- \n
- Enable L2TP Server: Habilitado<\/li>\n<\/ul>\n<\/li>\n
- Configuration\n
- \n
- Interface: WAN<\/li>\n
- Server Address: 192.168.100.1; debemos poner una subred que no est\u00e9 en uso, y que sirva \u00fanicamente para usarla como gateway de los clientes<\/li>\n
- Remote Address Range: 192.168.100.128\/25; damos una subred local a los clientes que se conecten.<\/li>\n
- Number of L2TP Users: 10, esto se puede configurar a gusto del usuario.<\/li>\n
- Secret: 1234clavel2tp; podemos poner una contrase\u00f1a de paso, es recomendable ponerla, aunque algunos clientes no lo requieren. Depende de la configuraci\u00f3n.<\/li>\n
- Authentication Type: CHAP<\/li>\n
- Primary\/Secondary L2TP DNS Server: podemos poner un servidor DNS para los clientes<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro.png\")
<\/p>\nUna vez que lo hayamos configurado y pinchado en \u00abGuardar\u00bb, nos vamos a la secci\u00f3n de \u00abUsers\u00bb y creamos un usuario y contrase\u00f1a para acceder. Aqu\u00ed es donde tendremos que dar de alta todos los usuarios del servidor VPN al que se van a conectar, la parte de direcci\u00f3n IP la podemos dejar en blanco sin configurar, para que el servidor asigne la IP de forma din\u00e1mica.<\/p>\n
Una vez configurado el servidor L2TP, ya podremos configurar el protocolo IPsec.<\/p>\n
Configuraci\u00f3n del protocolo IPsec<\/h2>\n
Para configurar el protocolo IPsec junto con el protocolo L2TP, tendremos que realizar un total de tres acciones. La primera de ellas es habilitar los \u00abMobile Clients\u00bb, es decir, la VPN de acceso remoto. La segunda es habilitar la fase 1 de IPsec, y a continuaci\u00f3n, configurar la fase 2 de IPsec.<\/p>\n
Configurar el \u00abMobile Clients\u00bb<\/h3>\n
Esta es una de las partes m\u00e1s importantes, porque si nos vamos a la secci\u00f3n de \u00abTunnels\u00bb creamos un t\u00fanel VPN Site-to-Site, y lo que queremos hacer con IPsec es configurar una VPN de acceso remoto para que se conecten los diferentes clientes.<\/p>\n
En este men\u00fa habilitamos \u00abEnable IPsec Mobile Client Support\u00bb y elegimos \u00abLocal Database\u00bb aunque lo la usaremos porque eso es para autenticaci\u00f3n xAuth. Pinchamos en guardar.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro-1.png\")
<\/p>\nEn cuanto pinchemos en \u00abGuardar\u00bb, tambi\u00e9n tendremos que pinchar en \u00abApply Changues\u00bb, a continuaci\u00f3n, pulsamos sobre el bot\u00f3n verde que indica \u00abCreate Phase1\u00bb.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro-2.png\")
<\/p>\nConfigurar la fase 1 de IPsec<\/h3>\n
En este men\u00fa tendremos que configurar el protocolo IPsec correctamente para usarlo con L2TP, no todas las configuraciones funcionar\u00e1n, adem\u00e1s, dependiendo del cliente VPN usado (Android, iOS, Windows\u2026) la configuraci\u00f3n de seguridad puede cambiar, ya que no todos los sistemas operativos soportan los mejores cifrados de VPN. Por defecto, veremos el siguiente men\u00fa donde nos ha seleccionado IKEv2, el cual no es compatible con el protocolo L2TP\/IPsec que queremos configurar.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro-3.png\")
<\/p>\nLas opciones que debemos configurar para que funcione correctamente son las siguientes:<\/p>\n
- \n
- General Information\n
- \n
- Key Exchange version: IKEv1, si seleccionamos cualquier otro no funcionar\u00e1.<\/li>\n
- Internet Protocol: IPv4 o IPv6<\/li>\n
- Interface: WAN de Internet<\/li>\n
- Description: ponemos una descripci\u00f3n.<\/li>\n<\/ul>\n<\/li>\n
- Phase 1 Proposal (Authentication)\n
- \n
- Authentication Method: Mutual PSK<\/li>\n
- Negotiation Mode: Aggresive; si seleccionamos \u00abMain\u00bb es m\u00e1s seguro, pero es menos flexible, y podr\u00edamos impedir que el cliente VPN se conecte correctamente. M\u00e1s adelante si todo funciona con \u00abAggresive\u00bb podremos probar si con \u00abMain\u00bb funciona tambi\u00e9n.<\/li>\n
- My identifier: User distinguished name \u2013 redeszone@redeszone.net o el que vosotros quer\u00e1is.<\/li>\n<\/ul>\n<\/li>\n
- Phase 1 Proposal (Encryption)\n
- \n
- Encryption Algorithm: AES de 128 bits, SHA1, DH Group 2 (1024 bits).<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
pfSense soporta cifrados m\u00e1s fuertes que este que hemos configurado, pero el problema son los clientes VPN que se van a conectar, que no soportan mayor seguridad. Para configurarlo con la mejor seguridad, podemos ir probando en base a las \u00abpropuestas recibidas\u00bb de IPsec que recibamos del cliente, de esta forma, elegiremos la m\u00e1s segura de todas.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro-4.png\")
<\/p>\nEl resto de opciones de configuraci\u00f3n las podemos dejar como est\u00e1n, con las opciones predeterminadas.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro-5.png\")
<\/p>\nUna vez terminado, pinchamos en \u00abSave\u00bb, y ahora nos llevar\u00e1 al men\u00fa principal donde tenemos todos los t\u00faneles VPN con IPsec, deberemos pinchar en el \u00fanico creado y en \u00abShow Phase 2 Entries\u00bb y posteriormente en \u00abCreate Phase 2\u00bb para continuar.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro-6.png\")
<\/p>\nConfigurar la fase 2 de IPsec<\/h3>\n
En este men\u00fa de configuraci\u00f3n deberemos poner lo siguiente:<\/p>\n
- \n
- General Information\n
- \n
- Mode: transport<\/li>\n
- Description: una descripci\u00f3n que nosotros queramos.<\/li>\n<\/ul>\n<\/li>\n
- Phase 2 Proposal (SA \/ Key Exchange)\n
- \n
- Protocol: ESP<\/li>\n
- Encryption Algoritms: AES de 128 bits<\/li>\n
- Hash algorithms: seleccionamos SHA-1 y SHA-256<\/li>\n
- PFS Key group: off, no lo soporta el protocolo.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro-7.png\")
<\/p>\nEl resto de opciones de configuraci\u00f3n las podemos dejar por defecto.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro-8.png\")
<\/p>\nEn el men\u00fa principal de \u00abIPsec \/ Tunnels\u00bb podremos ver un resumen de todo lo que hemos configurado.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro-9.png\")
<\/p>\nAhora nos tendremos que ir a la secci\u00f3n \u00abIPsec \/ Pre-Shared Keys\u00bb y agregar un nuevo identificador.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro-10.png\")
<\/p>\nEste nuevo identificador debe ser:<\/p>\n
- \n
- Identifier: allusers (debe ser as\u00ed, sin may\u00fasculas y sin ning\u00fan otro nombre)<\/li>\n
- Secret Type: PSK<\/li>\n
- Pre-Shared Key: la contrase\u00f1a que nosotros queramos, es compartida con todos los usuarios que se vayan a conectar.<\/li>\n<\/ul>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro-11.png\")
<\/p>\nUna vez hecho esto, ya tendremos el servidor L2TP\/IPsec listo para aceptar conexiones, pero antes, debemos crear las correspondientes reglas en el firewall.<\/p>\n
Abrir puertos en el firewall de pfSense<\/h2>\n
Tendremos que crear una regla en la secci\u00f3n \u00abFirewall \/ Rules \/ WAN\u00bb con la siguiente informaci\u00f3n:<\/p>\n
- \n
- Action: Pass<\/li>\n
- Interface: WAN<\/li>\n
- Address Family: IPv4<\/li>\n
- Protocol: UDP<\/li>\n
- Source: any<\/li>\n
- Destination: WAN Address en el puerto 1701 que es el de L2TP.<\/li>\n<\/ul>\n
Guardamos y aplicamos cambios, asegur\u00e1ndonos de que esta regla se va a cumplir.<\/p>\n
\n\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro-12.png\")
<\/div>\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro-13.png\")
<\/div>\n<\/div>\n<\/span><\/span><\/div>\n
Cuando creamos un servidor VPN de tipo L2TP\/IPsec, tendremos dos pesta\u00f1as adicionales en \u00abFirewall \/ Rules\u00bb, aqu\u00ed podremos permitir o denegar el tr\u00e1fico a ciertas subredes, definir diferentes reglas avanzadas etc. Para una primera conexi\u00f3n y evitar posibles fallos de configuraci\u00f3n a nivel del firewall, os recomendamos crear una regla de \u00abpass any any any\u00bb y aplicar cambios. Despu\u00e9s cuando se haya establecido la comunicaci\u00f3n, si necesit\u00e1is definir diferentes reglas, entonces s\u00ed pod\u00e9is editar reglas m\u00e1s espec\u00edficas para cumplir todos vuestros requisitos.<\/p>\n
Una vez que hayamos configurado correctamente el firewall, tendremos que configurar el cliente VPN para probar la conexi\u00f3n.<\/p>\n
Prueba de conexi\u00f3n<\/h2>\n
En nuestro caso, hemos establecido una conexi\u00f3n VPN con un smartphone Android, concretamente el Huawei P30 que incorpora un cliente L2TP\/IPsec PSK. La configuraci\u00f3n que debemos realizar es la siguiente (no podemos poner captura porque el sistema operativo lo detecta como contenido privado).<\/p>\n
- \n
- Nombre: le damos un nombre a la VPN<\/li>\n
- Tipo: L2TP\/IPsec PSK<\/li>\n
- Servidor: IP o dominio DDNS de vuestro servidor VPN<\/li>\n
- L2TP Secreto: 1234clavel2tp; la clave que pusimos en la secci\u00f3n de L2TP que es compartida con todos los clientes.<\/li>\n
- Identificador de IPsec: redeszone@redeszone.net<\/li>\n
- Clave compartida inicial de IPsec: 12345678; la clave que pusimos para el identificador \u00aballusers\u00bb en la secci\u00f3n IPsec \/ Pre-Shares Key.<\/li>\n<\/ul>\n
Pinchamos en guardar, y en conectar. A la hora de conectarnos nos pedir\u00e1 un usuario y contrase\u00f1a, estas credenciales son las que pusimos en \u00abL2TP Users\u00bb. Una vez hecho, nos conectar\u00e1 sin problemas al servidor VPN y tendremos acceso a la administraci\u00f3n del pfSense y a cualquier red.<\/p>\n
\n\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro.jpg\")
<\/div>\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configura-un-servidor-vpn-l2tp-ipsec-en-pfsense-para-navegar-seguro-1.jpg\")
<\/div>\n<\/div>\n<\/span><\/span><\/div>\n
Tal y como hab\u00e9is visto, la conexi\u00f3n se ha establecido correctamente con \u00e9xito, y no ha habido problemas.<\/p>\n
Recomendaciones y consejos<\/h2>\n
Dependiendo del cliente VPN que vosotros utilic\u00e9is, la configuraci\u00f3n del servidor podr\u00eda variar. Por seguridad, siempre es recomendable hacer uso de los mejores algoritmos criptogr\u00e1ficos, por este motivo, os recomendamos modificar las opciones de seguridad y forzar a los clientes a elegir siempre las mejores, sin embargo, deberemos fijarnos en los registros de IPsec para ver qu\u00e9 \u00abproposal\u00bb env\u00edan los diferentes clientes a la hora de conectarse. Algunos smartphones utilizan un cliente VPN L2TP\/IPsec con soporte para los \u00faltimos cifrados, sin embargo, otros modelos no lo permiten. Deberemos probar y elegir lo m\u00e1s seguro posible de manera global, balanceando entre seguridad y usabilidad.<\/p>\n
Otro consejo si vais a usar L2TP\/IPsec por primera vez, es saber de antemano qu\u00e9 clientes vais a conectar, Android, iOS, ordenador con Windows etc, ya que, la configuraci\u00f3n podr\u00eda ser diferente dependiendo de c\u00f3mo est\u00e9 internamente configurado el cliente. Es posible que no puedan convivir todos al mismo tiempo, por este motivo podr\u00edas usar otros VPN como OpenVPN o IPsec xAuth entre otras.<\/p>\n
Con este mismo tutorial, podr\u00e9is configurar el L2TP\/IPsec RSA, modificando el \u00abMutual PSK\u00bb por \u00abMutual RSA\u00bb y configurando los correspondientes certificados de servidor y clientes, pr\u00f3ximamente os ense\u00f1aremos c\u00f3mo hacerlo. Esto tambi\u00e9n trae complicaciones, porque si creamos una CA con un certificado de cliente que hagan uso de los \u00faltimos algoritmos, es posible que nos devuelva un error al conectarnos porque no se reconocen.<\/p>\n","protected":false},"excerpt":{"rendered":"
\u00bfPara qu\u00e9 sirve un servidor VPN L2TP\/IPsec? Un servidor VPN en nuestro pfSense nos permitir\u00e1 acceder de forma remota a las diferentes subredes que tengamos configuradas, tambi\u00e9n nos permitir\u00e1 redireccionar todo el tr\u00e1fico de Internet hacia el servidor VPN para salir a Internet a trav\u00e9s de \u00e9l. Gracias a la configuraci\u00f3n de un servidor VPN, […]<\/p>\n","protected":false},"author":1,"featured_media":3736,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[42],"tags":[],"_links":{"self":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/3735"}],"collection":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/comments?post=3735"}],"version-history":[{"count":0,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/3735\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media\/3736"}],"wp:attachment":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media?parent=3735"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/categories?post=3735"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/tags?post=3735"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- General Information\n
- Encryption Algorithm: AES de 128 bits, SHA1, DH Group 2 (1024 bits).<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
- General Information\n