VPN mediante certificado

Primero.-
Debes entender que los procesos de Autentificación de usuario (EAP_TLS) y el
Cifrado de Datos (IPSec) no distintos y cada uno de ellos pueden tener su
variantes.

El primero utiliza Certificado de Usuario para intercambio seguro de
credenciales del usuario (no se introducide usuario y contraseña). Para que
funcione debes tener acceso a la PKI y dominio. Si no fuere el caso puedes
sustituir el modo de autentificación a MSCHAP V.2, en este caso te
solicitaria usuario y contraseña.

El segundo utiliza un Certificado de Maquina para cifrar los datos mediante
L2TP/IPSec.

Segundo.-

Para obtener dichos certificados, el PC cliente deberá pertenecer y tener
acceso a la red y dominio (podrias hacerlo en remoto). Podras solicitar,
bien desde desde el servicio Web de Certificados o bien desde la herramienta
Almacen de Certificados, un certificado de USUARIO y un certificado
MAQUINA.

Si el PC cliente no puede tener acceso al dominio para solicitar un
Certificado de MAQUINA, se podría utilizar un Certificado IPSEC (fuera
conexión).


forma parte

Además deberás comprobar que en el el Almacen de Certificados Raiz de
Confianza del PC cliente, además existe la clave pública de tu Entidad
Emisora de Certificados. De lo contrario tambien la puedes solicitar desde
el servicio Web de Certificados o bien desde la herramienta Almacen de
Ceertificados.

Tercero.-

Por el lado del Servidor VPN (supongo que sera el servicio VPN incluido en
RRAS de W2k server o w2k3), tienes que solicitar bien desde desde el
servicio Web de Certificados o bien desde la herramienta Almacen de
Certificados, un certificado de SERVIDOR WEB.

Además deberás comprobar que en el el Almacen de Certificados Raiz de
Confianza del Servidor VPN, además existe la clave pública de tu Entidad
Emisora de Certificados. De lo contrario tambien la puedes solicitar desde
el servicio Web de Certificados o bien desde la herramienta Almacen de
Ceertificados.

Cuarto.-

Si el PC cliente es w2k pro debes cargar el parche 808143 pues resulta que
este s.o no esta preparado p ara NAT-T.
Si el PC cliente es wxp tienes que introducir una clave y valor nuevo en el
registro en la rama de maquina. (no me acuerdo ahora). Busca en la web de
windows que te indica muy bien. Busca por L2TP/IPSec.

Quinto.-

Recuerda tus cortafuegos, pues L2TP/IPSec de windows utiliza

UDP 500
UDP 4500
UDP 1701

Final.-

Esto es a rasgos generales. espero te sirva.

clemente



"Chus" escribió en el mensaje
news:%

Hola grupo, tengo algunas dudas. Actualmente dispongo de un server 2000
miembro de un dominio, colgado de internet para aceptar vpn por pptp. Esto
funciona correctamente. Quiero darle seguridad al asunto así que se me ha
ocurrido instalar en un DC del dominio (un w2003 server) una entidad de
certificados. Una vez instalada cojo un usuario del active directory con
permisos para establecer la vpn y me conecto por web al server 2003 para
pedir un certificado. Una vez con el certificado, que debo hacer?

He intentado conectarme por vpn de nuevo al server pero en lugar de
utilizar username y password he ido a las propiedades de la conexion vpn,
pestaña seguridad, opcion avanzada en configuracion tarjeta inteligente u
otro certificado y en propiedades he comprobado que el server 2003 está en
la lista pero no conecta.

Debo hacer algo más? Es necesario seleccionar L2TP o habilitar IPSEC para
usar certificados?

Gracias