Académique Documents
Professionnel Documents
Culture Documents
o o o o o o Resumen Introduccin a las VPN Componentes de una VPN Cmo instalar y activar un servidor VPN Cmo configurar el servidor VPN Cmo configurar el servidor de acceso remoto como enrutador Cmo modificar el nmero de conexiones simultneas Cmo administrar direcciones y servidores de nombres Cmo administrar el acceso Acceso mediante cuentas de usuario Acceso mediante la pertenencia a grupos Cmo configurar una conexin VPN desde un equipo cliente Solucionar problemas Solucionar problemas de VPN de acceso remoto Propiedades Propocionar comentarios
Resumen
En este artculo paso a paso se describe cmo instalar una red privada virtual (VPN) y cmo crear una nueva conexin VPN en servidores que ejecutan Windows Server 2003. Con una red privada virtual puede conectar componentes de red a travs de otra red, por ejemplo Internet. Puede convertir un equipo basado en Windows Server 2003 en un servidor de acceso remoto de forma que otros usuarios puedan conectarse a l mediante VPN y, a continuacin, puedan iniciar sesin en la red y tener acceso a los recursos compartidos. Las VPN implementan "tneles" a travs de Internet o de otra red pblica de manera que proporcionan la misma seguridad y funcionalidad que una red privada. Los datos se envan a travs de la red pblica utilizando su infraestructura de enrutamiento, pero para el usuario parece como si los datos se enviaran a travs de un vnculo privado dedicado.
Las redes privadas virtuales utilizan vnculos autenticados para asegurarse de que slo los usuarios autorizados pueden conectarse a la red. Para asegurarse de que los datos estn seguros mientras viajan a travs de la red pblica, una conexin VPN utiliza el Protocolo de tnel punto a punto (PPTP) o el Protocolo de tnel de capa 2 (L2TP) para cifrar los datos.
4. 5.
6.
7.
En la ventana Conexin VPN, haga clic en la interfaz de red conectada a Internet y, despus, haga clic en Siguiente. En la ventana Asignacin de direcciones IP, haga clic en Automticamente si se va a utilizar un servidor DHCP para asignar direcciones a clientes remotos o haga clic en De un intervalo de direcciones especificado si los clientes remotos slo deben recibir direcciones de un conjunto predefinido. En la mayora de los casos, la opcin DHCP es ms fcil de administrar. Sin embargo, si DHCP no est disponible, debe especificar un intervalo de direcciones estticas. Haga clic en Siguiente para continuar. Si hizo clic en De un intervalo de direcciones especificado, se abrir el cuadro de dilogo Asignacin de intervalo de direcciones. Haga clic en Nuevo. Escriba la primera direccin IP del intervalo de direcciones que desee utilizar en el cuadro Direccin IP inicial. Escriba la ltima direccin IP del intervalo en el cuadro Direccin IP final. Windows calcula automticamente el nmero de direcciones. Haga clic en Aceptar para volver a la ventana Asignacin de intervalo de direcciones. Haga clic en Siguiente para continuar. Acepte la opcin predeterminada No, usar Enrutamiento y acceso remoto para autenticar las solicitudes de conexin y haga clic en Siguiente para continuar. Haga clic en Finalizar para activar el servicio Enrutamiento y acceso remoto, y para configurar el servidor como servidor de acceso remoto.
Si el servidor VPN ya permite los servicios de acceso telefnico a redes remoto, no elimine la directiva predeterminada. En lugar de ello, muvala de forma que sea la ltima directiva en evaluarse.
Sus recursos de red deben estar disponibles de la misma manera que cuando se conecta directamente a la red.NOTA: para desconectarse de la VPN, haga clic con el botn secundario del mouse en el icono de la conexin y, a continuacin, haga clic en Desconectar.
Solucionar problemas
Solucionar problemas de VPN de acceso remoto
No se puede establecer una conexin VPN de acceso remoto Causa: el nombre del equipo cliente es igual que el nombre de otro equipo de la red. Solucin: compruebe que todos los equipos de la red y los equipos que se conectan a la red utilizan nombres de equipo nicos. Causa: el servicio Enrutamiento y acceso remoto no se inici en el servidor VPN. Solucin: compruebe el estado del servicio Enrutamiento y acceso remoto en el servidor VPN. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo controlar el servicio Enrutamiento y acceso remoto, y cmo iniciar y detener dicho servicio. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el acceso remoto no est activado en el servidor VPN. Solucin: active el acceso remoto en el servidor VPN. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo activar el servidor de acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: los puertos PPTP o L2TP no estn activados para las solicitudes entrantes de acceso remoto. Solucin: active los puertos PPTP, L2TP o ambos, para las solicitudes entrantes de acceso remoto. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo configurar los puertos para acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: los protocolos LAN que utilizan los clientes VPN no estn activados para el acceso remoto en el servidor VPN. Solucin: active los protocolos LAN que utilizan los clientes VPN para el acceso remoto en el servidor VPN. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo ver las propiedades del servidor de acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003.
Causa: todos los puertos PPTP o L2TP del servidor VPN ya estn siendo utilizados por clientes de acceso remoto conectados o por enrutadores de marcado a peticin. Solucin: compruebe que todos los puertos PPTP o L2TP del servidor VPN ya se estn utilizando. Para ello, haga clic enPuertos en Enrutamiento y acceso remoto. Si el nmero de puertos PPTP o L2TP permitidos no es suficientemente alto, cmbielo para permitir ms conexiones simultneas. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo agregar puertos PPTP o L2TP. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el servidor VPN no admite el protocolo de tnel del cliente VPN. De manera predeterminada, los clientes VPN de acceso remoto de Windows Server 2003 utilizan la opcin de tipo de servidor Automtico, lo que significa que intentarn establecer primero una conexin VPN basada en L2TP sobre IPSec y, a continuacin, intentarn una conexin VPN basada en PPTP. Si los clientes VPN utilizan la opcin de tipo de servidorProtocolo de tnel punto a punto (PPTP) o Protocolo de tnel de capa 2 (L2TP), compruebe que el servidor VPN admite el protocolo de tnel seleccionado. De manera predeterminada, un equipo que ejecute Windows Server 2003 y el servicio Enrutamiento y acceso remoto es un servidor PPTP y L2TP con cinco puertos L2TP y cinco puertos PPTP. Para crear un servidor que sea slo PPTP, establezca el nmero de puertos L2TP en cero. Para crear un servidor que sea slo L2TP, establezca el nmero de puertos PPTP en cero. Solucin: compruebe que se ha configurado el nmero apropiado de puertos PPTP o L2TP. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo agregar puertos PPTP o L2TP. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el cliente VPN y el servidor VPN junto con una directiva de acceso remoto no estn configurados para utilizar al menos un mtodo de autenticacin comn. Solucin: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para utilizar al menos un mtodo de autenticacin comn. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo configurar la autenticacin. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el cliente VPN y el servidor VPN junto con una directiva de acceso remoto no estn configurados para utilizar al menos un mtodo de cifrado comn. Solucin: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para utilizar al menos un mtodo de cifrado comn.
Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo configurar el cifrado. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: la conexin VPN no tiene los permisos apropiados mediante las propiedades de acceso telefnico de la cuenta de usuario y las directivas de acceso remoto. Solucin: compruebe que la conexin VPN tiene los permisos apropiados a travs de las propiedades de acceso telefnico de la cuenta de usuario y las directivas de acceso remoto. Para que se establezca la conexin, la configuracin del intento de conexin debe: o Cumplir todas las condiciones de al menos una directiva de acceso remoto. o Obtener el permiso de acceso remoto a travs de la cuenta de usuario (establecido como Permitir acceso) o a travs de la cuenta de usuario (establecido como Controlar acceso a travs de la directiva de acceso remoto) y el permiso de acceso remoto de la directiva de acceso remoto coincidente (establecido como Conceder permiso de acceso remoto). o Coincidir con todas las opciones de configuracin del perfil. o Coincidir con la configuracin de las propiedades de acceso telefnico de la cuenta de usuario. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener una introduccin a las directivas de acceso remoto y ms informacin acerca de cmo aceptar un intento de conexin. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: la configuracin del perfil de la directiva de acceso remoto entra en conflicto con las propiedades del servidor VPN. Las propiedades del perfil de la directiva de acceso remoto y las propiedades del servidor VNP contienen opciones de configuracin para: o Multivnculo. o Protocolo de asignacin de ancho de banda (BAP). o Protocolos de autenticacin. Si la configuracin del perfil de la directiva de acceso remoto coincidente entra en conflicto con la configuracin del servidor VPN, se rechaza el intento de conexin. Por ejemplo, si el perfil de directiva de acceso remoto coincidente especifica que debe utilizarse el Protocolo de autenticacin extensible Seguridad de nivel de transporte (EAP-TLS, Extensible Authentication Protocol - Transport Level Security) y EAP no est habilitado en el servidor VPN, se rechaza el intento de conexin. Solucin: compruebe que la configuracin del perfil de la directiva de acceso remoto no entra en conflicto con las propiedades del servidor VPN. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca del multivnculo, BAP y los protocolos de autenticacin. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el enrutador de respuesta no puede validar las credenciales del enrutador de llamada (nombre de usuario, contrasea y nombre de dominio). Solucin: compruebe que las credenciales del cliente VPN (nombre de usuario,
contrasea y nombre de dominio) son correctas y pueden ser validadas por el servidor VPN. Causa: no hay suficientes direcciones en el conjunto de direcciones IP estticas. Solucin: si el servidor VPN est configurado con un conjunto de direcciones IP estticas, compruebe que hay suficientes direcciones en el conjunto. Si todas las direcciones del conjunto esttico se han asignado a clientes VPN conectados, el servidor VPN no puede asignar una direccin IP y el intento de conexin se rechaza. Si se han asignado todas las direcciones del conjunto esttico, modifique el conjunto. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de TCP/IP y el acceso remoto, y acerca de cmo crear un conjunto de direcciones IP estticas. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el cliente VPN est configurado para solicitar su propio nmero de nodo IPX y el servidor VPN no est configurado para permitir que los clientes IPX soliciten su propio nmero de nodo IPX. Solucin: configure el servidor VPN para permitir que los clientes IPX soliciten su propio nmero de nodo IPX. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de IPX y el acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el servidor VPN est configurado con un intervalo de nmeros de red IPX que se estn utilizando en otro lugar de la red IPX. Solucin: configure el servidor VPN con un intervalo de nmeros de red IPX que sea nico en la red IPX. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de IPX y el acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el proveedor de autenticacin del servidor VNP no est configurado correctamente. Solucin: compruebe la configuracin del proveedor de autenticacin. Puede configurar el servidor VPN para utilizar Windows Server 2003 o el Servicio de usuario de acceso telefnico de autenticacin remota (RADIUS) para autenticar las credenciales del cliente VPN. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de los proveedores de autenticacin y de cuentas, y acerca de cmo utilizar la autenticacin RADIUS. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el servidor VPN no puede tener acceso a Active Directory.
Solucin: en el caso de un servidor VPN que sea servidor miembro de un dominio de Windows Server 2003 en modo mixto o en modo nativo que est configurado para la autenticacin de Windows Server 2003, compruebe lo siguiente:
o o
Existe el grupo de seguridad Servidores RAS e IAS. Si no existe, cree el grupo y establezca su tipo como Seguridad y su mbito como Dominio local. El grupo de seguridad Servidores RAS e IAS tiene permiso de lectura para el objeto Comprobacin de acceso a servidores RAS e IAS. La cuenta del equipo servidor VPN es miembro del grupo de seguridad Servidores RAS e IAS. Puede usar el comando netsh ras show registeredserver para ver el registro actual. Utilice el comando netsh ras add registeredserver para registrar el servidor en un dominio especfico.
Si agrega el equipo servidor VPN al grupo de seguridad Servidores RAS e IAS o lo quita, el cambio no surtir efecto inmediatamente (debido a la manera en la que Windows Server 2003 almacena en cach la informacin de Active Directory). Para que el cambio surta efecto inmediatamente, reinicie el equipo servidor VPN. o El servidor VPN es miembro del dominio. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo agregar un grupo, cmo comprobar los permisos para el grupo de seguridad RAS e IAS y acerca de los comandosnetsh para acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: un servidor VPN basado en Windows NT 4.0 no puede validar las solicitudes de conexin. Solucin: si los clientes VPN llaman a un servidor VPN con Windows NT 4.0 que es miembro de un dominio en modo mixto de Windows Server 2003, compruebe que el grupo Todos se ha agregado al grupo Acceso compatible con versiones anteriores de Windows 2000 mediante el comando siguiente: "net localgroup "Acceso compatible con versiones anteriores de Windows 2000"" Si no se ha agregado, escriba el comando siguiente en el smbolo del sistema de un equipo controlador de dominio y reinicie el equipo controlador de dominio: net localgroup "Acceso compatible con versiones anteriores de Windows 2000" everyone /add Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca del servidor de acceso remoto de Windows NT 4.0 en un dominio de Windows Server 2003. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el servidor VPN no puede comunicar con el servidor RADIUS configurado. Solucin: si slo puede llegar al servidor RADIUS a travs de la interfaz de Internet, siga uno de estos procedimientos: o Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1812 (basado en RFC 2138, "Servicio de usuario de acceso telefnico de autenticacin remota (RADIUS)"). O bien o Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1645 (en el caso de servidores RADIUS antiguos), para autenticacin RADIUS y el puerto UDP 1813 (basado en RFC 2139, "Administracin de cuentas RADIUS"). O bien
Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1646 (en el caso de servidores RADIUS antiguos) para la administracin de cuentas RADIUS. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo agregar un filtro de paquetes. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: no se puede conectar con el servidor VPN a travs de Internet mediante la utilidad Ping.exe. o Solucin: debido al filtrado de paquetes de PPTP y L2TP sobre IPSec configurado en la interfaz de Internet del servidor VPN, se filtran los paquetes del Protocolo de mensajes de control de Internet (ICMP) utilizados por el comando ping. Para activar el servidor VPN de forma que responda a los paquetes ICMP (ping), agregue un filtro de entrada y un filtro de salida que permitan el trfico para el protocolo IP 1 (trfico ICMP).
Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo agregar un filtro de paquetes. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. No se puede enviar o recibir datos Causa: no se ha agregado la interfaz de marcado a peticin apropiada al protocolo que se est enrutando. Solucin: agregue la interfaz de marcado a peticin apropiada al protocolo que se est enrutando. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo agregar una interfaz de enrutamiento. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: no existen rutas en ninguno de los dos lados de la conexin VPN de enrutador a enrutador que permitan el intercambio de trfico en los dos sentidos. Solucin: a diferencia de las conexiones VPN de acceso remoto, una conexin VPN de enrutador a enrutador no crea automticamente una ruta predeterminada. Debe crear rutas en ambos lados de la conexin VPN de enrutador a enrutador para que se pueda enrutar el trfico hacia y desde el otro lado de la conexin VPN de enrutador a enrutador. Puede agregar rutas estticas a la tabla de enrutamiento manualmente o puede agregarlas mediante protocolos de enrutamiento. Para conexiones VPN persistentes, puede activar Abrir primero la ruta de acceso ms corta (OSPF, Open Shortest Path First o el Protocolo de informacin de enrutamiento (RIP, Routing Information Protocol) en la conexin VPN. En el caso de las conexiones VPN a peticin, puede actualizar las rutas automticamente mediante una actualizacin RIP autoesttica. Vea la Ayuda en pantalla de Windows Server 2003 para obtener ms informacin acerca de cmo agregar un protocolo de enrutamiento IP, cmo agregar una ruta esttica y cmo realizar actualizaciones autoestticas. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003.
Causa: el enrutador que responde, que se ha iniciado en dos sentidos como conexin de acceso remoto, est interpretando una conexin VPN de enrutador a enrutador. Solucin: si el nombre de usuario de las credenciales del enrutador que llama aparece bajo Clientes de marcado en Enrutamiento y acceso remoto, el enrutador que responde puede interpretar que el enrutador que llama es un cliente de acceso remoto. Compruebe que el nombre de usuario de las credenciales del enrutador que llama coincide con el nombre de una interfaz de marcado a peticin del enrutador que responde. Si el elemento que realiza la llamada entrante es un enrutador, el puerto en el que se recibi la llamada muestra el estado Activo y la interfaz de marcado a peticin correspondiente tiene el estado Conectado. Vea la Ayuda en pantalla de Windows Server 2003 para obtener ms informacin acerca de cmo comprobar el estado del puerto en el enrutador que responde y de la interfaz de marcado a peticin. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: los filtros de paquetes de las interfaces de marcado a peticin del enrutador que llama y del que responde impiden el flujo de trfico. Solucin: compruebe que en las interfaces de marcado a peticin del enrutador que llama y del que responde no hay filtros de paquetes que impidan enviar o recibir trfico. Puede configurar cada interfaz de marcado a peticin con filtros de entrada y de salida IP e IPX para controlar la naturaleza exacta del trfico TCP/IP e IPX al que se permite entrar y salir de la interfaz de marcado a peticin. Vea la Ayuda en pantalla de Windows Server 2003 para obtener ms informacin acerca de cmo administrar los filtros de paquetes. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: los filtros de paquetes del perfil de la directiva de acceso remoto impiden el flujo del trfico IP. Solucin: compruebe que no hay filtros de paquetes TCP/IP configurados en las propiedades del perfil de las directivas de acceso remoto en el servidor VPN (o el servidor RADIUS si se usa el Servicio de autenticacin Internet) que impidan el envo o la recepcin del trafico TCP/IP. Puede utilizar directivas de acceso remoto para configurar filtros de paquetes TCP/IP de entrada y salida que controlen la naturaleza exacta del trfico TCPIP permitido en la conexin VPN. Compruebe que los filtros de paquetes TCP/IP del perfil no impiden el flujo de trfico. Vea la Ayuda en pantalla de Windows Server 2003 para obtener ms informacin acerca de cmo configurar las opciones IP. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003.