Eu tenho uma configuração de VPN RRAS usando IKEv2 e certificados emitidos pela CA do domínio. Possui certificado de domínio público e sei que está sendo apresentado ao cliente.
No entanto, parece que o servidor está enviando o certificado errado ou está enviando todos os certificados de autenticação do servidor, incluindo um emitido porMS-Organização-Acesso P2P [2022]. É claro que isso não é confiável para os clientes, que então devolvem.
Olhando, Get-VpnAuthProtocolposso ver que é instruído a usar a CA do domínio.
Não tenho certeza de como digo ao RRAS para usar o certificado correto.
Responder1
Seria muito útil saber qual é realmente a sua configuração RRAS, qual sistema operacional, qualquer coisa.
De qualquer forma, se Get-VpnAuthProtocolmostrar TunnelAuthProtocolsAdvertised = "Certificado", você poderá usar Set-VpnAuthProtocol -CertificateAdvertisedpara definir o certificado correto.
Ou faça Set-VpnS2Snterface –MachineCertificate <-X509Certificate>. O nome da entidade do certificado ou SAN deve corresponder ao nome da interface externa.
Não consigo imaginar por que o RRAS apresentaria o lixo de acesso P2P do Azure - é um certificado de cliente, não um certificado de servidor. Talvez tente o analisador de práticas recomendadas e veja se ele sinaliza algo útil:https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn535711(v=ws.11)