Hola Panterita

Desgraciadamente mi poder adquisitivo no me permite Cisco , tendrás que preguntar a su servicio técnico. Yo te explico unas cosillas...

Para poder autenticar a usuarios VPN con certificados en vez de con login y password, es necesario que dichos usuarios tengan mapeado un certificado en sus cuentas de dominio, por lo que necesitaras LDAP (con los inconvenientes respectivos para Linux). Existirá un servidor de VPN con un certificado de servidor y que permitirá acceso a usuarios con certificados. Esto se puede hacer bajo IPEsec o bajo EAP, bajo el primer protocolo tendrías que instalar una CA "Enterprise" (exclusiva para dominio LDAP), bajo el segundo te vale la CA normal.

Una de las pegas que suelen surgir con VPN's es esta:
Cuando instalas la CA, Windows pone la periodicidad de edición de la lista de revocados en una semana, y la dirección en la que se encuentra esa lista. Por defecto pondrá http://%SERVER_DNS_NAME%/CertEnroll/%CA_NAME%%CRL_SUFFIX%.crl ya que tiene que hacerlo de forma genérica, para cualquier equipo. Todos los certificados llevarán esta dirección (puedes verlo en "Detalles") para que cualquiera pueda comprobar la lista de revocados.
Cuando un usuario hace una VPN el servidor mira esta dirección y se conecta para ver si esta revocado el certificado o no, si no puede resolver la dirección supone el certificado revocado por defecto (cuando mapeas el certificado de usuario la primera vez no lo hace claro).
Esto se soluciona configurando la CA con una dirección que pueda resolver el Radius. Por supuesto los cambios que hagas en la CA solo afectarán a los certificados posteriores, los ya emitidos seguirán con la dirección antigua.

Si quieres ver como se hace una VPN bajo EAP con Windows 2000 aquí te lo explico: http://www2.sharesafe.net/sharesafe/TuturialPKI54.asp

Un saludo