En esta pgina

o o o o o o Resumen Introduccin a las VPN Componentes de una VPN Cmo instalar y activar un servidor VPN Cmo configurar el servidor VPN Cmo configurar el servidor de acceso remoto como enrutador Cmo modificar el nmero de conexiones simultneas Cmo administrar direcciones y servidores de nombres Cmo administrar el acceso Acceso mediante cuentas de usuario Acceso mediante la pertenencia a grupos Cmo configurar una conexin VPN desde un equipo cliente Solucionar problemas Solucionar problemas de VPN de acceso remoto Propiedades Propocionar comentarios

Resumen
En este artculo paso a paso se describe cmo instalar una red privada virtual (VPN) y cmo crear una nueva conexin VPN en servidores que ejecutan Windows Server 2003. Con una red privada virtual puede conectar componentes de red a travs de otra red, por ejemplo Internet. Puede convertir un equipo basado en Windows Server 2003 en un servidor de acceso remoto de forma que otros usuarios puedan conectarse a l mediante VPN y, a continuacin, puedan iniciar sesin en la red y tener acceso a los recursos compartidos. Las VPN implementan "tneles" a travs de Internet o de otra red pblica de manera que proporcionan la misma seguridad y funcionalidad que una red privada. Los datos se envan a travs de la red pblica utilizando su infraestructura de enrutamiento, pero para el usuario parece como si los datos se enviaran a travs de un vnculo privado dedicado.

Introduccin a las VPN

Una red privada virtual es una forma de conectarse a una red privada (por ejemplo, la red de su oficina) mediante una red pblica (como Internet). Una VPN combina las ventajas de una conexin de acceso telefnico a un servidor con la facilidad y flexibilidad de una conexin a Internet. Mediante la conexin a Internet, puede viajar por todo el mundo y an as, en la mayora de los sitios, se podr conectar con su oficina mediante una llamada local al nmero de telfono de acceso a Internet ms prximo. Si dispone de una conexin a Internet de alta velocidad (por ejemplo, por cable o DSL) en su equipo (y en su oficina), podr comunicarse con su oficina a la velocidad mxima de Internet, lo cual resulta mucho ms rpido que cualquier conexin de acceso telefnico que utilice un mdem analgico. Esta tecnologa permite a una empresa conectar con sus sucursales o con otras compaas a travs de una red pblica al tiempo que mantiene unas comunicaciones seguras. La conexin VPN a travs de Internet funciona de manera lgica como un vnculo dedicado de red de rea extensa (WAN).

Las redes privadas virtuales utilizan vnculos autenticados para asegurarse de que slo los usuarios autorizados pueden conectarse a la red. Para asegurarse de que los datos estn seguros mientras viajan a travs de la red pblica, una conexin VPN utiliza el Protocolo de tnel punto a punto (PPTP) o el Protocolo de tnel de capa 2 (L2TP) para cifrar los datos.

Componentes de una VPN

Una VPN en servidores que ejecutan Windows Server 2003 consiste en un servidor VPN, un cliente VPN, una conexin VPN (la parte de la conexin en la que los datos estn cifrados) y el tnel (la parte de la conexin en la que los datos estn encapsulados). Los tneles se realizan a travs de uno de los protocolos de tnel que se incluyen con los servidores que ejecutan Windows Server 2003, los cuales se instalan con el servicio Enrutamiento y acceso remoto. El servicio Enrutamiento y acceso remoto se instala automticamente durante la instalacin de Windows Server 2003. Sin embargo, de forma predeterminada, el servicio Enrutamiento y acceso remoto est desactivado. Los dos protocolos de tnel que se incluyen con Windows son: Protocolo de tnel punto a punto (PPTP): proporciona cifrado de datos mediante el Cifrado punto a punto de Microsoft. Protocolo de tnel de capa 2 (L2TP): proporciona cifrado de datos, autenticacin e integridad mediante IPSec. La conexin a Internet debe utilizar una lnea dedicada como T1, T1 fraccional o Frame Relay. El adaptador WAN debe estar configurado con la direccin IP y la mscara de subred asignadas al dominio o proporcionadas por un proveedor de servicios Internet (ISP). El adaptador WAN tambin debe estar configurado como puerta de enlace predeterminada del enrutador del ISP. NOTA: para activar la VPN, debe haber iniciado sesin con una cuenta que tenga derechos administrativos.

Cmo instalar y activar un servidor VPN

Para instalar y activar un servidor VPN, siga estos pasos: 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto. 2. Haga clic en el icono de servidor correspondiente al nombre del servidor local en el panel izquierdo de la consola. Si el icono tiene un crculo de color rojo en la esquina inferior izquierda, el servicio Enrutamiento y acceso remoto no est activado. Si el icono tiene una flecha de color verde que seala hacia arriba en la esquina inferior izquierda, el servicio Enrutamiento y acceso remoto est activado. Si el servicio Enrutamiento y acceso remoto se activ previamente, quizs desee volver a configurar el servidor. Para reconfigurar el servidor: a. Haga clic con el botn secundario del mouse (ratn) en el objeto servidor y, despus, haga clic en Deshabilitar el enrutamiento y el acceso remoto. Haga clic en S para continuar cuando aparezca un mensaje informativo. b. Haga clic con el botn secundario del mouse en el icono del servidor y, despus, haga clic en Configurar y habilitar Enrutamiento y acceso remoto para iniciar el Asistente para instalacin del servidor de enrutamiento y acceso remoto. Haga clic en Siguiente para continuar. c. Haga clic en Acceso remoto (acceso telefnico o red privada virtual) para activar los equipos remotos de forma que puedan marcar o conectarse a esta red a travs de Internet. Haga clic en Siguiente para continuar. 3. Active VPN o Acceso telefnico, dependiendo de la funcin que vaya a asignar a este servidor.

4. 5.

6.

7.

En la ventana Conexin VPN, haga clic en la interfaz de red conectada a Internet y, despus, haga clic en Siguiente. En la ventana Asignacin de direcciones IP, haga clic en Automticamente si se va a utilizar un servidor DHCP para asignar direcciones a clientes remotos o haga clic en De un intervalo de direcciones especificado si los clientes remotos slo deben recibir direcciones de un conjunto predefinido. En la mayora de los casos, la opcin DHCP es ms fcil de administrar. Sin embargo, si DHCP no est disponible, debe especificar un intervalo de direcciones estticas. Haga clic en Siguiente para continuar. Si hizo clic en De un intervalo de direcciones especificado, se abrir el cuadro de dilogo Asignacin de intervalo de direcciones. Haga clic en Nuevo. Escriba la primera direccin IP del intervalo de direcciones que desee utilizar en el cuadro Direccin IP inicial. Escriba la ltima direccin IP del intervalo en el cuadro Direccin IP final. Windows calcula automticamente el nmero de direcciones. Haga clic en Aceptar para volver a la ventana Asignacin de intervalo de direcciones. Haga clic en Siguiente para continuar. Acepte la opcin predeterminada No, usar Enrutamiento y acceso remoto para autenticar las solicitudes de conexin y haga clic en Siguiente para continuar. Haga clic en Finalizar para activar el servicio Enrutamiento y acceso remoto, y para configurar el servidor como servidor de acceso remoto.

Cmo configurar el servidor VPN

Para seguir configurando el servidor VPN como sea necesario, siga estos pasos.

Cmo configurar el servidor de acceso remoto como enrutador

Para que el servidor de acceso remoto reenve el trfico correctamente dentro de la red, debe configurarlo como un enrutador con rutas estticas o con protocolos de enrutamiento de forma que se pueda llegar a todas las ubicaciones de la intranet desde l. Para configurar el servidor como un enrutador: 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto. 2. Haga clic con el botn secundario del mouse en el nombre del servidor y, a continuacin, haga clic en Propiedades. 3. Haga clic en la ficha General y, a continuacin, active Enrutador bajo Habilitar este equipo como. 4. Haga clic en Enrutamiento LAN y de marcado a peticin y, despus, haga clic en Aceptar para cerrar el cuadro de dilogo Propiedades.

Cmo modificar el nmero de conexiones simultneas

El nmero de conexiones de mdem de acceso telefnico depende del nmero de mdems que se instalan en el servidor. Por ejemplo, si slo hay un mdem instalado en el servidor, slo se dispone de una conexin por mdem cada vez. El nmero de conexiones VPN de acceso telefnico depende del nmero de usuarios simultneos que desee permitir. De manera predeterminada, al ejecutar el procedimiento descrito en este artculo se permiten 128 conexiones. Para cambiar el nmero de conexiones simultneas, siga estos pasos: 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto. 2. Haga doble clic en el objeto de servidor, haga clic con el botn secundario del mouse en Puertos y, despus, haga clic en Propiedades. 3. En el cuadro de dilogo Propiedades de Puertos, haga clic en Minipuerto WAN (PPTP) y, despus, haga clic enConfigurar. 4. En el cuadro Nmero mximo de puertos, escriba el nmero de conexiones VPN que desea permitir. 5. Haga clic en Aceptar, haga clic de nuevo en Aceptar, y cierre Enrutamiento y acceso remoto.

Cmo administrar direcciones y servidores de nombres

El servidor VPN debe tener disponibles las direcciones IP que asignar a la interfaz del servidor virtual VPN y a los clientes VPN durante la fase de negociacin del proceso de conexin del Protocolo de control de IP (IPCP). La direccin IP asignada al cliente VPN se asigna a la interfaz virtual del mismo. Para los servidores VPN basados en Windows Server 2003, las direcciones IP asignadas a clientes VPN se obtienen de manera predeterminada mediante DHPC. Asimismo, puede configurar un conjunto de direcciones IP estticas. El servidor VPN tambin debe estar configurado con servidores de resolucin de nombres, generalmente direcciones de servidores DNS y WINS, para

asignar al cliente VPN durante la negociacin de IPCP.

Cmo administrar el acceso

Configure las propiedades de acceso telefnico en las cuentas de usuario y en las directivas de acceso remoto para administrar el acceso a las conexiones de acceso telefnico y a las conexiones VPN. NOTA: de manera predeterminada, se deniega a los usuarios el acceso telefnico a redes.

Acceso mediante cuentas de usuario

Para conceder acceso telefnico a una cuenta de usuario si est administrando el acceso remoto de cada uno de los usuarios, siga estos pasos: 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory. 2. Haga clic con el botn secundario del mouse en la cuenta del usuario y, a continuacin, haga clic en Propiedades. 3. Haga clic en la ficha Marcado. 4. Haga clic en Permitir acceso para conceder al usuario permiso de marcado. Haga clic en Aceptar.

Acceso mediante la pertenencia a grupos

Si administra el acceso remoto basndose en grupos, siga estos pasos: 1. Cree un grupo que contenga los miembros a los que se les permite crear conexiones VPN. 2. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto. 3. En el rbol de consola, expanda Enrutamiento y acceso remoto, expanda el nombre del servidor y haga clic enDirectivas de acceso remoto. 4. Haga clic con el botn secundario del mouse en cualquier lugar del panel de la derecha, seleccione Nuevo y haga clic en Directiva de acceso remoto. 5. Haga clic en Siguiente, escriba el nombre de la directiva y haga clic en Siguiente. 6. Haga clic en VPN para el mtodo de acceso a una red privada virtual o en Marcado para el acceso telefnico y, despus, haga clic en Siguiente. 7. Haga clic en Agregar, escriba el nombre del grupo que ha creado en el paso 1 y haga clic en Siguiente. 8. Siga las instrucciones que aparecern en la pantalla para finalizar el asistente.

Si el servidor VPN ya permite los servicios de acceso telefnico a redes remoto, no elimine la directiva predeterminada. En lugar de ello, muvala de forma que sea la ltima directiva en evaluarse.

Cmo configurar una conexin VPN desde un equipo cliente

Para configurar una conexin con una VPN, siga estos pasos. Para configurar un cliente para acceso a una red privada virtual, siga estos pasos en la estacin de trabajo cliente: NOTA: para poder seguir estos pasos, debe haber iniciado sesin como miembro del grupo Administradores. NOTA: como hay varias versiones de Microsoft Windows, los pasos siguientes pueden ser diferentes en su equipo. Si es as, consulte la documentacin del producto para completarlos. 1. En el equipo cliente, confirme que la conexin a Internet est configurada correctamente. 2. Haga clic sucesivamente en Inicio, Panel de control y Conexiones de red. En Tareas de red, haga clic en Crear una conexin nueva y, a continuacin, haga clic en Siguiente. 3. Haga clic en Conectarse a la red de mi lugar de trabajo para crear la conexin de acceso telefnico. Haga clic enSiguiente para continuar. 4. Haga clic en Conexin de red privada virtual y, despus, haga clic en Siguiente. 5. Escriba un nombre descriptivo para esta conexin en el cuadro de dilogo Nombre de la organizacin y haga clic enSiguiente. 6. Si el equipo est conectado a Internet de forma permanente, haga clic en No usar la conexin inicial. Si el equipo se conecta a Internet a travs de un proveedor de servicios Internet (ISP), haga clic en Usar automticamente esta conexin inicial y, despus, haga clic en el nombre de la conexin con el ISP. Haga clic en Siguiente. 7. Escriba la direccin IP o el nombre de host del equipo servidor VPN (por ejemplo, ServidorVPN.DominioDeEjemplo.com). 8. Si desea permitir que cualquier usuario que inicie sesin en la estacin de trabajo tenga acceso a esta conexin telefnica, haga clic en El uso de cualquier persona. Si desea que la conexin slo est disponible para el usuario que ha iniciado sesin actualmente, haga clic en Slo para mi uso. Haga clic en Siguiente. 9. Haga clic en Finalizar para guardar la conexin. 10. Haga clic sucesivamente en Inicio, Panel de control y Conexiones de red. 11. Haga doble clic en la nueva conexin. 12. Haga clic en Propiedades para seguir configurando opciones para la conexin. Para seguir configurando opciones para la conexin, siga estos pasos: Si se va a conectar a un dominio, haga clic en la ficha Opciones y active la casilla de verificacin Incluir el dominio de inicio de sesin de Windows para especificar si se va a solicitar informacin de dominio de inicio de sesin de Windows Server 2003 antes de intentar la conexin. o Si desea que se vuelva a marcar en caso de que la conexin se interrumpa, haga clic en la ficha Opciones y active la casilla de verificacin Volver a marcar si se interrumpe la lnea. Para utilizar la conexin, siga estos pasos: 1. Haga clic en Inicio, seleccione Conectar a y haga clic en la nueva conexin. 2. Si actualmente no est conectado a Internet, Windows le ofrece la posibilidad de conectarse. 3. Una vez realizada la conexin a Internet, el servidor VPN le pide su nombre de usuario y su contrasea. Escriba su nombre de usuario y su contrasea; a continuacin, haga clic en Conectar. o

Sus recursos de red deben estar disponibles de la misma manera que cuando se conecta directamente a la red.NOTA: para desconectarse de la VPN, haga clic con el botn secundario del mouse en el icono de la conexin y, a continuacin, haga clic en Desconectar.

Solucionar problemas
Solucionar problemas de VPN de acceso remoto
No se puede establecer una conexin VPN de acceso remoto Causa: el nombre del equipo cliente es igual que el nombre de otro equipo de la red. Solucin: compruebe que todos los equipos de la red y los equipos que se conectan a la red utilizan nombres de equipo nicos. Causa: el servicio Enrutamiento y acceso remoto no se inici en el servidor VPN. Solucin: compruebe el estado del servicio Enrutamiento y acceso remoto en el servidor VPN. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo controlar el servicio Enrutamiento y acceso remoto, y cmo iniciar y detener dicho servicio. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el acceso remoto no est activado en el servidor VPN. Solucin: active el acceso remoto en el servidor VPN. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo activar el servidor de acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: los puertos PPTP o L2TP no estn activados para las solicitudes entrantes de acceso remoto. Solucin: active los puertos PPTP, L2TP o ambos, para las solicitudes entrantes de acceso remoto. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo configurar los puertos para acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: los protocolos LAN que utilizan los clientes VPN no estn activados para el acceso remoto en el servidor VPN. Solucin: active los protocolos LAN que utilizan los clientes VPN para el acceso remoto en el servidor VPN. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo ver las propiedades del servidor de acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003.

Causa: todos los puertos PPTP o L2TP del servidor VPN ya estn siendo utilizados por clientes de acceso remoto conectados o por enrutadores de marcado a peticin. Solucin: compruebe que todos los puertos PPTP o L2TP del servidor VPN ya se estn utilizando. Para ello, haga clic enPuertos en Enrutamiento y acceso remoto. Si el nmero de puertos PPTP o L2TP permitidos no es suficientemente alto, cmbielo para permitir ms conexiones simultneas. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo agregar puertos PPTP o L2TP. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el servidor VPN no admite el protocolo de tnel del cliente VPN. De manera predeterminada, los clientes VPN de acceso remoto de Windows Server 2003 utilizan la opcin de tipo de servidor Automtico, lo que significa que intentarn establecer primero una conexin VPN basada en L2TP sobre IPSec y, a continuacin, intentarn una conexin VPN basada en PPTP. Si los clientes VPN utilizan la opcin de tipo de servidorProtocolo de tnel punto a punto (PPTP) o Protocolo de tnel de capa 2 (L2TP), compruebe que el servidor VPN admite el protocolo de tnel seleccionado. De manera predeterminada, un equipo que ejecute Windows Server 2003 y el servicio Enrutamiento y acceso remoto es un servidor PPTP y L2TP con cinco puertos L2TP y cinco puertos PPTP. Para crear un servidor que sea slo PPTP, establezca el nmero de puertos L2TP en cero. Para crear un servidor que sea slo L2TP, establezca el nmero de puertos PPTP en cero. Solucin: compruebe que se ha configurado el nmero apropiado de puertos PPTP o L2TP. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo agregar puertos PPTP o L2TP. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el cliente VPN y el servidor VPN junto con una directiva de acceso remoto no estn configurados para utilizar al menos un mtodo de autenticacin comn. Solucin: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para utilizar al menos un mtodo de autenticacin comn. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo configurar la autenticacin. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el cliente VPN y el servidor VPN junto con una directiva de acceso remoto no estn configurados para utilizar al menos un mtodo de cifrado comn. Solucin: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para utilizar al menos un mtodo de cifrado comn.

Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo configurar el cifrado. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: la conexin VPN no tiene los permisos apropiados mediante las propiedades de acceso telefnico de la cuenta de usuario y las directivas de acceso remoto. Solucin: compruebe que la conexin VPN tiene los permisos apropiados a travs de las propiedades de acceso telefnico de la cuenta de usuario y las directivas de acceso remoto. Para que se establezca la conexin, la configuracin del intento de conexin debe: o Cumplir todas las condiciones de al menos una directiva de acceso remoto. o Obtener el permiso de acceso remoto a travs de la cuenta de usuario (establecido como Permitir acceso) o a travs de la cuenta de usuario (establecido como Controlar acceso a travs de la directiva de acceso remoto) y el permiso de acceso remoto de la directiva de acceso remoto coincidente (establecido como Conceder permiso de acceso remoto). o Coincidir con todas las opciones de configuracin del perfil. o Coincidir con la configuracin de las propiedades de acceso telefnico de la cuenta de usuario. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener una introduccin a las directivas de acceso remoto y ms informacin acerca de cmo aceptar un intento de conexin. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: la configuracin del perfil de la directiva de acceso remoto entra en conflicto con las propiedades del servidor VPN. Las propiedades del perfil de la directiva de acceso remoto y las propiedades del servidor VNP contienen opciones de configuracin para: o Multivnculo. o Protocolo de asignacin de ancho de banda (BAP). o Protocolos de autenticacin. Si la configuracin del perfil de la directiva de acceso remoto coincidente entra en conflicto con la configuracin del servidor VPN, se rechaza el intento de conexin. Por ejemplo, si el perfil de directiva de acceso remoto coincidente especifica que debe utilizarse el Protocolo de autenticacin extensible Seguridad de nivel de transporte (EAP-TLS, Extensible Authentication Protocol - Transport Level Security) y EAP no est habilitado en el servidor VPN, se rechaza el intento de conexin. Solucin: compruebe que la configuracin del perfil de la directiva de acceso remoto no entra en conflicto con las propiedades del servidor VPN. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca del multivnculo, BAP y los protocolos de autenticacin. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el enrutador de respuesta no puede validar las credenciales del enrutador de llamada (nombre de usuario, contrasea y nombre de dominio). Solucin: compruebe que las credenciales del cliente VPN (nombre de usuario,

contrasea y nombre de dominio) son correctas y pueden ser validadas por el servidor VPN. Causa: no hay suficientes direcciones en el conjunto de direcciones IP estticas. Solucin: si el servidor VPN est configurado con un conjunto de direcciones IP estticas, compruebe que hay suficientes direcciones en el conjunto. Si todas las direcciones del conjunto esttico se han asignado a clientes VPN conectados, el servidor VPN no puede asignar una direccin IP y el intento de conexin se rechaza. Si se han asignado todas las direcciones del conjunto esttico, modifique el conjunto. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de TCP/IP y el acceso remoto, y acerca de cmo crear un conjunto de direcciones IP estticas. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el cliente VPN est configurado para solicitar su propio nmero de nodo IPX y el servidor VPN no est configurado para permitir que los clientes IPX soliciten su propio nmero de nodo IPX. Solucin: configure el servidor VPN para permitir que los clientes IPX soliciten su propio nmero de nodo IPX. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de IPX y el acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el servidor VPN est configurado con un intervalo de nmeros de red IPX que se estn utilizando en otro lugar de la red IPX. Solucin: configure el servidor VPN con un intervalo de nmeros de red IPX que sea nico en la red IPX. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de IPX y el acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el proveedor de autenticacin del servidor VNP no est configurado correctamente. Solucin: compruebe la configuracin del proveedor de autenticacin. Puede configurar el servidor VPN para utilizar Windows Server 2003 o el Servicio de usuario de acceso telefnico de autenticacin remota (RADIUS) para autenticar las credenciales del cliente VPN. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de los proveedores de autenticacin y de cuentas, y acerca de cmo utilizar la autenticacin RADIUS. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el servidor VPN no puede tener acceso a Active Directory.

Solucin: en el caso de un servidor VPN que sea servidor miembro de un dominio de Windows Server 2003 en modo mixto o en modo nativo que est configurado para la autenticacin de Windows Server 2003, compruebe lo siguiente:

o o

Existe el grupo de seguridad Servidores RAS e IAS. Si no existe, cree el grupo y establezca su tipo como Seguridad y su mbito como Dominio local. El grupo de seguridad Servidores RAS e IAS tiene permiso de lectura para el objeto Comprobacin de acceso a servidores RAS e IAS. La cuenta del equipo servidor VPN es miembro del grupo de seguridad Servidores RAS e IAS. Puede usar el comando netsh ras show registeredserver para ver el registro actual. Utilice el comando netsh ras add registeredserver para registrar el servidor en un dominio especfico.

Si agrega el equipo servidor VPN al grupo de seguridad Servidores RAS e IAS o lo quita, el cambio no surtir efecto inmediatamente (debido a la manera en la que Windows Server 2003 almacena en cach la informacin de Active Directory). Para que el cambio surta efecto inmediatamente, reinicie el equipo servidor VPN. o El servidor VPN es miembro del dominio. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo agregar un grupo, cmo comprobar los permisos para el grupo de seguridad RAS e IAS y acerca de los comandosnetsh para acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: un servidor VPN basado en Windows NT 4.0 no puede validar las solicitudes de conexin. Solucin: si los clientes VPN llaman a un servidor VPN con Windows NT 4.0 que es miembro de un dominio en modo mixto de Windows Server 2003, compruebe que el grupo Todos se ha agregado al grupo Acceso compatible con versiones anteriores de Windows 2000 mediante el comando siguiente: "net localgroup "Acceso compatible con versiones anteriores de Windows 2000"" Si no se ha agregado, escriba el comando siguiente en el smbolo del sistema de un equipo controlador de dominio y reinicie el equipo controlador de dominio: net localgroup "Acceso compatible con versiones anteriores de Windows 2000" everyone /add Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca del servidor de acceso remoto de Windows NT 4.0 en un dominio de Windows Server 2003. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: el servidor VPN no puede comunicar con el servidor RADIUS configurado. Solucin: si slo puede llegar al servidor RADIUS a travs de la interfaz de Internet, siga uno de estos procedimientos: o Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1812 (basado en RFC 2138, "Servicio de usuario de acceso telefnico de autenticacin remota (RADIUS)"). O bien o Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1645 (en el caso de servidores RADIUS antiguos), para autenticacin RADIUS y el puerto UDP 1813 (basado en RFC 2139, "Administracin de cuentas RADIUS"). O bien

Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1646 (en el caso de servidores RADIUS antiguos) para la administracin de cuentas RADIUS. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo agregar un filtro de paquetes. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: no se puede conectar con el servidor VPN a travs de Internet mediante la utilidad Ping.exe. o Solucin: debido al filtrado de paquetes de PPTP y L2TP sobre IPSec configurado en la interfaz de Internet del servidor VPN, se filtran los paquetes del Protocolo de mensajes de control de Internet (ICMP) utilizados por el comando ping. Para activar el servidor VPN de forma que responda a los paquetes ICMP (ping), agregue un filtro de entrada y un filtro de salida que permitan el trfico para el protocolo IP 1 (trfico ICMP).

Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo agregar un filtro de paquetes. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. No se puede enviar o recibir datos Causa: no se ha agregado la interfaz de marcado a peticin apropiada al protocolo que se est enrutando. Solucin: agregue la interfaz de marcado a peticin apropiada al protocolo que se est enrutando. Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003 para obtener ms informacin acerca de cmo agregar una interfaz de enrutamiento. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: no existen rutas en ninguno de los dos lados de la conexin VPN de enrutador a enrutador que permitan el intercambio de trfico en los dos sentidos. Solucin: a diferencia de las conexiones VPN de acceso remoto, una conexin VPN de enrutador a enrutador no crea automticamente una ruta predeterminada. Debe crear rutas en ambos lados de la conexin VPN de enrutador a enrutador para que se pueda enrutar el trfico hacia y desde el otro lado de la conexin VPN de enrutador a enrutador. Puede agregar rutas estticas a la tabla de enrutamiento manualmente o puede agregarlas mediante protocolos de enrutamiento. Para conexiones VPN persistentes, puede activar Abrir primero la ruta de acceso ms corta (OSPF, Open Shortest Path First o el Protocolo de informacin de enrutamiento (RIP, Routing Information Protocol) en la conexin VPN. En el caso de las conexiones VPN a peticin, puede actualizar las rutas automticamente mediante una actualizacin RIP autoesttica. Vea la Ayuda en pantalla de Windows Server 2003 para obtener ms informacin acerca de cmo agregar un protocolo de enrutamiento IP, cmo agregar una ruta esttica y cmo realizar actualizaciones autoestticas. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003.

Causa: el enrutador que responde, que se ha iniciado en dos sentidos como conexin de acceso remoto, est interpretando una conexin VPN de enrutador a enrutador. Solucin: si el nombre de usuario de las credenciales del enrutador que llama aparece bajo Clientes de marcado en Enrutamiento y acceso remoto, el enrutador que responde puede interpretar que el enrutador que llama es un cliente de acceso remoto. Compruebe que el nombre de usuario de las credenciales del enrutador que llama coincide con el nombre de una interfaz de marcado a peticin del enrutador que responde. Si el elemento que realiza la llamada entrante es un enrutador, el puerto en el que se recibi la llamada muestra el estado Activo y la interfaz de marcado a peticin correspondiente tiene el estado Conectado. Vea la Ayuda en pantalla de Windows Server 2003 para obtener ms informacin acerca de cmo comprobar el estado del puerto en el enrutador que responde y de la interfaz de marcado a peticin. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: los filtros de paquetes de las interfaces de marcado a peticin del enrutador que llama y del que responde impiden el flujo de trfico. Solucin: compruebe que en las interfaces de marcado a peticin del enrutador que llama y del que responde no hay filtros de paquetes que impidan enviar o recibir trfico. Puede configurar cada interfaz de marcado a peticin con filtros de entrada y de salida IP e IPX para controlar la naturaleza exacta del trfico TCP/IP e IPX al que se permite entrar y salir de la interfaz de marcado a peticin. Vea la Ayuda en pantalla de Windows Server 2003 para obtener ms informacin acerca de cmo administrar los filtros de paquetes. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003. Causa: los filtros de paquetes del perfil de la directiva de acceso remoto impiden el flujo del trfico IP. Solucin: compruebe que no hay filtros de paquetes TCP/IP configurados en las propiedades del perfil de las directivas de acceso remoto en el servidor VPN (o el servidor RADIUS si se usa el Servicio de autenticacin Internet) que impidan el envo o la recepcin del trafico TCP/IP. Puede utilizar directivas de acceso remoto para configurar filtros de paquetes TCP/IP de entrada y salida que controlen la naturaleza exacta del trfico TCPIP permitido en la conexin VPN. Compruebe que los filtros de paquetes TCP/IP del perfil no impiden el flujo de trfico. Vea la Ayuda en pantalla de Windows Server 2003 para obtener ms informacin acerca de cmo configurar las opciones IP. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de Windows Server 2003.