Problema estableciendo conexion VPN L2TP/IPSEC desde cliente W2000 a isa server 2000

El isa tiene los IP packet filters necesarios para permitir conexiones l2tp?


Alejandro A. Ponicke
MCSA-MCSE-MCT-MVP
Buenos Aires-Argentina


"MalagaEquipo" wrote in message
news:98Ewd.4443352$

He conseguido que un cliente W2000 o XP establezca una conexion VPN en
modo L2TP con mi servidor isa 2000 server.

Estos clientes para pruebas estan dentro de una red local incluyendo el
servidor isa.

He utilizado Certificados expedidos por el mismo Isa server instalando
para ello el servicio "Certificate Server".

El servidor de certificados lo he configurado como servidor de raiz
principal independiente y sin necesidad de active directory.

Los certificados utilizados para el cliente y servidor son del tipo
"Certificado Ipsec"

Para la configuracion me he apoyado en los manuales de microsoft y de la
pagina www.isaserver.org

He configurado el acceso remoto y los clientes.
He habilitado en isa server la vpn usando el wizard para vpns y he
revisado que en los filtros de paquetes estan correctamente configurados
los puertos UDP 500, 4500,1701 y 47.

Las pruebas son exitosas tanto para conexiones en modo PPTP como en modo
L2TP siempre que el cliente intente conectarse dentro de la misma red
local usando como ip de conexion la ip interna o el nombre del equipo del
isa server.

El problema esta en el establecimiento de conexiones L2TP desde internet
hacia el servidor isa, ya que este mismo equipo cliente al intentar la
conexion responde con el siguiente error:

Error: 791: Error en el intento de conexion L2TP porque no se ha
encontrado la directiva de seguridad para la conexion.

Si configuro el cliente para forzar la conexion por PPTP o en automatico
no tengo problemas y conecto perfectamente.

Me interesa poder establecer la conexion unicamente por L2TP para reforzar
la seguridad, pero este error me trae de cabeza y llevo dias investigando
sin encontrar ninguna solucion.

He monitorizado incluso con un sniffer de red examinando el trafico en la
conexion L2TP dentro y fuera de la red y durante el proceso de
auntenticacion el trafico generado parece identico, y veo que solo usan el
puerto udp 500.

Agradeceria vuestra ayuda para completar la instalacion y perdon por el
ladrillo.
Espero que la informacion suministrada sea suficiente para arrojar un poco
de luz sobre su resolucion.
Gracias.

Tengo habilitados dos filtros para conexiones pptp y otros dos filtros mas
para los puertos udp 500 para conexiones l2tp.
Tengo que decir que estos filtros los ha configurado el isa server a traves
del asistente.
Yo lo que he echo siguiendo instrucciones de manuales que he encontrado por
ahi, es añadir un nuevo filtro para permitir
el acceso al puerto udp 4500.

Agradezo a quien sea que si ha conseguido establecer conexiones vpn l2tp
desde un cliente windows 2000 o XP desde fuera de la red local contra
el isa2000, me cuente como ha configurado los filtros y alguna otra cosa que
a mi se me escapa de las manos.

nunca tuve problemas para conexiones pptp con los filtros que genera isa por
defecto en el asistente, pero se ve que para l2tp se necesita algo mas que
los filtros preconfigurados, aparte de las configuraciones explicadas mas
abajo.

Cualquier ayuda sera bien recibida
Gracias.



"Alejandro A. Ponicke" escribió en el
mensaje news:

El isa tiene los IP packet filters necesarios para permitir conexiones
l2tp?


Alejandro A. Ponicke
MCSA-MCSE-MCT-MVP
Buenos Aires-Argentina


"MalagaEquipo" wrote in message
news:98Ewd.4443352$

He conseguido que un cliente W2000 o XP establezca una conexion VPN en
modo L2TP con mi servidor isa 2000 server.

Estos clientes para pruebas estan dentro de una red local incluyendo el
servidor isa.

He utilizado Certificados expedidos por el mismo Isa server instalando
para ello el servicio "Certificate Server".

El servidor de certificados lo he configurado como servidor de raiz
principal independiente y sin necesidad de active directory.

Los certificados utilizados para el cliente y servidor son del tipo
"Certificado Ipsec"

Para la configuracion me he apoyado en los manuales de microsoft y de la
pagina www.isaserver.org

He configurado el acceso remoto y los clientes.
He habilitado en isa server la vpn usando el wizard para vpns y he
revisado que en los filtros de paquetes estan correctamente configurados
los puertos UDP 500, 4500,1701 y 47.

Las pruebas son exitosas tanto para conexiones en modo PPTP como en modo
L2TP siempre que el cliente intente conectarse dentro de la misma red
local usando como ip de conexion la ip interna o el nombre del equipo del
isa server.

El problema esta en el establecimiento de conexiones L2TP desde internet
hacia el servidor isa, ya que este mismo equipo cliente al intentar la
conexion responde con el siguiente error:

Error: 791: Error en el intento de conexion L2TP porque no se ha
encontrado la directiva de seguridad para la conexion.

Si configuro el cliente para forzar la conexion por PPTP o en automatico
no tengo problemas y conecto perfectamente.

Me interesa poder establecer la conexion unicamente por L2TP para
reforzar la seguridad, pero este error me trae de cabeza y llevo dias
investigando sin encontrar ninguna solucion.

He monitorizado incluso con un sniffer de red examinando el trafico en la
conexion L2TP dentro y fuera de la red y durante el proceso de
auntenticacion el trafico generado parece identico, y veo que solo usan
el puerto udp 500.

Agradeceria vuestra ayuda para completar la instalacion y perdon por el
ladrillo.
Espero que la informacion suministrada sea suficiente para arrojar un
poco de luz sobre su resolucion.
Gracias.

Por delante del ervidor ISA tienes algun router que realiza NAT ?
Los clientes de inetrnet que establecen conexiones L2TP/IPSec se conectan a
inetrnet me diante rouetrs que realzian NAT ?

Un saludo.
Ivan
MS MVP ISA Server


"MalagaEquipo" escribió en el mensaje
news:r7ixd.4488959$

Tengo habilitados dos filtros para conexiones pptp y otros dos filtros mas
para los puertos udp 500 para conexiones l2tp.
Tengo que decir que estos filtros los ha configurado el isa server a
traves del asistente.
Yo lo que he echo siguiendo instrucciones de manuales que he encontrado
por ahi, es añadir un nuevo filtro para permitir
el acceso al puerto udp 4500.

Agradezo a quien sea que si ha conseguido establecer conexiones vpn l2tp
desde un cliente windows 2000 o XP desde fuera de la red local contra
el isa2000, me cuente como ha configurado los filtros y alguna otra cosa
que a mi se me escapa de las manos.

nunca tuve problemas para conexiones pptp con los filtros que genera isa
por defecto en el asistente, pero se ve que para l2tp se necesita algo mas
que los filtros preconfigurados, aparte de las configuraciones explicadas
mas abajo.

Cualquier ayuda sera bien recibida
Gracias.



"Alejandro A. Ponicke" escribió en el
mensaje news:

El isa tiene los IP packet filters necesarios para permitir conexiones
l2tp?


Alejandro A. Ponicke
MCSA-MCSE-MCT-MVP
Buenos Aires-Argentina


"MalagaEquipo" wrote in message
news:98Ewd.4443352$

He conseguido que un cliente W2000 o XP establezca una conexion VPN en
modo L2TP con mi servidor isa 2000 server.

Estos clientes para pruebas estan dentro de una red local incluyendo el
servidor isa.

He utilizado Certificados expedidos por el mismo Isa server instalando
para ello el servicio "Certificate Server".

El servidor de certificados lo he configurado como servidor de raiz
principal independiente y sin necesidad de active directory.

Los certificados utilizados para el cliente y servidor son del tipo
"Certificado Ipsec"

Para la configuracion me he apoyado en los manuales de microsoft y de la
pagina www.isaserver.org

He configurado el acceso remoto y los clientes.
He habilitado en isa server la vpn usando el wizard para vpns y he
revisado que en los filtros de paquetes estan correctamente configurados
los puertos UDP 500, 4500,1701 y 47.

Las pruebas son exitosas tanto para conexiones en modo PPTP como en modo
L2TP siempre que el cliente intente conectarse dentro de la misma red
local usando como ip de conexion la ip interna o el nombre del equipo
del isa server.

El problema esta en el establecimiento de conexiones L2TP desde internet
hacia el servidor isa, ya que este mismo equipo cliente al intentar la
conexion responde con el siguiente error:

Error: 791: Error en el intento de conexion L2TP porque no se ha
encontrado la directiva de seguridad para la conexion.

Si configuro el cliente para forzar la conexion por PPTP o en automatico
no tengo problemas y conecto perfectamente.

Me interesa poder establecer la conexion unicamente por L2TP para
reforzar la seguridad, pero este error me trae de cabeza y llevo dias
investigando sin encontrar ninguna solucion.

He monitorizado incluso con un sniffer de red examinando el trafico en
la conexion L2TP dentro y fuera de la red y durante el proceso de
auntenticacion el trafico generado parece identico, y veo que solo usan
el puerto udp 500.

Agradeceria vuestra ayuda para completar la instalacion y perdon por el
ladrillo.
Espero que la informacion suministrada sea suficiente para arrojar un
poco de luz sobre su resolucion.
Gracias.

El propio servidor isa es el que hace de servidor de vpn (Tiene instalado el
service pack 2)
El router utilizado para conexiones de internet esta configurado como
monopuesto asi que todo el trabajo de cortafuegos y seguridad lo soporta
el mismo servidor isa.

El servidor isa tiene instalada dos tarjetas de red, una configurada con la
ip publica facilitada por mi proveedor de internet y conectada al router
adsl en monopuesto.

La otra tarjeta de red esta configurada con la ip dentro del rango de mi red
local y con las dns en blanco.

Los clientes son equipos con XP profesional, home edition, y W2000
profesional, tanto en equipos de sobremesa como Laptop portatiles.

Las pruebas que hemos realizado con dos clientes distintos utilizan un
router adsl en multipuesto, con la puerta de enlace configurada con la ip
lan del router adsl.
(Asumo que este tipo de configuracion usan NAT).

He de decir que he leido todo lo que he encontrado en internet y los foros
de noticias relacionado con el error 791 en el cliente al intentar
establecer la comunicacion L2TP/IPSec y estoy desconcertado debido a la gran
cantidad de teorias distintas posibles causantes del problema.

Unos dicen que tanto el cliente como el servidor de vpn tiene que estar a la
ultima en los Service pack y parches de microsoft.
Otros dicen que microsoft en su SP2 de Windows XP ha deshabilitado las
comunicaciones via L2TP en favor de PPTP y que para habilitarlas hay que
añadir una clave en el registro del sistema para habilitar este tipo de
comunicacion.
Otros que el router debe soportar NAT-T que no entiendo muy bien que es, y
no se especifica si NAT-T es para el router del cliente, del servidor o para
ambos.

En estos tiempos los proveedores de isp no facilitan a sus clientes IP's
fijas si no es previo contrato aparte por lo que no puedo aplicar una regla
en el isa para permitir conexiones pptp solo una direccion ip origen en
concreto. Aparte de esto algunos clientes son moviles por que deben poder
conectar desde cualquier lugar usando una toma de telefono disponible o
incluso usando su propio movil gprs como modem de datos.

Me parece una grave deficiencia de seguridad por mi parte dejar habilitadas
las conexiones vpn desde internet solo para pptp porque cualquiera con
paciencia probando usuario y contraseña puede llegar a establecer una
conexion.

Mi objetivo es impedir las conexiones entrantes por PPTP habilitando solo
las L2TP/IPSec donde el cliente tenga instalado un certificado emitido por
nuestro isa que le autoriza a auntenticarse y establecer la conexion con
nuestro servidor aparte del usuario y contraseña tradicional para validar la
conexion.

Estos clientes deberian poder establecer la conexion utilizando una llamada
tradicional analogica desde sus laptop, pc de sobremesa con su modem RTB,
modem adsl, router adsl corporativo usando NAT, etc.

Quizas en el caso de que los clientes usen un router usando NAT, haya que
habilitar en ellos una configuracion especial para permitir este tipo de
trafico.

Estoy muy confuso y no encuentro un manual donde de forma clara y sin
demasiados tecnicismos se explique como configurar el hardware y el software
del cliente y el servidor para establecer comunicaciones L2TP con
exito.(Aparte de la instalacion, configuracion y emision de certificados
para servidor y cliente que ya lo tengo superado).

Te agradezo Ivan tu interes por el tema y te ruego que no abandones,
perdones mi ignorancia en algunos temas y si conoces un perfil de
configuracion valido, lo expongas de dorma publica para que yo y otros
interesados podamos aprovechar la seguridad adicional que proporciona es
tipo de conexiones VPN.


Saludos.







"Ivan [MS MVP]" escribió en el mensaje
news:

Por delante del ervidor ISA tienes algun router que realiza NAT ?
Los clientes de inetrnet que establecen conexiones L2TP/IPSec se conectan
a inetrnet me diante rouetrs que realzian NAT ?

Un saludo.
Ivan
MS MVP ISA Server


"MalagaEquipo" escribió en el mensaje
news:r7ixd.4488959$

Tengo habilitados dos filtros para conexiones pptp y otros dos filtros
mas para los puertos udp 500 para conexiones l2tp.
Tengo que decir que estos filtros los ha configurado el isa server a
traves del asistente.
Yo lo que he echo siguiendo instrucciones de manuales que he encontrado
por ahi, es añadir un nuevo filtro para permitir
el acceso al puerto udp 4500.

Agradezo a quien sea que si ha conseguido establecer conexiones vpn l2tp
desde un cliente windows 2000 o XP desde fuera de la red local contra
el isa2000, me cuente como ha configurado los filtros y alguna otra cosa
que a mi se me escapa de las manos.

nunca tuve problemas para conexiones pptp con los filtros que genera isa
por defecto en el asistente, pero se ve que para l2tp se necesita algo
mas que los filtros preconfigurados, aparte de las configuraciones
explicadas mas abajo.

Cualquier ayuda sera bien recibida
Gracias.



"Alejandro A. Ponicke" escribió en el
mensaje news:

El isa tiene los IP packet filters necesarios para permitir conexiones
l2tp?


Alejandro A. Ponicke
MCSA-MCSE-MCT-MVP
Buenos Aires-Argentina


"MalagaEquipo" wrote in message
news:98Ewd.4443352$

He conseguido que un cliente W2000 o XP establezca una conexion VPN en
modo L2TP con mi servidor isa 2000 server.

Estos clientes para pruebas estan dentro de una red local incluyendo el
servidor isa.

He utilizado Certificados expedidos por el mismo Isa server instalando
para ello el servicio "Certificate Server".

El servidor de certificados lo he configurado como servidor de raiz
principal independiente y sin necesidad de active directory.

Los certificados utilizados para el cliente y servidor son del tipo
"Certificado Ipsec"

Para la configuracion me he apoyado en los manuales de microsoft y de
la pagina www.isaserver.org

He configurado el acceso remoto y los clientes.
He habilitado en isa server la vpn usando el wizard para vpns y he
revisado que en los filtros de paquetes estan correctamente
configurados los puertos UDP 500, 4500,1701 y 47.

Las pruebas son exitosas tanto para conexiones en modo PPTP como en
modo L2TP siempre que el cliente intente conectarse dentro de la misma
red local usando como ip de conexion la ip interna o el nombre del
equipo del isa server.

El problema esta en el establecimiento de conexiones L2TP desde
internet hacia el servidor isa, ya que este mismo equipo cliente al
intentar la conexion responde con el siguiente error:

Error: 791: Error en el intento de conexion L2TP porque no se ha
encontrado la directiva de seguridad para la conexion.

Si configuro el cliente para forzar la conexion por PPTP o en
automatico no tengo problemas y conecto perfectamente.

Me interesa poder establecer la conexion unicamente por L2TP para
reforzar la seguridad, pero este error me trae de cabeza y llevo dias
investigando sin encontrar ninguna solucion.

He monitorizado incluso con un sniffer de red examinando el trafico en
la conexion L2TP dentro y fuera de la red y durante el proceso de
auntenticacion el trafico generado parece identico, y veo que solo usan
el puerto udp 500.

Agradeceria vuestra ayuda para completar la instalacion y perdon por el
ladrillo.
Espero que la informacion suministrada sea suficiente para arrojar un
poco de luz sobre su resolucion.
Gracias.

Para utilizar conexiones L2TPIPSec a traves de dispositivos NAT, es
necesario utilizar el estandar NAT-T (500 y 4500 UDP). Si tu servidor VPN no
es Windows 2003, es imposible establecer conexiones L2TP/IPSec si de por
medio hay algun tipo de dispositivo NAT, necesitas Windows 2003. En los
clientes VPN el soporte NAT-T esta disponible mediante un update. Si se
trata de Windows XP SP2, es necesario habilitar el soporte NAT-T modificando
cierta clave del registro.

Un saludo.
Ivan
MS MVP ISA Server


"MalagaEquipo" escribió en el mensaje
news:ebcyd.4541913$

El propio servidor isa es el que hace de servidor de vpn (Tiene instalado
el service pack 2)
El router utilizado para conexiones de internet esta configurado como
monopuesto asi que todo el trabajo de cortafuegos y seguridad lo soporta
el mismo servidor isa.

El servidor isa tiene instalada dos tarjetas de red, una configurada con
la ip publica facilitada por mi proveedor de internet y conectada al
router adsl en monopuesto.

La otra tarjeta de red esta configurada con la ip dentro del rango de mi
red local y con las dns en blanco.

Los clientes son equipos con XP profesional, home edition, y W2000
profesional, tanto en equipos de sobremesa como Laptop portatiles.

Las pruebas que hemos realizado con dos clientes distintos utilizan un
router adsl en multipuesto, con la puerta de enlace configurada con la ip
lan del router adsl.
(Asumo que este tipo de configuracion usan NAT).

He de decir que he leido todo lo que he encontrado en internet y los foros
de noticias relacionado con el error 791 en el cliente al intentar
establecer la comunicacion L2TP/IPSec y estoy desconcertado debido a la
gran cantidad de teorias distintas posibles causantes del problema.

Unos dicen que tanto el cliente como el servidor de vpn tiene que estar a
la ultima en los Service pack y parches de microsoft.
Otros dicen que microsoft en su SP2 de Windows XP ha deshabilitado las
comunicaciones via L2TP en favor de PPTP y que para habilitarlas hay que
añadir una clave en el registro del sistema para habilitar este tipo de
comunicacion.
Otros que el router debe soportar NAT-T que no entiendo muy bien que es, y
no se especifica si NAT-T es para el router del cliente, del servidor o
para ambos.

En estos tiempos los proveedores de isp no facilitan a sus clientes IP's
fijas si no es previo contrato aparte por lo que no puedo aplicar una
regla en el isa para permitir conexiones pptp solo una direccion ip origen
en concreto. Aparte de esto algunos clientes son moviles por que deben
poder conectar desde cualquier lugar usando una toma de telefono
disponible o incluso usando su propio movil gprs como modem de datos.

Me parece una grave deficiencia de seguridad por mi parte dejar
habilitadas las conexiones vpn desde internet solo para pptp porque
cualquiera con paciencia probando usuario y contraseña puede llegar a
establecer una conexion.

Mi objetivo es impedir las conexiones entrantes por PPTP habilitando solo
las L2TP/IPSec donde el cliente tenga instalado un certificado emitido por
nuestro isa que le autoriza a auntenticarse y establecer la conexion con
nuestro servidor aparte del usuario y contraseña tradicional para validar
la conexion.

Estos clientes deberian poder establecer la conexion utilizando una
llamada tradicional analogica desde sus laptop, pc de sobremesa con su
modem RTB, modem adsl, router adsl corporativo usando NAT, etc.

Quizas en el caso de que los clientes usen un router usando NAT, haya que
habilitar en ellos una configuracion especial para permitir este tipo de
trafico.

Estoy muy confuso y no encuentro un manual donde de forma clara y sin
demasiados tecnicismos se explique como configurar el hardware y el
software del cliente y el servidor para establecer comunicaciones L2TP con
exito.(Aparte de la instalacion, configuracion y emision de certificados
para servidor y cliente que ya lo tengo superado).

Te agradezo Ivan tu interes por el tema y te ruego que no abandones,
perdones mi ignorancia en algunos temas y si conoces un perfil de
configuracion valido, lo expongas de dorma publica para que yo y otros
interesados podamos aprovechar la seguridad adicional que proporciona es
tipo de conexiones VPN.


Saludos.







"Ivan [MS MVP]" escribió en el mensaje
news:

Por delante del ervidor ISA tienes algun router que realiza NAT ?
Los clientes de inetrnet que establecen conexiones L2TP/IPSec se conectan
a inetrnet me diante rouetrs que realzian NAT ?

Un saludo.
Ivan
MS MVP ISA Server


"MalagaEquipo" escribió en el mensaje
news:r7ixd.4488959$

Tengo habilitados dos filtros para conexiones pptp y otros dos filtros
mas para los puertos udp 500 para conexiones l2tp.
Tengo que decir que estos filtros los ha configurado el isa server a
traves del asistente.
Yo lo que he echo siguiendo instrucciones de manuales que he encontrado
por ahi, es añadir un nuevo filtro para permitir
el acceso al puerto udp 4500.

Agradezo a quien sea que si ha conseguido establecer conexiones vpn l2tp
desde un cliente windows 2000 o XP desde fuera de la red local contra
el isa2000, me cuente como ha configurado los filtros y alguna otra cosa
que a mi se me escapa de las manos.

nunca tuve problemas para conexiones pptp con los filtros que genera isa
por defecto en el asistente, pero se ve que para l2tp se necesita algo
mas que los filtros preconfigurados, aparte de las configuraciones
explicadas mas abajo.

Cualquier ayuda sera bien recibida
Gracias.



"Alejandro A. Ponicke" escribió en el
mensaje news:

El isa tiene los IP packet filters necesarios para permitir conexiones
l2tp?


Alejandro A. Ponicke
MCSA-MCSE-MCT-MVP
Buenos Aires-Argentina


"MalagaEquipo" wrote in message
news:98Ewd.4443352$

He conseguido que un cliente W2000 o XP establezca una conexion VPN en
modo L2TP con mi servidor isa 2000 server.

Estos clientes para pruebas estan dentro de una red local incluyendo
el servidor isa.

He utilizado Certificados expedidos por el mismo Isa server instalando
para ello el servicio "Certificate Server".

El servidor de certificados lo he configurado como servidor de raiz
principal independiente y sin necesidad de active directory.

Los certificados utilizados para el cliente y servidor son del tipo
"Certificado Ipsec"

Para la configuracion me he apoyado en los manuales de microsoft y de
la pagina www.isaserver.org

He configurado el acceso remoto y los clientes.
He habilitado en isa server la vpn usando el wizard para vpns y he
revisado que en los filtros de paquetes estan correctamente
configurados los puertos UDP 500, 4500,1701 y 47.

Las pruebas son exitosas tanto para conexiones en modo PPTP como en
modo L2TP siempre que el cliente intente conectarse dentro de la misma
red local usando como ip de conexion la ip interna o el nombre del
equipo del isa server.

El problema esta en el establecimiento de conexiones L2TP desde
internet hacia el servidor isa, ya que este mismo equipo cliente al
intentar la conexion responde con el siguiente error:

Error: 791: Error en el intento de conexion L2TP porque no se ha
encontrado la directiva de seguridad para la conexion.

Si configuro el cliente para forzar la conexion por PPTP o en
automatico no tengo problemas y conecto perfectamente.

Me interesa poder establecer la conexion unicamente por L2TP para
reforzar la seguridad, pero este error me trae de cabeza y llevo dias
investigando sin encontrar ninguna solucion.

He monitorizado incluso con un sniffer de red examinando el trafico en
la conexion L2TP dentro y fuera de la red y durante el proceso de
auntenticacion el trafico generado parece identico, y veo que solo
usan el puerto udp 500.

Agradeceria vuestra ayuda para completar la instalacion y perdon por
el ladrillo.
Espero que la informacion suministrada sea suficiente para arrojar un
poco de luz sobre su resolucion.
Gracias.