Problema estableciendo conexion VPN L2TP/IPSEC desde cliente W2000 a isa server 2000

Para utilizar conexiones L2TPIPSec a traves de dispositivos NAT, es
necesario utilizar el estandar NAT-T (500 y 4500 UDP). Si tu servidor VPN
no es Windows 2003, es imposible establecer conexiones L2TP/IPSec si de
por medio hay algun tipo de dispositivo NAT, necesitas Windows 2003. En
los clientes VPN el soporte NAT-T esta disponible mediante un update. Si
se trata de Windows XP SP2, es necesario habilitar el soporte NAT-T
modificando cierta clave del registro.

Un saludo.
Ivan
MS MVP ISA Server


"MalagaEquipo" escribió en el mensaje
news:ebcyd.4541913$

El propio servidor isa es el que hace de servidor de vpn (Tiene instalado
el service pack 2)
El router utilizado para conexiones de internet esta configurado como
monopuesto asi que todo el trabajo de cortafuegos y seguridad lo soporta
el mismo servidor isa.

El servidor isa tiene instalada dos tarjetas de red, una configurada con
la ip publica facilitada por mi proveedor de internet y conectada al
router adsl en monopuesto.

La otra tarjeta de red esta configurada con la ip dentro del rango de mi
red local y con las dns en blanco.

Los clientes son equipos con XP profesional, home edition, y W2000
profesional, tanto en equipos de sobremesa como Laptop portatiles.

Las pruebas que hemos realizado con dos clientes distintos utilizan un
router adsl en multipuesto, con la puerta de enlace configurada con la ip
lan del router adsl.
(Asumo que este tipo de configuracion usan NAT).

He de decir que he leido todo lo que he encontrado en internet y los
foros de noticias relacionado con el error 791 en el cliente al intentar
establecer la comunicacion L2TP/IPSec y estoy desconcertado debido a la
gran cantidad de teorias distintas posibles causantes del problema.

Unos dicen que tanto el cliente como el servidor de vpn tiene que estar a
la ultima en los Service pack y parches de microsoft.
Otros dicen que microsoft en su SP2 de Windows XP ha deshabilitado las
comunicaciones via L2TP en favor de PPTP y que para habilitarlas hay que
añadir una clave en el registro del sistema para habilitar este tipo de
comunicacion.
Otros que el router debe soportar NAT-T que no entiendo muy bien que es,
y no se especifica si NAT-T es para el router del cliente, del servidor o
para ambos.

En estos tiempos los proveedores de isp no facilitan a sus clientes IP's
fijas si no es previo contrato aparte por lo que no puedo aplicar una
regla en el isa para permitir conexiones pptp solo una direccion ip
origen en concreto. Aparte de esto algunos clientes son moviles por que
deben poder conectar desde cualquier lugar usando una toma de telefono
disponible o incluso usando su propio movil gprs como modem de datos.

Me parece una grave deficiencia de seguridad por mi parte dejar
habilitadas las conexiones vpn desde internet solo para pptp porque
cualquiera con paciencia probando usuario y contraseña puede llegar a
establecer una conexion.

Mi objetivo es impedir las conexiones entrantes por PPTP habilitando solo
las L2TP/IPSec donde el cliente tenga instalado un certificado emitido
por nuestro isa que le autoriza a auntenticarse y establecer la conexion
con nuestro servidor aparte del usuario y contraseña tradicional para
validar la conexion.

Estos clientes deberian poder establecer la conexion utilizando una
llamada tradicional analogica desde sus laptop, pc de sobremesa con su
modem RTB, modem adsl, router adsl corporativo usando NAT, etc.

Quizas en el caso de que los clientes usen un router usando NAT, haya que
habilitar en ellos una configuracion especial para permitir este tipo de
trafico.

Estoy muy confuso y no encuentro un manual donde de forma clara y sin
demasiados tecnicismos se explique como configurar el hardware y el
software del cliente y el servidor para establecer comunicaciones L2TP
con exito.(Aparte de la instalacion, configuracion y emision de
certificados para servidor y cliente que ya lo tengo superado).

Te agradezo Ivan tu interes por el tema y te ruego que no abandones,
perdones mi ignorancia en algunos temas y si conoces un perfil de
configuracion valido, lo expongas de dorma publica para que yo y otros
interesados podamos aprovechar la seguridad adicional que proporciona es
tipo de conexiones VPN.


Saludos.







"Ivan [MS MVP]" escribió en el mensaje
news:

Por delante del ervidor ISA tienes algun router que realiza NAT ?
Los clientes de inetrnet que establecen conexiones L2TP/IPSec se
conectan a inetrnet me diante rouetrs que realzian NAT ?

Un saludo.
Ivan
MS MVP ISA Server


"MalagaEquipo" escribió en el mensaje
news:r7ixd.4488959$

Tengo habilitados dos filtros para conexiones pptp y otros dos filtros
mas para los puertos udp 500 para conexiones l2tp.
Tengo que decir que estos filtros los ha configurado el isa server a
traves del asistente.
Yo lo que he echo siguiendo instrucciones de manuales que he encontrado
por ahi, es añadir un nuevo filtro para permitir
el acceso al puerto udp 4500.

Agradezo a quien sea que si ha conseguido establecer conexiones vpn
l2tp desde un cliente windows 2000 o XP desde fuera de la red local
contra
el isa2000, me cuente como ha configurado los filtros y alguna otra
cosa que a mi se me escapa de las manos.

nunca tuve problemas para conexiones pptp con los filtros que genera
isa por defecto en el asistente, pero se ve que para l2tp se necesita
algo mas que los filtros preconfigurados, aparte de las configuraciones
explicadas mas abajo.

Cualquier ayuda sera bien recibida
Gracias.



"Alejandro A. Ponicke" escribió en el
mensaje news:

El isa tiene los IP packet filters necesarios para permitir conexiones
l2tp?


Alejandro A. Ponicke
MCSA-MCSE-MCT-MVP
Buenos Aires-Argentina


"MalagaEquipo" wrote in message
news:98Ewd.4443352$

He conseguido que un cliente W2000 o XP establezca una conexion VPN
en modo L2TP con mi servidor isa 2000 server.

Estos clientes para pruebas estan dentro de una red local incluyendo
el servidor isa.

He utilizado Certificados expedidos por el mismo Isa server
instalando para ello el servicio "Certificate Server".

El servidor de certificados lo he configurado como servidor de raiz
principal independiente y sin necesidad de active directory.

Los certificados utilizados para el cliente y servidor son del tipo
"Certificado Ipsec"

Para la configuracion me he apoyado en los manuales de microsoft y de
la pagina www.isaserver.org

He configurado el acceso remoto y los clientes.
He habilitado en isa server la vpn usando el wizard para vpns y he
revisado que en los filtros de paquetes estan correctamente
configurados los puertos UDP 500, 4500,1701 y 47.

Las pruebas son exitosas tanto para conexiones en modo PPTP como en
modo L2TP siempre que el cliente intente conectarse dentro de la
misma red local usando como ip de conexion la ip interna o el nombre
del equipo del isa server.

El problema esta en el establecimiento de conexiones L2TP desde
internet hacia el servidor isa, ya que este mismo equipo cliente al
intentar la conexion responde con el siguiente error:

Error: 791: Error en el intento de conexion L2TP porque no se ha
encontrado la directiva de seguridad para la conexion.

Si configuro el cliente para forzar la conexion por PPTP o en
automatico no tengo problemas y conecto perfectamente.

Me interesa poder establecer la conexion unicamente por L2TP para
reforzar la seguridad, pero este error me trae de cabeza y llevo dias
investigando sin encontrar ninguna solucion.

He monitorizado incluso con un sniffer de red examinando el trafico
en la conexion L2TP dentro y fuera de la red y durante el proceso de
auntenticacion el trafico generado parece identico, y veo que solo
usan el puerto udp 500.

Agradeceria vuestra ayuda para completar la instalacion y perdon por
el ladrillo.
Espero que la informacion suministrada sea suficiente para arrojar un
poco de luz sobre su resolucion.
Gracias.

Para Ivan.

- ¿Me recomiendas actualizar mi servidor con Windows 2003 server?

- ¿Me reportaria beneficios adquirir tambien la version 2004 del isa
server, o por el contrario con la version 2000 es suficiente para culminar
con exito mis problemas?

- En caso de instalar Windows 2003 y/o isa 2004, ¿Puedo actualizar sobre
la versión existente conservando la configuracion, o es recomendable hacer
una instalacion limpia empezando desde cero?.