Tengo una configuración de VPN RRAS que utiliza IKEv2 y certificados emitidos por la CA del dominio. Tiene un certificado de dominio público y sé que se lo presentará al cliente.
Sin embargo, parece que el servidor está enviando el certificado incorrecto o está enviando todos los certificados de autenticación del servidor, incluido uno emitido porMS-Organización-Acceso-P2P [2022]. Por supuesto, los clientes no confían en esto y luego lo rechazan.
Al mirar, Get-VpnAuthProtocolpuedo ver que se le indica que use la CA del dominio.
No estoy seguro de cómo le digo a RRAS que utilice el certificado correcto.
Respuesta1
Sería muy útil saber cuál es realmente su configuración de RRAS, qué sistema operativo, cualquier cosa.
De todos modos, si Get-VpnAuthProtocolmuestra TunnelAuthProtocolsAdvertised = "Certificado", puede utilizarlo Set-VpnAuthProtocol -CertificateAdvertisedpara configurar el certificado correcto.
O hacerlo Set-VpnS2Snterface –MachineCertificate <-X509Certificate>. El nombre del sujeto del certificado o SAN debe coincidir con el nombre de la interfaz externa.
No puedo imaginar por qué RRAS presentaría el basura de acceso P2P de Azure: es un certificado de cliente, no un certificado de servidor. Quizás pruebe el analizador de mejores prácticas y vea si detecta algo útil:https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn535711(v=ws.11)