Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

VPN L2TP Certificados

17/05/2004 - 09:00 por Javier Teran Gonzalez | Informe spam
Ayuda Hacer una pregunta
Buenos días.

Me voy a volver loco configurando una conexión VPN con L2TP y certificado.
No se cuantas horas llevo ya, cuantas páginas visitadas, cuantas veces leída
la ayuda de windows server 2003.

Windows Server 2003 DELEGACION A

- Configurado Enrutamiento y acceso Remoto
- He deshabilitado el firewall en la interfaz de internet para que no haya
problemas (luego solo sería habilitarlo)
- Tengo una entidad emisora de certificados correctamente configurada. He
probado tanto de empresa como stand-alone.
- Las políticas de acceso remoto en "Enrutamiento y acceso Remoto" no las he
tocado
- He concedido permiso de marcado a los usuarios que deseo que realicen la
conexión VPN. Esos usuarios realizan la conexión VPN PPTP sin problemas.

Windows XP Pro DELEGACION B
Fuera de mi dominio. Conectado a internet y con conectividad de una
delegación a otra.

- He añadido una nueva conexión VPN mediante el asistente.
- En funciones de red--> Tipo de red privada virtual (VPN ) --> he puesto
VPN con L2TP/IPSEC
- En Seguridad --> Avanzada--> he marcado usar el protocolo de auteticación
estensible (EAP)
en sus propiedades he marcado "sar un certificado de equipo y utilizar
selección simple de certificado (se recomienda)". He marcado "Usar un nombre
de usuario distinto para la conexión" y el resto lo he dejado como estaba.

- A su vez me he conectado por web http://servidor/certsrv
- Instalo el certificado de la entidad emisora de certificados para
confiar en ella.
- Solicito un certificado --> Avanzadas --> me sale un combo y
escojo el administrador. Instalo el certificado que me da mi CA


- Intento realizar la conexión y me dice que no hay un certificado
válido
- ¿Que me falta? ¿Tengo que hacer algo mas en el servidor o en el
cliente?...

- Microsoft tiene cientos de sesiones técnicas de configuraciones. Alguien
sabe algún sitio donde haya un video o algo así donde paso a paso realicen
esas configuraciones? . Me da igual que sea en castellano, inglés, ruso

- ¿Algún manual claro y conciso?. He leido unos manuales bastante completos
de instalar certificados para asegurar la página web ... pero creo que eso
no me vale... Solo quiero realizar una conexión VPN L2TP desde tres
ordenadores externos a mi organización. Fácil, pero no lo es.

Gracias por vuestra ayuda por anticipado y perdonar por el correo tan
extenso. Es que ya estoy desesperado.
email Siga el debateRespuesta 12 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#6 Javier Teran Gonzalez
17/05/2004 - 10:04 | Informe spam
En cuanto llegue a casa lo pruebo MSCHAP v2 OK.

Ya os contaré.
Seguro que ahora no me funciona nada. He tocado tantas cosas ya.

"Ivan [MS MVP]" escribió en el mensaje
news:evWsPM%
Creo que estas confundiendo el uso de certificados para L2TP7IPSec con
autentificacion EAP-TLS. Yo empezaria por usar autentificacion MSCHAP v2 y
si funciona, en principio los certificados para L2TP/IPSec estan
correctamente instalados.

Para autentificacion EAP-TLS vas a necesitar dos certificados: uno para
L2TP/IPSec y otro para EAP-TLS. Si te dice que no hay un certificado


valido,
posiblemente es debido a que no esta instalado el certificado raiz de tu
entidad emisora (aunque dices que lo has instalado) o que te falta el
segundo certificado. Desde la MMC de certificados, certificados (equipo
local), entidades emisoras raiz de confianza, tienen que aparecer el
certificado de tu CA. Tambien es posible que aparezca en certificados
(usuario actual, entidades emisoras de raiz de confianza).

Un saludo.
Ivan
MS MVP ISA Server


"Javier Teran Gonzalez" escribió en el


mensaje
news:
> No. No hay routers en medio
>
> El servidor de mi empresa lo he tenido en mi casa todo el fin de
> semanaLo único que había por medio era el hub de mi red interna...


Ya
> digo, ni firewall ni nada.
>
> No se que es lo que se me escapa... Como nunca he visto ninguna L2TP
> funcionando ni ha nadie que lo haya hecho. Para mi es como un MITO.
>
> Un saludo
>
>
> "Javier Inglés [MS MVP]" escribió


en
> el mensaje news:dc3e01c43bde$30e26b60$
> Si hay routers de por medio, éstos deben poder cumplir la
> norma para hacer Nat-T (Nat Transversal), debido a que por
> diseño, NAT e IPSec son incompatibles
>
> Salu2!!!
> Javier Inglés [MS MVP]
>
> >Buenos días.
> >
> >Me voy a volver loco configurando una conexión VPN con
> L2TP y certificado.
> >No se cuantas horas llevo ya, cuantas páginas visitadas,
> cuantas veces leída
> >la ayuda de windows server 2003.
> >
> >Windows Server 2003 DELEGACION A
> >
> >- Configurado Enrutamiento y acceso Remoto
> >- He deshabilitado el firewall en la interfaz de internet
> para que no haya
> >problemas (luego solo sería habilitarlo)
> >- Tengo una entidad emisora de certificados correctamente
> configurada. He
> >probado tanto de empresa como stand-alone.
> >- Las políticas de acceso remoto en "Enrutamiento y
> acceso Remoto" no las he
> >tocado
> >- He concedido permiso de marcado a los usuarios que
> deseo que realicen la
> >conexión VPN. Esos usuarios realizan la conexión VPN PPTP
> sin problemas.
> >
> >Windows XP Pro DELEGACION B
> > Fuera de mi dominio. Conectado a internet y con
> conectividad de una
> >delegación a otra.
> >
> >- He añadido una nueva conexión VPN mediante el asistente.
> >- En funciones de red--> Tipo de red privada virtual
> (VPN ) --> he puesto
> >VPN con L2TP/IPSEC
> >- En Seguridad --> Avanzada--> he marcado usar el
> protocolo de auteticación
> >estensible (EAP)
> > en sus propiedades he marcado "sar un certificado de
> equipo y utilizar
> >selección simple de certificado (se recomienda)". He
> marcado "Usar un nombre
> >de usuario distinto para la conexión" y el resto lo he
> dejado como estaba.
> >
> >- A su vez me he conectado por web http://servidor/certsrv
> > - Instalo el certificado de la entidad emisora de
> certificados para
> >confiar en ella.
> > - Solicito un certificado --> Avanzadas --> me
> sale un combo y
> >escojo el administrador. Instalo el certificado que me da
> mi CA
> >
> >
> >- Intento realizar la conexión y me dice que no hay un
> certificado
> >válido
> >- ¿Que me falta? ¿Tengo que hacer algo mas en el servidor
> o en el
> >cliente?...
> >
> >- Microsoft tiene cientos de sesiones técnicas de
> configuraciones. Alguien
> >sabe algún sitio donde haya un video o algo así donde
> paso a paso realicen
> >esas configuraciones? . Me da igual que sea en
> castellano, inglés, ruso
> >
> >- ¿Algún manual claro y conciso?. He leido unos manuales
> bastante completos
> >de instalar certificados para asegurar la página web ...
> pero creo que eso
> >no me vale... Solo quiero realizar una conexión VPN L2TP
> desde tres
> >ordenadores externos a mi organización. Fácil, pero no lo
> es.
> >
> >Gracias por vuestra ayuda por anticipado y perdonar por
> el correo tan
> >extenso. Es que ya estoy desesperado.
> >
> >
> >.
> >
>
>


Respuesta Responder a este mensaje
#7 Javier Inglés [MS MVP]
17/05/2004 - 10:11 | Informe spam
Como te ha comentado Iván, prueba la autenticación MSChap
v2 :-))

Salu2!!
Javier Inglés [MS MVP]

ME suenan, los miraré de nuevo para ver que hago mal...

Una cosa. ¿La idea es mas o menos la que he expuesto en


mi primer mensaje?

¿Eso son basicamente los pasos a seguir?

"Javier Inglés [MS MVP]"


escribió en
el mensaje news:de5101c43be2$79684220$
Por si acaso, auqnue supongo que ya lo has mirado:

Step-by-Step Guide to Internet Protocol Security (IPSec)
http://www.microsoft.com/windows200...anning/sec


u
rity/ipsecsteps.asp

HOW TO: Use Internet Protocol Security to Secure Network
Traffic Between Two Hosts in Windows 2000 (Q301284)
http://support.microsoft.com/search/preview.aspx?
scid=kb;en-us;Q301284

HOW TO: Install a Certificate for Use with IP Security
(Q253498)
http://support.microsoft.com/defaul...cid=kb;en-
us;Q253498



IPSec Varios
http://support.microsoft.com/default.aspx?scid
=%2Fisapi%2Fgomscom%2Easp%3Ftarget%3D%2Fintlkb%2Fspain%
2Fe252%2F7%2F35%2Easp&LN=ES-ES

Using IPSec in Windows 2000 and XP
http://online.securityfocus.com/infocus/1519
http://online.securityfocus.com/infocus/1526
http://online.securityfocus.com/infocus/1528

Description of the IPSec Policy Created for L2TP/IPSec
(Q248750)
http://support.microsoft.com/defaul...cid=kb;en-
us;Q248750

How to Configure IPSec Tunneling in Windows 2000 (Q252735)
http://support.microsoft.com/search/preview.aspx?
scid=kb;en-us;Q252735

VPN+IPSEC
http://www-mat.upc.es/~jforne/ipsec.pdf


Salu2!!!
Javier Inglés [MS MVP]
No. No hay routers en medio

El servidor de mi empresa lo he tenido en mi casa todo el


fin de
semanaLo único que había por medio era el hub de mi


red interna... Ya
digo, ni firewall ni nada.

No se que es lo que se me escapa... Como nunca he visto


ninguna L2TP
funcionando ni ha nadie que lo haya hecho. Para mi es


como un MITO.

Un saludo


"Javier Inglés [MS MVP]"


escribió en
el mensaje news:dc3e01c43bde$30e26b60$
Si hay routers de por medio, éstos deben poder cumplir la
norma para hacer Nat-T (Nat Transversal), debido a que




por
diseño, NAT e IPSec son incompatibles

Salu2!!!
Javier Inglés [MS MVP]

Buenos días.

Me voy a volver loco configurando una conexión VPN con


L2TP y certificado.
No se cuantas horas llevo ya, cuantas páginas visitadas,


cuantas veces leída
la ayuda de windows server 2003.

Windows Server 2003 DELEGACION A

- Configurado Enrutamiento y acceso Remoto
- He deshabilitado el firewall en la interfaz de






internet
para que no haya
problemas (luego solo sería habilitarlo)
- Tengo una entidad emisora de certificados






correctamente
configurada. He
probado tanto de empresa como stand-alone.
- Las políticas de acceso remoto en "Enrutamiento y


acceso Remoto" no las he
tocado
- He concedido permiso de marcado a los usuarios que


deseo que realicen la
conexión VPN. Esos usuarios realizan la conexión VPN






PPTP
sin problemas.

Windows XP Pro DELEGACION B
Fuera de mi dominio. Conectado a internet y con


conectividad de una
delegación a otra.

- He añadido una nueva conexión VPN mediante el




asistente.
- En funciones de red--> Tipo de red privada virtual


(VPN ) --> he puesto
VPN con L2TP/IPSEC
- En Seguridad --> Avanzada--> he marcado usar el


protocolo de auteticación
estensible (EAP)
en sus propiedades he marcado "sar un certificado de


equipo y utilizar
selección simple de certificado (se recomienda)". He


marcado "Usar un nombre
de usuario distinto para la conexión" y el resto lo he


dejado como estaba.

- A su vez me he conectado por web




http://servidor/certsrv
- Instalo el certificado de la entidad emisora






de
certificados para
confiar en ella.
- Solicito un certificado --> Avanzadas --> me


sale un combo y
escojo el administrador. Instalo el certificado que me






da
mi CA


- Intento realizar la conexión y me dice que no hay un


certificado
válido
- ¿Que me falta? ¿Tengo que hacer algo mas en el






servidor
o en el
cliente?...

- Microsoft tiene cientos de sesiones técnicas de


configuraciones. Alguien
sabe algún sitio donde haya un video o algo así donde


paso a paso realicen
esas configuraciones? . Me da igual que sea en


castellano, inglés, ruso

- ¿Algún manual claro y conciso?. He leido unos manuales


bastante completos
de instalar certificados para asegurar la página web ...


pero creo que eso
no me vale... Solo quiero realizar una conexión VPN L2TP


desde tres
ordenadores externos a mi organización. Fácil, pero no






lo
es.

Gracias por vuestra ayuda por anticipado y perdonar por


el correo tan
extenso. Es que ya estoy desesperado.


.





.





.

Respuesta Responder a este mensaje
#8 Enrique Ruiz [MS]
17/05/2004 - 10:39 | Informe spam
Hola,

El mensaje que recibes es porque no tienes un certificado válido para IPSec.
Comprueba el objetivo del certificado en el XP mediante el snap-in de
certificados. Tendrías que tener "Allows secure communication on the
Internet" para que fuera un certificado válido.

Saludos,

Enrique Ruiz
Microsoft Francia


"Javier Teran Gonzalez" wrote in message
news:uWJhMX%
En cuanto llegue a casa lo pruebo MSCHAP v2 OK.

Ya os contaré.
Seguro que ahora no me funciona nada. He tocado tantas cosas ya.

"Ivan [MS MVP]" escribió en el mensaje
news:evWsPM%
> Creo que estas confundiendo el uso de certificados para L2TP7IPSec con
> autentificacion EAP-TLS. Yo empezaria por usar autentificacion MSCHAP v2


y
> si funciona, en principio los certificados para L2TP/IPSec estan
> correctamente instalados.
>
> Para autentificacion EAP-TLS vas a necesitar dos certificados: uno para
> L2TP/IPSec y otro para EAP-TLS. Si te dice que no hay un certificado
valido,
> posiblemente es debido a que no esta instalado el certificado raiz de tu
> entidad emisora (aunque dices que lo has instalado) o que te falta


el
> segundo certificado. Desde la MMC de certificados, certificados (equipo
> local), entidades emisoras raiz de confianza, tienen que aparecer el
> certificado de tu CA. Tambien es posible que aparezca en certificados
> (usuario actual, entidades emisoras de raiz de confianza).
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
> "Javier Teran Gonzalez" escribió en el
mensaje
> news:
> > No. No hay routers en medio
> >
> > El servidor de mi empresa lo he tenido en mi casa todo el fin de
> > semanaLo único que había por medio era el hub de mi red interna...
Ya
> > digo, ni firewall ni nada.
> >
> > No se que es lo que se me escapa... Como nunca he visto ninguna L2TP
> > funcionando ni ha nadie que lo haya hecho. Para mi es como un MITO.
> >
> > Un saludo
> >
> >
> > "Javier Inglés [MS MVP]"


escribió
en
> > el mensaje news:dc3e01c43bde$30e26b60$
> > Si hay routers de por medio, éstos deben poder cumplir la
> > norma para hacer Nat-T (Nat Transversal), debido a que por
> > diseño, NAT e IPSec son incompatibles
> >
> > Salu2!!!
> > Javier Inglés [MS MVP]
> >
> > >Buenos días.
> > >
> > >Me voy a volver loco configurando una conexión VPN con
> > L2TP y certificado.
> > >No se cuantas horas llevo ya, cuantas páginas visitadas,
> > cuantas veces leída
> > >la ayuda de windows server 2003.
> > >
> > >Windows Server 2003 DELEGACION A
> > >
> > >- Configurado Enrutamiento y acceso Remoto
> > >- He deshabilitado el firewall en la interfaz de internet
> > para que no haya
> > >problemas (luego solo sería habilitarlo)
> > >- Tengo una entidad emisora de certificados correctamente
> > configurada. He
> > >probado tanto de empresa como stand-alone.
> > >- Las políticas de acceso remoto en "Enrutamiento y
> > acceso Remoto" no las he
> > >tocado
> > >- He concedido permiso de marcado a los usuarios que
> > deseo que realicen la
> > >conexión VPN. Esos usuarios realizan la conexión VPN PPTP
> > sin problemas.
> > >
> > >Windows XP Pro DELEGACION B
> > > Fuera de mi dominio. Conectado a internet y con
> > conectividad de una
> > >delegación a otra.
> > >
> > >- He añadido una nueva conexión VPN mediante el asistente.
> > >- En funciones de red--> Tipo de red privada virtual
> > (VPN ) --> he puesto
> > >VPN con L2TP/IPSEC
> > >- En Seguridad --> Avanzada--> he marcado usar el
> > protocolo de auteticación
> > >estensible (EAP)
> > > en sus propiedades he marcado "sar un certificado de
> > equipo y utilizar
> > >selección simple de certificado (se recomienda)". He
> > marcado "Usar un nombre
> > >de usuario distinto para la conexión" y el resto lo he
> > dejado como estaba.
> > >
> > >- A su vez me he conectado por web http://servidor/certsrv
> > > - Instalo el certificado de la entidad emisora de
> > certificados para
> > >confiar en ella.
> > > - Solicito un certificado --> Avanzadas --> me
> > sale un combo y
> > >escojo el administrador. Instalo el certificado que me da
> > mi CA
> > >
> > >
> > >- Intento realizar la conexión y me dice que no hay un
> > certificado
> > >válido
> > >- ¿Que me falta? ¿Tengo que hacer algo mas en el servidor
> > o en el
> > >cliente?...
> > >
> > >- Microsoft tiene cientos de sesiones técnicas de
> > configuraciones. Alguien
> > >sabe algún sitio donde haya un video o algo así donde
> > paso a paso realicen
> > >esas configuraciones? . Me da igual que sea en
> > castellano, inglés, ruso
> > >
> > >- ¿Algún manual claro y conciso?. He leido unos manuales
> > bastante completos
> > >de instalar certificados para asegurar la página web ...
> > pero creo que eso
> > >no me vale... Solo quiero realizar una conexión VPN L2TP
> > desde tres
> > >ordenadores externos a mi organización. Fácil, pero no lo
> > es.
> > >
> > >Gracias por vuestra ayuda por anticipado y perdonar por
> > el correo tan
> > >extenso. Es que ya estoy desesperado.
> > >
> > >
> > >.
> > >
> >
> >
>
>


Respuesta Responder a este mensaje
#9 Javier Teran Gonzalez
19/05/2004 - 08:37 | Informe spam
Al final no lo he conseguido por mas que lo he intentado.

El primer enlace me parece impresionante y muy claro... pero hay que ser
miembro del dominio. Que hago entonces con un Windows XP Home Edition
http://www.microsoft.com/technet/pr...tevpn.mspx

http://www.sharesafe.net/sharesafe/...lPKI54.asp


http://www.microsoft.com/spain/tech...cion010025

Debo ser un poco inútil.ni con MSCHAP v2 ni con nada.
Es una cosa que tengo pendiente y que he intentado varias veces conseguir.
Al final utilizaré PPTP y Terminal Server desde los equipos de fuera de mi
oficina

De todas maneras se acepta cualquier otra sugerencia.

Yo aporto una Microsoft está muy comprometido con el tema de seguridad,
parches, etc con webcast, jornadas técnicas, JUST IT, eventos en
universidades, etcc podría hacer un Webcast para realizar conexiones
L2TP, PPTP, IPSEC, Terminal Server con seguridad empezando desde el
principio, instalando una CA y obteniendo certificados desde equipos remotos
ajenos a tu dominio.Vamos, un monográfico del tema con demostraciónes
on-line.

Creo que ha principios de junio ya hay un WEBCAST de IPSec. espero que
haga una demostración de VPN. (je, por si está leyendo las news el ponente).

Un saludo, gracias a todos y hasta luego.



"Enrique Ruiz [MS]" escribió en el mensaje
news:%2324fDq%
Hola,

El mensaje que recibes es porque no tienes un certificado válido para


IPSec.
Comprueba el objetivo del certificado en el XP mediante el snap-in de
certificados. Tendrías que tener "Allows secure communication on the
Internet" para que fuera un certificado válido.

Saludos,

Enrique Ruiz
Microsoft Francia


"Javier Teran Gonzalez" wrote in message
news:uWJhMX%
> En cuanto llegue a casa lo pruebo MSCHAP v2 OK.
>
> Ya os contaré.
> Seguro que ahora no me funciona nada. He tocado tantas cosas ya.
>
> "Ivan [MS MVP]" escribió en el mensaje
> news:evWsPM%
> > Creo que estas confundiendo el uso de certificados para L2TP7IPSec con
> > autentificacion EAP-TLS. Yo empezaria por usar autentificacion MSCHAP


v2
y
> > si funciona, en principio los certificados para L2TP/IPSec estan
> > correctamente instalados.
> >
> > Para autentificacion EAP-TLS vas a necesitar dos certificados: uno


para
> > L2TP/IPSec y otro para EAP-TLS. Si te dice que no hay un certificado
> valido,
> > posiblemente es debido a que no esta instalado el certificado raiz de


tu
> > entidad emisora (aunque dices que lo has instalado) o que te falta
el
> > segundo certificado. Desde la MMC de certificados, certificados


(equipo
> > local), entidades emisoras raiz de confianza, tienen que aparecer el
> > certificado de tu CA. Tambien es posible que aparezca en certificados
> > (usuario actual, entidades emisoras de raiz de confianza).
> >
> > Un saludo.
> > Ivan
> > MS MVP ISA Server
> >
> >
> > "Javier Teran Gonzalez" escribió en el
> mensaje
> > news:
> > > No. No hay routers en medio
> > >
> > > El servidor de mi empresa lo he tenido en mi casa todo el fin de
> > > semanaLo único que había por medio era el hub de mi red


interna...
> Ya
> > > digo, ni firewall ni nada.
> > >
> > > No se que es lo que se me escapa... Como nunca he visto ninguna L2TP
> > > funcionando ni ha nadie que lo haya hecho. Para mi es como un MITO.
> > >
> > > Un saludo
> > >
> > >
> > > "Javier Inglés [MS MVP]"
escribió
> en
> > > el mensaje news:dc3e01c43bde$30e26b60$
> > > Si hay routers de por medio, éstos deben poder cumplir la
> > > norma para hacer Nat-T (Nat Transversal), debido a que por
> > > diseño, NAT e IPSec son incompatibles
> > >
> > > Salu2!!!
> > > Javier Inglés [MS MVP]
> > >
> > > >Buenos días.
> > > >
> > > >Me voy a volver loco configurando una conexión VPN con
> > > L2TP y certificado.
> > > >No se cuantas horas llevo ya, cuantas páginas visitadas,
> > > cuantas veces leída
> > > >la ayuda de windows server 2003.
> > > >
> > > >Windows Server 2003 DELEGACION A
> > > >
> > > >- Configurado Enrutamiento y acceso Remoto
> > > >- He deshabilitado el firewall en la interfaz de internet
> > > para que no haya
> > > >problemas (luego solo sería habilitarlo)
> > > >- Tengo una entidad emisora de certificados correctamente
> > > configurada. He
> > > >probado tanto de empresa como stand-alone.
> > > >- Las políticas de acceso remoto en "Enrutamiento y
> > > acceso Remoto" no las he
> > > >tocado
> > > >- He concedido permiso de marcado a los usuarios que
> > > deseo que realicen la
> > > >conexión VPN. Esos usuarios realizan la conexión VPN PPTP
> > > sin problemas.
> > > >
> > > >Windows XP Pro DELEGACION B
> > > > Fuera de mi dominio. Conectado a internet y con
> > > conectividad de una
> > > >delegación a otra.
> > > >
> > > >- He añadido una nueva conexión VPN mediante el asistente.
> > > >- En funciones de red--> Tipo de red privada virtual
> > > (VPN ) --> he puesto
> > > >VPN con L2TP/IPSEC
> > > >- En Seguridad --> Avanzada--> he marcado usar el
> > > protocolo de auteticación
> > > >estensible (EAP)
> > > > en sus propiedades he marcado "sar un certificado de
> > > equipo y utilizar
> > > >selección simple de certificado (se recomienda)". He
> > > marcado "Usar un nombre
> > > >de usuario distinto para la conexión" y el resto lo he
> > > dejado como estaba.
> > > >
> > > >- A su vez me he conectado por web http://servidor/certsrv
> > > > - Instalo el certificado de la entidad emisora de
> > > certificados para
> > > >confiar en ella.
> > > > - Solicito un certificado --> Avanzadas --> me
> > > sale un combo y
> > > >escojo el administrador. Instalo el certificado que me da
> > > mi CA
> > > >
> > > >
> > > >- Intento realizar la conexión y me dice que no hay un
> > > certificado
> > > >válido
> > > >- ¿Que me falta? ¿Tengo que hacer algo mas en el servidor
> > > o en el
> > > >cliente?...
> > > >
> > > >- Microsoft tiene cientos de sesiones técnicas de
> > > configuraciones. Alguien
> > > >sabe algún sitio donde haya un video o algo así donde
> > > paso a paso realicen
> > > >esas configuraciones? . Me da igual que sea en
> > > castellano, inglés, ruso
> > > >
> > > >- ¿Algún manual claro y conciso?. He leido unos manuales
> > > bastante completos
> > > >de instalar certificados para asegurar la página web ...
> > > pero creo que eso
> > > >no me vale... Solo quiero realizar una conexión VPN L2TP
> > > desde tres
> > > >ordenadores externos a mi organización. Fácil, pero no lo
> > > es.
> > > >
> > > >Gracias por vuestra ayuda por anticipado y perdonar por
> > > el correo tan
> > > >extenso. Es que ya estoy desesperado.
> > > >
> > > >
> > > >.
> > > >
> > >
> > >
> >
> >
>
>


Respuesta Responder a este mensaje
#10 Ivan [MS MVP]
19/05/2004 - 10:44 | Informe spam
Hola Javier, te pongo un ejemplo de como realizarlo empleando una stand
alone root CA. Un ejemplo sencillo: un servidor Windows 2003 (nombre de
dominio example.com, nombre del server DC1) y un cliente Windows XP SP1 (no
esta integrado en el dominio, nombre de maquina CLI1). Mas o menos esto
seria:

-Instalas una stand alone root CA en el server.

-Configuras RRAS y selecciona como metodo de autentificacion solo MSCHAP v2
(no vamos a usar RADIUS). Configura la asignacion de direcciones, puertos
L2TP necesarios, etc

-El siguiente paso es obtener el certificado para el server. Desde
http://dc1.example.com/certsrv , request a certificate, advanced certificate
request, create and submit a request to this CA, en advanced certificate
request, configuramos estas opciones:
Name: dc1.example.com (en este caso usamos el FQDN del servidor aunque no
tiene mucha importancia. Esto si es mas importante cuando se emplea
autentificacion EAP-TLS)
Type of Cettificate Needed: IPSec certificate
Store certificate in the local computer certificate store: habilitada
El resto de opciones por defecto, si quieres cumplimentar mas campos de
"identifying information" no hay problema. Una vez cumplimentado, clic sobre
submit.
Nos vamos a la MMC de la autoridad de certificacion, clic sobre pending
request, nos aparece la solicitus de certificado anterior, clic derecho, all
task, issue.
de nuevo volvemos a http://dc1.example.com/certsrv , view the status of a
pending certificate request, clic sobre la peticion de certificado, instalar
el certificado.
Desde una MMC agrega el complemto certificados (equipo local). Si miras
dentro de: personal, certificados, veras el certificado pra IPSec que se ha
instalado en el paso anterior. Como el server es ademas la CA, veras algun
certificado mas, pero, el que se ha instalado en el paso anterior muestra
como "intended purposes" IP security IKE intermediate. Si este certificado
no aparece muy posiblemente es debido a que no hemos marcado la opcion de
usar el almacen de la maquina local a la hora de solicitar el certificado.
Te recuerdo que para usar L2TP/IPSec los certificados deben ser de maquina.
Otra comprobacion (que en este caso no seria necesaria ya que el servidor es
la propia CA). Dentro de trusted root certification authorities,
certificados, debe aparecer tu CA.

-Ahora vamos con el certificado para el cliente. De nuevo
http://dc1.example.com/certsrv , request a certificate, advanced certificate
request, create and submit a request to this CA, en advanced certificate
request, configuramos estas opciones:
Name: cli1.example.com (en este caso usamos el FQDN del cliente aunque no
tiene mucha importancia. Esto si es mas importante cuando se emplea
autentificacion EAP-TLS)
Type of Cettificate Needed: IPSec certificate
Store certificate in the local computer certificate store: habilitada
El resto de opciones por defecto, si quieres cumplimentar mas campos de
"identifying information" no hay problema. Una vez cumplimentado, clic sobre
submit. Para que el cliente pueda validar estos certificados es necesario
agregar el certificado raiz de tu CA dentro de trusted root certification
authorities, certificados. Hay varias forma de hacerlo, una es esta:
http://dc1.example.com/certsrv, download a CA certificate, certificate
chain, or CRL, download CA certificate y guardas el certificado (mismamente
en el escritorio para tenerlo a mano). Ahora desde la MMC de certificados,
equipo local, te situas en trusted root certification authorities,
certificados, clic derecho, all task, import y seleccionas el certificado
anterior. Un avez realizado tu CA aparece como una entidad emisora de raiz
de confianza y si de nuevo vas a certificados (equipo local), personal,
certificados, veras el certificado para IPSec y es ademas un certificado
valido ya que el certificado de tu CA esta agregado dentro de las entidades
emisoras raiz de confianza.

-El ultimo paso es crear la conexion VPN en el cliente. En la pestaña
funciones de red selecciona L2TPIPsec, en opciones inlcuye el nombre de
dominio y conectar, con esto deberia funcionar. Por supuesto asegurate que
el usuario tiene permisos de marcado, las directivas de acceso remoto lo
permiten, etc si te apetece probarlo, nos cuentas. en caso de problemas
podemos ver cuales son los errores e intentar solucionarlo.
En este caso hemos seleccionado IPSec certificate, pero, en el server el
certificado podia ser Server Authentication Certificate y en el cliente
Client Autentication Certificate, como te decia, hay articulos en los que se
emplea un certificado de servidor web. Al final funcionan ya que los
certificados empleados en L2TP/IPSec son para autentificarse entre los
extremos y garantizar que cada uno es quien dice ser.
Si intentas usar una enterprise root CA, tambien funciona, pero, si no vas
a realizar un uso intensivo de una PKI, mejor una stand alone root CA.
Ademas, en este caso vas a proporcionar certificados a maquinas que no estan
en tu dominio, otro motivo mas para usar una stand alone root CA (bueno, yo
al menos asi lo veo, quizas no sea correcto este punto de vista)


Un saludo.
Ivan
MS MVP ISA Server


"Javier Teran Gonzalez" escribió en el mensaje
news:
Al final no lo he conseguido por mas que lo he intentado.

El primer enlace me parece impresionante y muy claro... pero hay que ser
miembro del dominio. Que hago entonces con un Windows XP Home Edition



http://www.microsoft.com/technet/pr...tevpn.mspx

http://www.sharesafe.net/sharesafe/...lPKI54.asp





http://www.microsoft.com/spain/tech...cion010025

Debo ser un poco inútil.ni con MSCHAP v2 ni con nada.
Es una cosa que tengo pendiente y que he intentado varias veces conseguir.
Al final utilizaré PPTP y Terminal Server desde los equipos de fuera de mi
oficina

De todas maneras se acepta cualquier otra sugerencia.

Yo aporto una Microsoft está muy comprometido con el tema de


seguridad,
parches, etc con webcast, jornadas técnicas, JUST IT, eventos en
universidades, etcc podría hacer un Webcast para realizar conexiones
L2TP, PPTP, IPSEC, Terminal Server con seguridad empezando desde el
principio, instalando una CA y obteniendo certificados desde equipos


remotos
ajenos a tu dominio.Vamos, un monográfico del tema con demostraciónes
on-line.

Creo que ha principios de junio ya hay un WEBCAST de IPSec. espero que
haga una demostración de VPN. (je, por si está leyendo las news el


ponente).

Un saludo, gracias a todos y hasta luego.



"Enrique Ruiz [MS]" escribió en el mensaje
news:%2324fDq%
> Hola,
>
> El mensaje que recibes es porque no tienes un certificado válido para
IPSec.
> Comprueba el objetivo del certificado en el XP mediante el snap-in de
> certificados. Tendrías que tener "Allows secure communication on the
> Internet" para que fuera un certificado válido.
>
> Saludos,
>
> Enrique Ruiz
> Microsoft Francia
>
>
> "Javier Teran Gonzalez" wrote in message
> news:uWJhMX%
> > En cuanto llegue a casa lo pruebo MSCHAP v2 OK.
> >
> > Ya os contaré.
> > Seguro que ahora no me funciona nada. He tocado tantas cosas ya.
> >
> > "Ivan [MS MVP]" escribió en el mensaje
> > news:evWsPM%
> > > Creo que estas confundiendo el uso de certificados para L2TP7IPSec


con
> > > autentificacion EAP-TLS. Yo empezaria por usar autentificacion


MSCHAP
v2
> y
> > > si funciona, en principio los certificados para L2TP/IPSec estan
> > > correctamente instalados.
> > >
> > > Para autentificacion EAP-TLS vas a necesitar dos certificados: uno
para
> > > L2TP/IPSec y otro para EAP-TLS. Si te dice que no hay un certificado
> > valido,
> > > posiblemente es debido a que no esta instalado el certificado raiz


de
tu
> > > entidad emisora (aunque dices que lo has instalado) o que te


falta
> el
> > > segundo certificado. Desde la MMC de certificados, certificados
(equipo
> > > local), entidades emisoras raiz de confianza, tienen que aparecer el
> > > certificado de tu CA. Tambien es posible que aparezca en


certificados
> > > (usuario actual, entidades emisoras de raiz de confianza).
> > >
> > > Un saludo.
> > > Ivan
> > > MS MVP ISA Server
> > >
> > >
> > > "Javier Teran Gonzalez" escribió en el
> > mensaje
> > > news:
> > > > No. No hay routers en medio
> > > >
> > > > El servidor de mi empresa lo he tenido en mi casa todo el fin de
> > > > semanaLo único que había por medio era el hub de mi red
interna...
> > Ya
> > > > digo, ni firewall ni nada.
> > > >
> > > > No se que es lo que se me escapa... Como nunca he visto ninguna


L2TP
> > > > funcionando ni ha nadie que lo haya hecho. Para mi es como un


MITO.
> > > >
> > > > Un saludo
> > > >
> > > >
> > > > "Javier Inglés [MS MVP]"
> escribió
> > en
> > > > el mensaje news:dc3e01c43bde$30e26b60$
> > > > Si hay routers de por medio, éstos deben poder cumplir la
> > > > norma para hacer Nat-T (Nat Transversal), debido a que por
> > > > diseño, NAT e IPSec son incompatibles
> > > >
> > > > Salu2!!!
> > > > Javier Inglés [MS MVP]
> > > >
> > > > >Buenos días.
> > > > >
> > > > >Me voy a volver loco configurando una conexión VPN con
> > > > L2TP y certificado.
> > > > >No se cuantas horas llevo ya, cuantas páginas visitadas,
> > > > cuantas veces leída
> > > > >la ayuda de windows server 2003.
> > > > >
> > > > >Windows Server 2003 DELEGACION A
> > > > >
> > > > >- Configurado Enrutamiento y acceso Remoto
> > > > >- He deshabilitado el firewall en la interfaz de internet
> > > > para que no haya
> > > > >problemas (luego solo sería habilitarlo)
> > > > >- Tengo una entidad emisora de certificados correctamente
> > > > configurada. He
> > > > >probado tanto de empresa como stand-alone.
> > > > >- Las políticas de acceso remoto en "Enrutamiento y
> > > > acceso Remoto" no las he
> > > > >tocado
> > > > >- He concedido permiso de marcado a los usuarios que
> > > > deseo que realicen la
> > > > >conexión VPN. Esos usuarios realizan la conexión VPN PPTP
> > > > sin problemas.
> > > > >
> > > > >Windows XP Pro DELEGACION B
> > > > > Fuera de mi dominio. Conectado a internet y con
> > > > conectividad de una
> > > > >delegación a otra.
> > > > >
> > > > >- He añadido una nueva conexión VPN mediante el asistente.
> > > > >- En funciones de red--> Tipo de red privada virtual
> > > > (VPN ) --> he puesto
> > > > >VPN con L2TP/IPSEC
> > > > >- En Seguridad --> Avanzada--> he marcado usar el
> > > > protocolo de auteticación
> > > > >estensible (EAP)
> > > > > en sus propiedades he marcado "sar un certificado de
> > > > equipo y utilizar
> > > > >selección simple de certificado (se recomienda)". He
> > > > marcado "Usar un nombre
> > > > >de usuario distinto para la conexión" y el resto lo he
> > > > dejado como estaba.
> > > > >
> > > > >- A su vez me he conectado por web http://servidor/certsrv
> > > > > - Instalo el certificado de la entidad emisora de
> > > > certificados para
> > > > >confiar en ella.
> > > > > - Solicito un certificado --> Avanzadas --> me
> > > > sale un combo y
> > > > >escojo el administrador. Instalo el certificado que me da
> > > > mi CA
> > > > >
> > > > >
> > > > >- Intento realizar la conexión y me dice que no hay un
> > > > certificado
> > > > >válido
> > > > >- ¿Que me falta? ¿Tengo que hacer algo mas en el servidor
> > > > o en el
> > > > >cliente?...
> > > > >
> > > > >- Microsoft tiene cientos de sesiones técnicas de
> > > > configuraciones. Alguien
> > > > >sabe algún sitio donde haya un video o algo así donde
> > > > paso a paso realicen
> > > > >esas configuraciones? . Me da igual que sea en
> > > > castellano, inglés, ruso
> > > > >
> > > > >- ¿Algún manual claro y conciso?. He leido unos manuales
> > > > bastante completos
> > > > >de instalar certificados para asegurar la página web ...
> > > > pero creo que eso
> > > > >no me vale... Solo quiero realizar una conexión VPN L2TP
> > > > desde tres
> > > > >ordenadores externos a mi organización. Fácil, pero no lo
> > > > es.
> > > > >
> > > > >Gracias por vuestra ayuda por anticipado y perdonar por
> > > > el correo tan
> > > > >extenso. Es que ya estoy desesperado.
> > > > >
> > > > >
> > > > >.
> > > > >
> > > >
> > > >
> > >
> > >
> >
> >
>
>


Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida