============================================================================
- Forefront TMG 2010: VPNs con L2TP (1 de 4)
- Forefront TMG 2010: VPNs con L2TP (2 de 4)
- Forefront TMG 2010: VPNs con L2TP (3 de 4)
- Forefront TMG 2010: VPNs con L2TP (4 de 4)
============================================================================

Como se ha comentado anteriormente en Seguros con Forefront, Microsoft Forefront Threat Management Gateway (TMG) 2010 permite hasta tres opciones diferentes de creación de Redes Privadas Virtuales (Virtual Private Network VPN) desde clientes externos. Los tres tipos soportados y que se irán desgranando en este mismo blog son:

• VPNs con Forefront TMG 2010 utilizando PPTP
• VPNs con Forefront TMG 2010 utilizando L2TP/IPSEC
• VPNs con Forefront TMG 2010 utilizando SSTP

Durante esta serie de artículos, se va a proceder a revisar la configuración a realizar en nuestro servidor TMG 2010 para permitir conexiones externas a través de protocolo L2TP/IPsec (Layer 2 Transport Protocol con IPSec), protocolo de capa 2 de transporte cifrado con IPsec y por tanto con certificados.

Antes de comenzar con la configuración se deben tener en consideración varios puntos con la configuración de VPN utilizando L2TP/IPSec:

• El servidor firewall TMG debe tener un certificado de autenticación de equipo que coincida con el nombre que van a utilizar los clientes que se conectarán mediante VPN con L2TP/IPsec.

• El servidor de firewall TMG debe confiar en la entidad certificadora que ha emitido el certificado anterior instalado en el servidor Forefront TMG 2010.

• Los equipos clientes que se conecten mediante VPN con L2TP/IPsec al servidor TMG deben confiar en la entidad certificadora que ha firmado el certificado que tiene instalado el servidor TMG, además de poder asociar con una dirección IP el nombre del certificado.

Configuración del certificado digital del servidor

En el caso del laboratorio utilizado para el desarrollo de esta serie de post tanto el servidor Forefront TMG 2010 como los equipos cliente son miembros de un dominio donde existe una entidad certificadora emisora de certificados, luego la confianza en la misma no hay que realizarla instalando ningún certificado sobre las máquinas.


Figura 1: Confianza de la CA de dominio

Cuando se quiere solicitar un certificado a la CA (el necesario para la VPN) desde TMG hay un problema ya que se necesita el uso del protocolo DCOM y por defecto las reglas del sistema de Forefront TMG 2010 lo filtran. Se puede obtener el certificado de tres maneras diferentes:

1. Se modifica la directiva de sistema para permitir el uso de DCOM

2. Se realiza la solicitud desde una consola de IIS a la entidad certificadora

3. Se crea una regla de acceso entre el servidor de TMG y la CA y se configura el protocolo RDP para que además permita DCOM

En la siguiente imagen se observa la modificación que se debe realizar en la directiva de sistema de Forefront TMG 2010 para permitir DCOM:


Figura 2: Directiva de sistema Forefront TMG 2010 (DCOM)

Esa directiva que hay que desmarcar, Hacer cumplir la comprobación RPC estricta, es exactamente la misma opción que se debe modificar en el protocolo RPC si se decide permitir el acceso a la CA mediante una regla de acceso en vez de la directiva de Forefront TMG 2010. Una vez desmarcada la opción desde la MMC se puede solicitar un nuevo certificado a la CA, en este caso un certificado de servidor web, en el que solicitará el nombre del servidor web para crear el certificado.


Figura 3 - Inscripción de certificado 1


Figura 4 - Inscripción de certificado 2

============================================================================
- Forefront TMG 2010: VPNs con L2TP (1 de 4)
- Forefront TMG 2010: VPNs con L2TP (2 de 4)
- Forefront TMG 2010: VPNs con L2TP (3 de 4)
- Forefront TMG 2010: VPNs con L2TP (4 de 4)
============================================================================