conectar a la vpn montada con ipsec+l2tp, me asigna la ip 10.0.0.0 al conectarme, y como gateway 0.0.0.0, solo me deja hacer ping al pfsense que es la 10.0.0.1 y entrar a la administracion del mismo por el browser. Pero lo raro es que no me deja pinguear ni llegar a otros dispositivos que estan en el mismo rango de ip, y tampoco a otras subredes.

    A continuacion, les dejo imagenes de mi configuracion actual para quien desee configurar la VPN con IPSEC + L2TP, y aprovecho para consultarles si tienen idea de que me estaria faltando para poder llegar bien a toda la red.

    Las imagenes que adjunto son:

    Configuracion de VPN - > IPSEC
    Configuracion de VPN - > L2TP
    Configuracion de Firewall -> Rules -> IPSEC (interfaz)
    Configuracion de Firewall -> Rules -> L2TP (interfaz)

    Desde ya agradezco la ayuda y cuando logrue llegar a toda la red subo la configuracion completa.

    saludos a la comunidad.












  • Buen día

    IPLAN es tu WAN?, como son las reglas de firewall que tienes, o mejor dicho porfa sube la configuración completa XD.



  • IPLAN es mi WAN, dentro de las reglas que estan allí tengo permitido todo el trafico de VPN, adjunto configuracion de las reglas de la interfaz wan. Aclaro que tambien tengo permitido trafico http/https, dns, etc.




  • Buen día

    Tú conectas clientes windows?, y que versión. ya intenté pero nada, con windows 10.



  • Lo probé en windows 7 starter, y windows 10 pro, sin problemas, te paso la config del cliente adjunta. Recorda que uso autenticacion por radius. Cual es tu problema, no loguea? no conecta? que error te da?




  • Buen día

    Utilizo MSCHAPv2, en L2TP, , no conecta es windows 10



  • Encontre el problema por el cual no veia la red, es muy importante en la opcion "Remote address range " dentro de L2TP colocar bien el subneteo. Ejemplo, yo le puse que arranque de 10.0.0.128 con un /26 donde tendria unos 60 host. Por eso me asignaba ip 10.0.0.0

    Bien , por ultimo , me faltaria que los clientes no puedan navegar , con que regla puedo hacer esto? ya que no quiero que usen la conexion a internet.



  • Buen día

    En las reglas de firewall en la interfaz L2TP, puedes ajustar esa regla inicial a los destinos que necesitas. podrías postear la configuración completa, además el servidor radius está en el mismo PFSense?.

    Saludos



  • Como seria esa regla? ya que no logro armarla… solo quiero que los usuarios que se conecten por vpn tengan acceso a la lan y no tengan salida a internet (WAN).

    El servidor radius esta en el mismo que el active directory, es windows server 2008 standar.

    Gracias



  • Buen día

    la regla que tienes de L2TP, indicar que el destino, sea la LAN net, quitando el any, porque así pueden acceder a internet., aunque la podría probar en IPSec



  • Le puse como regla en la interfaz wan que deniege el trafico del source L2TP Client.

    muchas gracias.

    Lo unico que no logro encontrar (y busqué bastante), es que el la vpn asigne dominio al cliente que se conecta, ya que sino para acceder a un host tengo que poner el nombre.dominio y no funciona solo con el nombre y podria afectarme en algunas configuraciones.



  • Yo tengo configurado Radius server de windows 2012 R2 en NPS , con un pfsense y como tu lo indicas autentica mediante usuarios de un grupo de seguridad , mmm yo opte por openvpn , el cliente es completamente desatendido , el usuario le da siguiente siguiente acepto y listo