Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Windows 2000 Server como cliente L2TP.

20/10/2005 - 11:59 por descaro | Informe spam
Ayuda Hacer una pregunta
Saludos a todos.

Tengo un problema al intentar conectar un servidor Windows 2000 Server como
cliente VPN de tipo L2TP, os cuento.

Como primer paso configuré un túnel L2TP entre dos servidores Windows 2000
Server a través de mi LAN. Este punto funciona correctamente.

La siguiente prueba que hice fue hacer pasar el mismo túnel y con los mismos
servidores a través de una conexión frame-relay. Esta prueba también me
funcionó correctamente.

La tercera parte, y la final, era probar el túnel a través de Internet. Para
ello monté en laboratorio un Windows Server 2003 Enterprise Edition. El
esquema es el siguiente:

"W 2000 Server" <-> NAT <-> Internet <-> NAT <-> "W Server 2003"

Comentaros que la interfaz existente en el Windows 2000 Server es de tipo
DOD y la tengo creada en RRAS.

Pues bien, al intentar conectar el servidor Windows 2000 Server al Windows
Server 2003 me devuelve el error con código 791, y en el visor de sucesos me
aparece con el Id. de suceso 20111 ("Se inició satisfactoriamente la conexión
en el puerto VPN1-x pero se agotó el tiempo de espera de la negociación de
seguridad"). He visitado el vínculo de la Knowledge Base que hace referencia
a dicho Id. pero no me ha aportado solución alguna ya que yo autentico y
cifro los túneles con certificados de usuario y de equipo.

He probado igualmente a conectar un Windows XP Pro SP2 por L2TP al servidor
Windows Server 2003 y me ha funcionado correctamente, lo mismo para un
cliente Windows 2000 Pro SP4, no he tenido problema alguno con el mismo
esquema que os comenté poco antes.

Ante la imposibilidad de conectarme desde el servidor Windows 2000 Server
probé a quitarlo del NAT y que se conectase directamente a Internet por un
módem a ver qué pasaba, pero el resultado fue el mismo, error 791, incluso si
deshabilito RRAS y me creo una nueva interfaz para L2TP en mis conexiones de
red.

He comprobado que se crea correctamente y de modo automático la directiva
IPSec con "netdiag /test:ipsec /v /debug", incluso en el monitor IPSec del
Windows Server 2003 llego a ver que se crea una asociación entre los dos
equipos en el Modo Principal, pero de ahí no pasamos.

Haciendo sniffing he podido llegar a ver que ambas máquinas transmiten
tramas ISAKMP con los puertos UDP 500, UDP 4500 y UDP 1109, pero lo cierto es
que la conexión no llega a establecerse en momento alguno.

Me estoy acercando peligrosamente al punto de ya no saber qué más hacer y no
consigo encontrar información exacta del procedimiento a seguir por si me
estoy saltando algún paso, porque para conectarme por PPTP no he tenido
historia alguna en ningún momento.

Quisiera comentaros que tengo los sistemas operativos actualizados al día de
hoy.

Os agradecería enormemente cualquier ayuda, de veras que no tengo la menos
idea de lo que se me está escapando.

Gracias por todo de antemano.
email Siga el debateRespuesta 5 respuestasRespuesta Tengo una respuesta
DRAGON AGE™: INQUISITION – Matadragones
 

Leer las respuestas

#1 Guillermo Delprato [MS-MVP]
20/10/2005 - 15:38 | Informe spam
A ver si puedo darte alguna idea para que sigas investigando, porque la
solución... :-)

L2TP usa IPSec, y este último tiene sus problemas para pasar por NAT ¿de
acuerdo?
Para que IPSec pase a través de un dispositivo NAT, este último debe
soportar NAT-T (NAT Traversal)
Según lo que sé, con sistemas MS esto sólo es posible con W2003 + ISA2004

Pero, por lo que estoy leyendo, lo has podido hacer con W2000 Prof y no con
W2000 Srv ¿es así?
Si es así, entonces queda por investigar las diferencias de configuració
entre ambos

Por otro lado ¿qué es lo que está haciendo NAT? ¿hardware o software?

Más ideas:
L2TP usa UDP-1701
ISAKMP es que está usando UDP-500
IPSec usa TCP y UDP-4500
Me extraña que veas 1901, que no es ninguno de ellos ¿va al 1701?
Los protocolos usados por IPSec (AH y ESP) usan (creo recordar...) Protocol
ID 50 y 51

Bueno, son ideas para que puedas investigar más, pero creo que el problema
debe estar en si los NAT, realmente soportan NAT-T


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

http://support.microsoft.com/kb/555375/en-us

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




descaro wrote:
Saludos a todos.

Tengo un problema al intentar conectar un servidor Windows 2000
Server como cliente VPN de tipo L2TP, os cuento.

Como primer paso configuré un túnel L2TP entre dos servidores Windows
2000 Server a través de mi LAN. Este punto funciona correctamente.

La siguiente prueba que hice fue hacer pasar el mismo túnel y con los
mismos servidores a través de una conexión frame-relay. Esta prueba
también me funcionó correctamente.

La tercera parte, y la final, era probar el túnel a través de
Internet. Para ello monté en laboratorio un Windows Server 2003
Enterprise Edition. El esquema es el siguiente:

"W 2000 Server" <-> NAT <-> Internet <-> NAT <-> "W Server 2003"

Comentaros que la interfaz existente en el Windows 2000 Server es de
tipo DOD y la tengo creada en RRAS.

Pues bien, al intentar conectar el servidor Windows 2000 Server al
Windows Server 2003 me devuelve el error con código 791, y en el
visor de sucesos me aparece con el Id. de suceso 20111 ("Se inició
satisfactoriamente la conexión en el puerto VPN1-x pero se agotó el
tiempo de espera de la negociación de seguridad"). He visitado el
vínculo de la Knowledge Base que hace referencia a dicho Id. pero no
me ha aportado solución alguna ya que yo autentico y cifro los
túneles con certificados de usuario y de equipo.

He probado igualmente a conectar un Windows XP Pro SP2 por L2TP al
servidor Windows Server 2003 y me ha funcionado correctamente, lo
mismo para un cliente Windows 2000 Pro SP4, no he tenido problema
alguno con el mismo esquema que os comenté poco antes.

Ante la imposibilidad de conectarme desde el servidor Windows 2000
Server probé a quitarlo del NAT y que se conectase directamente a
Internet por un módem a ver qué pasaba, pero el resultado fue el
mismo, error 791, incluso si deshabilito RRAS y me creo una nueva
interfaz para L2TP en mis conexiones de red.

He comprobado que se crea correctamente y de modo automático la
directiva IPSec con "netdiag /test:ipsec /v /debug", incluso en el
monitor IPSec del Windows Server 2003 llego a ver que se crea una
asociación entre los dos equipos en el Modo Principal, pero de ahí no
pasamos.

Haciendo sniffing he podido llegar a ver que ambas máquinas transmiten
tramas ISAKMP con los puertos UDP 500, UDP 4500 y UDP 1109, pero lo
cierto es que la conexión no llega a establecerse en momento alguno.

Me estoy acercando peligrosamente al punto de ya no saber qué más
hacer y no consigo encontrar información exacta del procedimiento a
seguir por si me estoy saltando algún paso, porque para conectarme
por PPTP no he tenido historia alguna en ningún momento.

Quisiera comentaros que tengo los sistemas operativos actualizados al
día de hoy.

Os agradecería enormemente cualquier ayuda, de veras que no tengo la
menos idea de lo que se me está escapando.

Gracias por todo de antemano.

Preguntas similares

 

Busqueda sugerida :