La guía definitiva: pfSense IPsec IKEv2 EAP-TLS para Windows 11 (De cero a conectado)
VPN IPsec IKEv2 Nativa en Windows 11 Guía Maestra de pfSense: Certificados, Firewall y Enrutamiento Total Introducción Configurar una VPN...
VPN IPsec IKEv2 Nativa en Windows 11
Guía Maestra de pfSense: Certificados, Firewall y Enrutamiento Total
Introducción
Configurar una VPN IPsec IKEv2 es la mejor decisión para obtener velocidad y seguridad sin instalar software de terceros en Windows. Sin embargo, Windows es extremadamente exigente con los certificados. Si falta un solo parámetro, obtendrás errores genéricos de conexión. En esta guía detallamos cómo configurar pfSense para que Windows acepte el túnel a la primera y cómo permitir que el cliente vea no solo la LAN del firewall, sino también la red local que hay detrás de la WAN.
1. Escenario y Topología de Red
Para esta guía utilizaremos los siguientes datos de ejemplo (sustitúyelos por los tuyos):
• Dominio DDNS:midominio.ddns.net (Ej. No-IP).
• pfSense WAN: 192.168.1.50 (Red del router de casa).
• pfSense LAN: 10.0.1.1 (Red de servidores/trabajo).
• Red Local Casa: 192.168.1.0/24 (Donde está el PC principal).
• Virtual Pool VPN: 172.16.0.0/24 (IPs que darán a los clientes).
2. Gestión de Certificados (El paso más crítico)
Windows 11 rechazará cualquier conexión si el certificado no es perfecto. Vamos a crearlos en System > Cert. Manager.
A. La Autoridad Certificadora (CA):
Crea una CA con Method: Create an internal Certificate Authority. Pon un nombre descriptivo como “VPN-ROOT-CA”.
B. Certificado del Servidor ( pfSense ):
Method: Create an internal Certificate.
Common Name:midominio.ddns.net
Certificate Type: Server Certificate.
Alternative Names (SAN):OBLIGATORIO. Añade Type: DNS y Value: midominio.ddns.net.
C. Certificado del Cliente ( Usuario ):
Crea otro certificado pero elige Type: User Certificate. Expórtalo como .p12 (necesitarás ponerle una contraseña).
3. Configuración del Servidor IPsec
Fase 1 (Conexión segura):
Key Exchange: IKEv2. | IPv4 Family: IPv4.
My Identifier: FQDN -> midominio.ddns.net.
Encryption: AES 256, SHA256, DH Group 14 (Evita el Group 2, es débil para Windows).
Fase 2 (Tráfico de datos):
Crea una Fase 2 para tu red LAN. Importante: Pon el PFS Key Group en Off. Windows nativo suele dar problemas si el PFS está activo en clientes móviles.
4. Apertura de Puertos (Firewall y Router)
Debemos permitir que el tráfico VPN entre desde el exterior:
En tu Router Físico: Haz port forwarding de UDP 500 y UDP 4500 hacia la IP WAN del pfSense (192.168.1.50).
En pfSense (WAN Rules): Abre los mismos puertos (UDP 500/4500).
En pfSense (IPsec Rules): Crea una regla Pass Any/Any para permitir que el tráfico que ya está dentro de la VPN pueda moverse.
5. Acceso a la Red de Casa (Outbound NAT)
Este es el “toque maestro”. Si quieres que la VPN acceda a equipos que están en la red 192.168.1.x, debes hacer lo siguiente:
1. Crea una SEGUNDA Fase 2 con Local Network: 192.168.1.0/24.
2. Ve a Firewall > NAT > Outbound.
3. Activa el modo “Hybrid Outbound NAT”.
4. Añade una regla: Interface WAN, Source: [Red VPN 172.16.0.0/24], Translation: WAN Address.
Esto hará que pfSense “enmascare” tu IP de VPN. Cuando llegues al PC de casa, este creerá que le habla el propio pfSense y responderá correctamente.
9 de abril de 2026
Restauración enlace troncal fibra óptica
Reparación de un enlace de fibra óptica crucial para las comunicaciones de la mina. Hoy solucionamos una rotura de fibra...
Reparación de un enlace de fibra óptica crucial para las comunicaciones de la mina.
Hoy solucionamos una rotura de fibra óptica que garantiza la redundancia de la red de comunicaciones en Sandfire MATSA. Mantener esta infraestructura de respaldo operativa es fundamental en un entorno minero crítico, donde la disponibilidad y seguridad de la conexión son de vital importancia. ¡Seguimos aprendiendo sobre el terreno! 📡⛏️
