Problemas para montar VPN con IPSEC

09/02/2008 - 15:29 por rafaofe | Informe spam
Hola, intentare ser breve:

Quiero establecer una VPN mediante ipsec entre Windows 2003 Server y
XP conectandome mediante Terminal Server y estableciendo como método
de autenticación la clave compartida.

En la LAN (equipos conectados con 1swicht) la encriptación funciona
perfectamente (verificado con el Ping y con el TS), pero en la WAN,
dejando los mismos parámetros de configuración, no consigo que
funcione, por lo que asocio el problema a los router.

Los router con que estoy haciendo actualmente las pruebas son 2 Zyxell
660 HW D1 de telefónica que soportan NAT-T (según me han comunicado en
telefónica y según he leido)

Las 2 redes que estan detras de cada router se encuentran en el mismo
tramo, es decir, 192.168.1.0/24

En el router que esta en el delante del W2003 Server realizo NAT-P
abriendo los puertos 3389 TCP, 500 UDP y 4500 UDP apuntando hacia la
dirección del W2003 Server. Dicho router tiene ip dinámica.

En el que se encuentra en el lado del cliente no he configurado nada.

Bien, las preguntas a las que achaco que no me funcione la negociación
entre ambos extremos son:

No sé sí:

1) El que esten las 2 redes privadas en el mismo tramo
(192.168.1.0/24) provoca que no funcione.

2) Es necesario realizar alguna configuración en el router que se
encuentra en el extremo de los clientes XP.

3) Debo abrir más puertos que permitan IPSEC en el router que esta en
el extremo del W2003 server.

4) Que el router que se encuentra delante del W2003 Server tenga IP
dinámica (siempre consulto la IP pública de dicho router para ponerla
en el Terminal Server antes de empezar la configuración. Por supuesto,
antes de asignar las directivas IPSec, la conexión mediante Terminal
Server funciona perfectamente), aunque pienso que no afecta.

5) Que necesite activar en los router el NAT-T. Pienso que no, ya que
no he encontrado ninguna instrucción en la configuración del router
que lo permita.

6) Que este empleando una acción de filtros excesiva que no funciona,
ya que obligo a clientes y servidor a Requerir Seguridad negociando
seguridad con lo siguiente:

a) Direcciones y datos sin integridad de encriptación AH y con
algoritmo de encriptación SHA1

b) Integridad de datos y Encriptación ESP con algoritmo de integridad
SHA1 y algoritmo de encriptación 3DES

No sé, sí se puede emplear las dos negociaciones a la vez o la
negociación para autenticación de la opción a) esta de más y se puede
eliminar al utilizar la opción b) (autenticación con el algoritmo de
integridad SHA1 y encriptación con 3DES).

7) Desconozco sí debo emplear sesión perfecta de claves (PFS) en
cliente y servidor (es como estoy realizando las pruebas y en la LAN
funciona, aunque no llego a entender el concepto totalmente).

8) En relación con los filtros utilizo la acción de reflejado, es
decir, que los paquetes coincidan exactamente con las direcciones de
origen y destino contrarios.

Los filtros que tengo en servidor y clientes para emplear TS son:

Servidor:

Dirección origen: Mi dirección IP
Dirección destino: Cualquiera
reflejado: Sí
Protocolo: TCP
Puerto Protocolo IP: Desde el 3389
Hasta cualquiera

Cliente:

Dirección origen: Mi dirección IP
Dirección destino: Cualquiera
reflejado: Sí
Protocolo: TCP
Puerto Protocolo IP: Desde cualquiera
Hasta el 3389

Desconozco sí debo incluir en los filtros algo más que este
relacionado con IPSEC (puertos o tipo de transporte (UDP; TCP)).

9) Configuración del Túnel

En este apartado no especifico ni en cliente ni en servidor la
dirección del final del túnel, ya que no sé por que, en la LAN de este
modo no funciona, aunque tal vez sea necesario para la WAN. En
cualquier caso, todas las pruebas las hago indicando que la regla no
especifica un túnel IPSec.

Muchas Gracias por adelantado. Me he alargado un poco, por que son
demasiados factores por donde puede estar el problema. A ver sí
alguien que haya montado algo de este tipo me puede orientar.

Un saludo.

Preguntas similare

Leer las respuestas

#1 Wiggum
09/02/2008 - 17:44 | Informe spam
Me quiere sonar que debes permitir el puerto 1723 y el protoclo GRE (47)
Saludos

escribió en el mensaje
news:
Hola, intentare ser breve:

Quiero establecer una VPN mediante ipsec entre Windows 2003 Server y
XP conectandome mediante Terminal Server y estableciendo como método
de autenticación la clave compartida.

En la LAN (equipos conectados con 1swicht) la encriptación funciona
perfectamente (verificado con el Ping y con el TS), pero en la WAN,
dejando los mismos parámetros de configuración, no consigo que
funcione, por lo que asocio el problema a los router.

Los router con que estoy haciendo actualmente las pruebas son 2 Zyxell
660 HW D1 de telefónica que soportan NAT-T (según me han comunicado en
telefónica y según he leido)

Las 2 redes que estan detras de cada router se encuentran en el mismo
tramo, es decir, 192.168.1.0/24

En el router que esta en el delante del W2003 Server realizo NAT-P
abriendo los puertos 3389 TCP, 500 UDP y 4500 UDP apuntando hacia la
dirección del W2003 Server. Dicho router tiene ip dinámica.

En el que se encuentra en el lado del cliente no he configurado nada.

Bien, las preguntas a las que achaco que no me funcione la negociación
entre ambos extremos son:

No sé sí:

1) El que esten las 2 redes privadas en el mismo tramo
(192.168.1.0/24) provoca que no funcione.

2) Es necesario realizar alguna configuración en el router que se
encuentra en el extremo de los clientes XP.

3) Debo abrir más puertos que permitan IPSEC en el router que esta en
el extremo del W2003 server.

4) Que el router que se encuentra delante del W2003 Server tenga IP
dinámica (siempre consulto la IP pública de dicho router para ponerla
en el Terminal Server antes de empezar la configuración. Por supuesto,
antes de asignar las directivas IPSec, la conexión mediante Terminal
Server funciona perfectamente), aunque pienso que no afecta.

5) Que necesite activar en los router el NAT-T. Pienso que no, ya que
no he encontrado ninguna instrucción en la configuración del router
que lo permita.

6) Que este empleando una acción de filtros excesiva que no funciona,
ya que obligo a clientes y servidor a Requerir Seguridad negociando
seguridad con lo siguiente:

a) Direcciones y datos sin integridad de encriptación AH y con
algoritmo de encriptación SHA1

b) Integridad de datos y Encriptación ESP con algoritmo de integridad
SHA1 y algoritmo de encriptación 3DES

No sé, sí se puede emplear las dos negociaciones a la vez o la
negociación para autenticación de la opción a) esta de más y se puede
eliminar al utilizar la opción b) (autenticación con el algoritmo de
integridad SHA1 y encriptación con 3DES).

7) Desconozco sí debo emplear sesión perfecta de claves (PFS) en
cliente y servidor (es como estoy realizando las pruebas y en la LAN
funciona, aunque no llego a entender el concepto totalmente).

8) En relación con los filtros utilizo la acción de reflejado, es
decir, que los paquetes coincidan exactamente con las direcciones de
origen y destino contrarios.

Los filtros que tengo en servidor y clientes para emplear TS son:

Servidor:

Dirección origen: Mi dirección IP
Dirección destino: Cualquiera
reflejado: Sí
Protocolo: TCP
Puerto Protocolo IP: Desde el 3389
Hasta cualquiera

Cliente:

Dirección origen: Mi dirección IP
Dirección destino: Cualquiera
reflejado: Sí
Protocolo: TCP
Puerto Protocolo IP: Desde cualquiera
Hasta el 3389

Desconozco sí debo incluir en los filtros algo más que este
relacionado con IPSEC (puertos o tipo de transporte (UDP; TCP)).

9) Configuración del Túnel

En este apartado no especifico ni en cliente ni en servidor la
dirección del final del túnel, ya que no sé por que, en la LAN de este
modo no funciona, aunque tal vez sea necesario para la WAN. En
cualquier caso, todas las pruebas las hago indicando que la regla no
especifica un túnel IPSec.

Muchas Gracias por adelantado. Me he alargado un poco, por que son
demasiados factores por donde puede estar el problema. A ver sí
alguien que haya montado algo de este tipo me puede orientar.

Un saludo.
Respuesta Responder a este mensaje
#2 Eugenio
17/02/2008 - 17:05 | Informe spam
Necesitas 2 cosas:
1.- En el Xp del cliente debes añadir un valor en el registro: AssumeUDP...,
lo podrás ver en una KB de microsoft. Esto sirve para conectarte vía NAT-T
desde el cliente.

2.- Como en ambos sitios tienes le mismo rango IP, debes añadir una ruta en
el cliente que para ir a la 192.168.1.0/24 vaya a la IP que te de el RAS. O
mejor cmabia la Subred del cliente por otra distinta.


escribió en el mensaje
news:
Hola, intentare ser breve:

Quiero establecer una VPN mediante ipsec entre Windows 2003 Server y
XP conectandome mediante Terminal Server y estableciendo como método
de autenticación la clave compartida.

En la LAN (equipos conectados con 1swicht) la encriptación funciona
perfectamente (verificado con el Ping y con el TS), pero en la WAN,
dejando los mismos parámetros de configuración, no consigo que
funcione, por lo que asocio el problema a los router.

Los router con que estoy haciendo actualmente las pruebas son 2 Zyxell
660 HW D1 de telefónica que soportan NAT-T (según me han comunicado en
telefónica y según he leido)

Las 2 redes que estan detras de cada router se encuentran en el mismo
tramo, es decir, 192.168.1.0/24

En el router que esta en el delante del W2003 Server realizo NAT-P
abriendo los puertos 3389 TCP, 500 UDP y 4500 UDP apuntando hacia la
dirección del W2003 Server. Dicho router tiene ip dinámica.

En el que se encuentra en el lado del cliente no he configurado nada.

Bien, las preguntas a las que achaco que no me funcione la negociación
entre ambos extremos son:

No sé sí:

1) El que esten las 2 redes privadas en el mismo tramo
(192.168.1.0/24) provoca que no funcione.

2) Es necesario realizar alguna configuración en el router que se
encuentra en el extremo de los clientes XP.

3) Debo abrir más puertos que permitan IPSEC en el router que esta en
el extremo del W2003 server.

4) Que el router que se encuentra delante del W2003 Server tenga IP
dinámica (siempre consulto la IP pública de dicho router para ponerla
en el Terminal Server antes de empezar la configuración. Por supuesto,
antes de asignar las directivas IPSec, la conexión mediante Terminal
Server funciona perfectamente), aunque pienso que no afecta.

5) Que necesite activar en los router el NAT-T. Pienso que no, ya que
no he encontrado ninguna instrucción en la configuración del router
que lo permita.

6) Que este empleando una acción de filtros excesiva que no funciona,
ya que obligo a clientes y servidor a Requerir Seguridad negociando
seguridad con lo siguiente:

a) Direcciones y datos sin integridad de encriptación AH y con
algoritmo de encriptación SHA1

b) Integridad de datos y Encriptación ESP con algoritmo de integridad
SHA1 y algoritmo de encriptación 3DES

No sé, sí se puede emplear las dos negociaciones a la vez o la
negociación para autenticación de la opción a) esta de más y se puede
eliminar al utilizar la opción b) (autenticación con el algoritmo de
integridad SHA1 y encriptación con 3DES).

7) Desconozco sí debo emplear sesión perfecta de claves (PFS) en
cliente y servidor (es como estoy realizando las pruebas y en la LAN
funciona, aunque no llego a entender el concepto totalmente).

8) En relación con los filtros utilizo la acción de reflejado, es
decir, que los paquetes coincidan exactamente con las direcciones de
origen y destino contrarios.

Los filtros que tengo en servidor y clientes para emplear TS son:

Servidor:

Dirección origen: Mi dirección IP
Dirección destino: Cualquiera
reflejado: Sí
Protocolo: TCP
Puerto Protocolo IP: Desde el 3389
Hasta cualquiera

Cliente:

Dirección origen: Mi dirección IP
Dirección destino: Cualquiera
reflejado: Sí
Protocolo: TCP
Puerto Protocolo IP: Desde cualquiera
Hasta el 3389

Desconozco sí debo incluir en los filtros algo más que este
relacionado con IPSEC (puertos o tipo de transporte (UDP; TCP)).

9) Configuración del Túnel

En este apartado no especifico ni en cliente ni en servidor la
dirección del final del túnel, ya que no sé por que, en la LAN de este
modo no funciona, aunque tal vez sea necesario para la WAN. En
cualquier caso, todas las pruebas las hago indicando que la regla no
especifica un túnel IPSec.

Muchas Gracias por adelantado. Me he alargado un poco, por que son
demasiados factores por donde puede estar el problema. A ver sí
alguien que haya montado algo de este tipo me puede orientar.

Un saludo.
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida