Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

VPN L2TP Certificados

17/05/2004 - 09:00 por Javier Teran Gonzalez | Informe spam
Ayuda Hacer una pregunta
Buenos días.

Me voy a volver loco configurando una conexión VPN con L2TP y certificado.
No se cuantas horas llevo ya, cuantas páginas visitadas, cuantas veces leída
la ayuda de windows server 2003.

Windows Server 2003 DELEGACION A

- Configurado Enrutamiento y acceso Remoto
- He deshabilitado el firewall en la interfaz de internet para que no haya
problemas (luego solo sería habilitarlo)
- Tengo una entidad emisora de certificados correctamente configurada. He
probado tanto de empresa como stand-alone.
- Las políticas de acceso remoto en "Enrutamiento y acceso Remoto" no las he
tocado
- He concedido permiso de marcado a los usuarios que deseo que realicen la
conexión VPN. Esos usuarios realizan la conexión VPN PPTP sin problemas.

Windows XP Pro DELEGACION B
Fuera de mi dominio. Conectado a internet y con conectividad de una
delegación a otra.

- He añadido una nueva conexión VPN mediante el asistente.
- En funciones de red--> Tipo de red privada virtual (VPN ) --> he puesto
VPN con L2TP/IPSEC
- En Seguridad --> Avanzada--> he marcado usar el protocolo de auteticación
estensible (EAP)
en sus propiedades he marcado "sar un certificado de equipo y utilizar
selección simple de certificado (se recomienda)". He marcado "Usar un nombre
de usuario distinto para la conexión" y el resto lo he dejado como estaba.

- A su vez me he conectado por web http://servidor/certsrv
- Instalo el certificado de la entidad emisora de certificados para
confiar en ella.
- Solicito un certificado --> Avanzadas --> me sale un combo y
escojo el administrador. Instalo el certificado que me da mi CA


- Intento realizar la conexión y me dice que no hay un certificado
válido
- ¿Que me falta? ¿Tengo que hacer algo mas en el servidor o en el
cliente?...

- Microsoft tiene cientos de sesiones técnicas de configuraciones. Alguien
sabe algún sitio donde haya un video o algo así donde paso a paso realicen
esas configuraciones? . Me da igual que sea en castellano, inglés, ruso

- ¿Algún manual claro y conciso?. He leido unos manuales bastante completos
de instalar certificados para asegurar la página web ... pero creo que eso
no me vale... Solo quiero realizar una conexión VPN L2TP desde tres
ordenadores externos a mi organización. Fácil, pero no lo es.

Gracias por vuestra ayuda por anticipado y perdonar por el correo tan
extenso. Es que ya estoy desesperado.
email Siga el debateRespuesta 12 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#11 Javier Teran Gonzalez
19/05/2004 - 12:30 | Informe spam
Estoy deseando probarlo. Será esta tarde.

Ya te comentaré. Gracias.

"Ivan [MS MVP]" escribió en el mensaje
news:
Hola Javier, te pongo un ejemplo de como realizarlo empleando una stand
alone root CA. Un ejemplo sencillo: un servidor Windows 2003 (nombre de
dominio example.com, nombre del server DC1) y un cliente Windows XP SP1


(no
esta integrado en el dominio, nombre de maquina CLI1). Mas o menos esto
seria:

-Instalas una stand alone root CA en el server.

-Configuras RRAS y selecciona como metodo de autentificacion solo MSCHAP


v2
(no vamos a usar RADIUS). Configura la asignacion de direcciones, puertos
L2TP necesarios, etc

-El siguiente paso es obtener el certificado para el server. Desde
http://dc1.example.com/certsrv , request a certificate, advanced


certificate
request, create and submit a request to this CA, en advanced certificate
request, configuramos estas opciones:
Name: dc1.example.com (en este caso usamos el FQDN del servidor aunque no
tiene mucha importancia. Esto si es mas importante cuando se emplea
autentificacion EAP-TLS)
Type of Cettificate Needed: IPSec certificate
Store certificate in the local computer certificate store: habilitada
El resto de opciones por defecto, si quieres cumplimentar mas campos de
"identifying information" no hay problema. Una vez cumplimentado, clic


sobre
submit.
Nos vamos a la MMC de la autoridad de certificacion, clic sobre pending
request, nos aparece la solicitus de certificado anterior, clic derecho,


all
task, issue.
de nuevo volvemos a http://dc1.example.com/certsrv , view the status of a
pending certificate request, clic sobre la peticion de certificado,


instalar
el certificado.
Desde una MMC agrega el complemto certificados (equipo local). Si miras
dentro de: personal, certificados, veras el certificado pra IPSec que se


ha
instalado en el paso anterior. Como el server es ademas la CA, veras algun

certificado mas, pero, el que se ha instalado en el paso anterior muestra
como "intended purposes" IP security IKE intermediate. Si este certificado
no aparece muy posiblemente es debido a que no hemos marcado la opcion de
usar el almacen de la maquina local a la hora de solicitar el certificado.
Te recuerdo que para usar L2TP/IPSec los certificados deben ser de


maquina.
Otra comprobacion (que en este caso no seria necesaria ya que el servidor


es
la propia CA). Dentro de trusted root certification authorities,
certificados, debe aparecer tu CA.

-Ahora vamos con el certificado para el cliente. De nuevo
http://dc1.example.com/certsrv , request a certificate, advanced


certificate
request, create and submit a request to this CA, en advanced certificate
request, configuramos estas opciones:
Name: cli1.example.com (en este caso usamos el FQDN del cliente aunque no
tiene mucha importancia. Esto si es mas importante cuando se emplea
autentificacion EAP-TLS)
Type of Cettificate Needed: IPSec certificate
Store certificate in the local computer certificate store: habilitada
El resto de opciones por defecto, si quieres cumplimentar mas campos de
"identifying information" no hay problema. Una vez cumplimentado, clic


sobre
submit. Para que el cliente pueda validar estos certificados es necesario
agregar el certificado raiz de tu CA dentro de trusted root certification
authorities, certificados. Hay varias forma de hacerlo, una es esta:
http://dc1.example.com/certsrv, download a CA certificate, certificate
chain, or CRL, download CA certificate y guardas el certificado


(mismamente
en el escritorio para tenerlo a mano). Ahora desde la MMC de certificados,
equipo local, te situas en trusted root certification authorities,
certificados, clic derecho, all task, import y seleccionas el certificado
anterior. Un avez realizado tu CA aparece como una entidad emisora de raiz
de confianza y si de nuevo vas a certificados (equipo local), personal,
certificados, veras el certificado para IPSec y es ademas un certificado
valido ya que el certificado de tu CA esta agregado dentro de las


entidades
emisoras raiz de confianza.

-El ultimo paso es crear la conexion VPN en el cliente. En la pestaña
funciones de red selecciona L2TPIPsec, en opciones inlcuye el nombre de
dominio y conectar, con esto deberia funcionar. Por supuesto asegurate que
el usuario tiene permisos de marcado, las directivas de acceso remoto lo
permiten, etc si te apetece probarlo, nos cuentas. en caso de


problemas
podemos ver cuales son los errores e intentar solucionarlo.
En este caso hemos seleccionado IPSec certificate, pero, en el server el
certificado podia ser Server Authentication Certificate y en el cliente
Client Autentication Certificate, como te decia, hay articulos en los que


se
emplea un certificado de servidor web. Al final funcionan ya que los
certificados empleados en L2TP/IPSec son para autentificarse entre los
extremos y garantizar que cada uno es quien dice ser.
Si intentas usar una enterprise root CA, tambien funciona, pero, si no


vas
a realizar un uso intensivo de una PKI, mejor una stand alone root CA.
Ademas, en este caso vas a proporcionar certificados a maquinas que no


estan
en tu dominio, otro motivo mas para usar una stand alone root CA (bueno,


yo
al menos asi lo veo, quizas no sea correcto este punto de vista)


Un saludo.
Ivan
MS MVP ISA Server


"Javier Teran Gonzalez" escribió en el


mensaje
news:
> Al final no lo he conseguido por mas que lo he intentado.
>
> El primer enlace me parece impresionante y muy claro... pero hay que ser
> miembro del dominio. Que hago entonces con un Windows XP Home Edition
>



http://www.microsoft.com/technet/pr...tevpn.mspx
>
> http://www.sharesafe.net/sharesafe/...lPKI54.asp
>
>
>



http://www.microsoft.com/spain/tech...cion010025
>
> Debo ser un poco inútil.ni con MSCHAP v2 ni con nada.
> Es una cosa que tengo pendiente y que he intentado varias veces


conseguir.
> Al final utilizaré PPTP y Terminal Server desde los equipos de fuera de


mi
> oficina
>
> De todas maneras se acepta cualquier otra sugerencia.
>
> Yo aporto una Microsoft está muy comprometido con el tema de
seguridad,
> parches, etc con webcast, jornadas técnicas, JUST IT, eventos en
> universidades, etcc podría hacer un Webcast para realizar conexiones
> L2TP, PPTP, IPSEC, Terminal Server con seguridad empezando desde el
> principio, instalando una CA y obteniendo certificados desde equipos
remotos
> ajenos a tu dominio.Vamos, un monográfico del tema con demostraciónes
> on-line.
>
> Creo que ha principios de junio ya hay un WEBCAST de IPSec. espero


que
> haga una demostración de VPN. (je, por si está leyendo las news el
ponente).
>
> Un saludo, gracias a todos y hasta luego.
>
>
>
> "Enrique Ruiz [MS]" escribió en el


mensaje
> news:%2324fDq%
> > Hola,
> >
> > El mensaje que recibes es porque no tienes un certificado válido para
> IPSec.
> > Comprueba el objetivo del certificado en el XP mediante el snap-in de
> > certificados. Tendrías que tener "Allows secure communication on the
> > Internet" para que fuera un certificado válido.
> >
> > Saludos,
> >
> > Enrique Ruiz
> > Microsoft Francia
> >
> >
> > "Javier Teran Gonzalez" wrote in message
> > news:uWJhMX%
> > > En cuanto llegue a casa lo pruebo MSCHAP v2 OK.
> > >
> > > Ya os contaré.
> > > Seguro que ahora no me funciona nada. He tocado tantas cosas ya.
> > >
> > > "Ivan [MS MVP]" escribió en el mensaje
> > > news:evWsPM%
> > > > Creo que estas confundiendo el uso de certificados para L2TP7IPSec
con
> > > > autentificacion EAP-TLS. Yo empezaria por usar autentificacion
MSCHAP
> v2
> > y
> > > > si funciona, en principio los certificados para L2TP/IPSec estan
> > > > correctamente instalados.
> > > >
> > > > Para autentificacion EAP-TLS vas a necesitar dos certificados: uno
> para
> > > > L2TP/IPSec y otro para EAP-TLS. Si te dice que no hay un


certificado
> > > valido,
> > > > posiblemente es debido a que no esta instalado el certificado raiz
de
> tu
> > > > entidad emisora (aunque dices que lo has instalado) o que te
falta
> > el
> > > > segundo certificado. Desde la MMC de certificados, certificados
> (equipo
> > > > local), entidades emisoras raiz de confianza, tienen que aparecer


el
> > > > certificado de tu CA. Tambien es posible que aparezca en
certificados
> > > > (usuario actual, entidades emisoras de raiz de confianza).
> > > >
> > > > Un saludo.
> > > > Ivan
> > > > MS MVP ISA Server
> > > >
> > > >
> > > > "Javier Teran Gonzalez" escribió en


el
> > > mensaje
> > > > news:
> > > > > No. No hay routers en medio
> > > > >
> > > > > El servidor de mi empresa lo he tenido en mi casa todo el fin de
> > > > > semanaLo único que había por medio era el hub de mi red
> interna...
> > > Ya
> > > > > digo, ni firewall ni nada.
> > > > >
> > > > > No se que es lo que se me escapa... Como nunca he visto ninguna
L2TP
> > > > > funcionando ni ha nadie que lo haya hecho. Para mi es como un
MITO.
> > > > >
> > > > > Un saludo
> > > > >
> > > > >
> > > > > "Javier Inglés [MS MVP]"
> > escribió
> > > en
> > > > > el mensaje news:dc3e01c43bde$30e26b60$
> > > > > Si hay routers de por medio, éstos deben poder cumplir la
> > > > > norma para hacer Nat-T (Nat Transversal), debido a que por
> > > > > diseño, NAT e IPSec son incompatibles
> > > > >
> > > > > Salu2!!!
> > > > > Javier Inglés [MS MVP]
> > > > >
> > > > > >Buenos días.
> > > > > >
> > > > > >Me voy a volver loco configurando una conexión VPN con
> > > > > L2TP y certificado.
> > > > > >No se cuantas horas llevo ya, cuantas páginas visitadas,
> > > > > cuantas veces leída
> > > > > >la ayuda de windows server 2003.
> > > > > >
> > > > > >Windows Server 2003 DELEGACION A
> > > > > >
> > > > > >- Configurado Enrutamiento y acceso Remoto
> > > > > >- He deshabilitado el firewall en la interfaz de internet
> > > > > para que no haya
> > > > > >problemas (luego solo sería habilitarlo)
> > > > > >- Tengo una entidad emisora de certificados correctamente
> > > > > configurada. He
> > > > > >probado tanto de empresa como stand-alone.
> > > > > >- Las políticas de acceso remoto en "Enrutamiento y
> > > > > acceso Remoto" no las he
> > > > > >tocado
> > > > > >- He concedido permiso de marcado a los usuarios que
> > > > > deseo que realicen la
> > > > > >conexión VPN. Esos usuarios realizan la conexión VPN PPTP
> > > > > sin problemas.
> > > > > >
> > > > > >Windows XP Pro DELEGACION B
> > > > > > Fuera de mi dominio. Conectado a internet y con
> > > > > conectividad de una
> > > > > >delegación a otra.
> > > > > >
> > > > > >- He añadido una nueva conexión VPN mediante el asistente.
> > > > > >- En funciones de red--> Tipo de red privada virtual
> > > > > (VPN ) --> he puesto
> > > > > >VPN con L2TP/IPSEC
> > > > > >- En Seguridad --> Avanzada--> he marcado usar el
> > > > > protocolo de auteticación
> > > > > >estensible (EAP)
> > > > > > en sus propiedades he marcado "sar un certificado de
> > > > > equipo y utilizar
> > > > > >selección simple de certificado (se recomienda)". He
> > > > > marcado "Usar un nombre
> > > > > >de usuario distinto para la conexión" y el resto lo he
> > > > > dejado como estaba.
> > > > > >
> > > > > >- A su vez me he conectado por web http://servidor/certsrv
> > > > > > - Instalo el certificado de la entidad emisora de
> > > > > certificados para
> > > > > >confiar en ella.
> > > > > > - Solicito un certificado --> Avanzadas --> me
> > > > > sale un combo y
> > > > > >escojo el administrador. Instalo el certificado que me da
> > > > > mi CA
> > > > > >
> > > > > >
> > > > > >- Intento realizar la conexión y me dice que no hay un
> > > > > certificado
> > > > > >válido
> > > > > >- ¿Que me falta? ¿Tengo que hacer algo mas en el servidor
> > > > > o en el
> > > > > >cliente?...
> > > > > >
> > > > > >- Microsoft tiene cientos de sesiones técnicas de
> > > > > configuraciones. Alguien
> > > > > >sabe algún sitio donde haya un video o algo así donde
> > > > > paso a paso realicen
> > > > > >esas configuraciones? . Me da igual que sea en
> > > > > castellano, inglés, ruso
> > > > > >
> > > > > >- ¿Algún manual claro y conciso?. He leido unos manuales
> > > > > bastante completos
> > > > > >de instalar certificados para asegurar la página web ...
> > > > > pero creo que eso
> > > > > >no me vale... Solo quiero realizar una conexión VPN L2TP
> > > > > desde tres
> > > > > >ordenadores externos a mi organización. Fácil, pero no lo
> > > > > es.
> > > > > >
> > > > > >Gracias por vuestra ayuda por anticipado y perdonar por
> > > > > el correo tan
> > > > > >extenso. Es que ya estoy desesperado.
> > > > > >
> > > > > >
> > > > > >.
> > > > > >
> > > > >
> > > > >
> > > >
> > > >
> > >
> > >
> >
> >
>
>


Respuesta Responder a este mensaje
#12 Javier Teran Gonzalez
19/05/2004 - 18:00 | Informe spam
BIENNNNNNN.

Gracias a tu completo manual (te habrá llevado mucho tiempo) he conseguido
que me funcione mi VPN L2TP...
Se lo aconsejo a cualquiera que tenga dudas sobre ello.

Estoy plenamente satisfecho.

Creo que mi problema era simplemente que no seleccionaba certificado de tipo
IPSEC. Pero con tus claras indicaciones me ha
salido a la primera.

El EAP-TLS lo dejaremos para otra ocasión Me volveréis a ver por aquí.

Muchisimas gracias de nuevo.
Un saludo.

"Javier Teran Gonzalez" escribió en el mensaje
news:
Estoy deseando probarlo. Será esta tarde.

Ya te comentaré. Gracias.

"Ivan [MS MVP]" escribió en el mensaje
news:
> Hola Javier, te pongo un ejemplo de como realizarlo empleando una stand
> alone root CA. Un ejemplo sencillo: un servidor Windows 2003 (nombre de
> dominio example.com, nombre del server DC1) y un cliente Windows XP SP1
(no
> esta integrado en el dominio, nombre de maquina CLI1). Mas o menos esto
> seria:
>
> -Instalas una stand alone root CA en el server.
>
> -Configuras RRAS y selecciona como metodo de autentificacion solo MSCHAP
v2
> (no vamos a usar RADIUS). Configura la asignacion de direcciones,


puertos
> L2TP necesarios, etc
>
> -El siguiente paso es obtener el certificado para el server. Desde
> http://dc1.example.com/certsrv , request a certificate, advanced
certificate
> request, create and submit a request to this CA, en advanced certificate
> request, configuramos estas opciones:
> Name: dc1.example.com (en este caso usamos el FQDN del servidor aunque


no
> tiene mucha importancia. Esto si es mas importante cuando se emplea
> autentificacion EAP-TLS)
> Type of Cettificate Needed: IPSec certificate
> Store certificate in the local computer certificate store: habilitada
> El resto de opciones por defecto, si quieres cumplimentar mas campos de
> "identifying information" no hay problema. Una vez cumplimentado, clic
sobre
> submit.
> Nos vamos a la MMC de la autoridad de certificacion, clic sobre pending
> request, nos aparece la solicitus de certificado anterior, clic derecho,
all
> task, issue.
> de nuevo volvemos a http://dc1.example.com/certsrv , view the status of


a
> pending certificate request, clic sobre la peticion de certificado,
instalar
> el certificado.
> Desde una MMC agrega el complemto certificados (equipo local). Si miras
> dentro de: personal, certificados, veras el certificado pra IPSec que se
ha
> instalado en el paso anterior. Como el server es ademas la CA, veras


algun

> certificado mas, pero, el que se ha instalado en el paso anterior


muestra
> como "intended purposes" IP security IKE intermediate. Si este


certificado
> no aparece muy posiblemente es debido a que no hemos marcado la opcion


de
> usar el almacen de la maquina local a la hora de solicitar el


certificado.
> Te recuerdo que para usar L2TP/IPSec los certificados deben ser de
maquina.
> Otra comprobacion (que en este caso no seria necesaria ya que el


servidor
es
> la propia CA). Dentro de trusted root certification authorities,
> certificados, debe aparecer tu CA.
>
> -Ahora vamos con el certificado para el cliente. De nuevo
> http://dc1.example.com/certsrv , request a certificate, advanced
certificate
> request, create and submit a request to this CA, en advanced certificate
> request, configuramos estas opciones:
> Name: cli1.example.com (en este caso usamos el FQDN del cliente aunque


no
> tiene mucha importancia. Esto si es mas importante cuando se emplea
> autentificacion EAP-TLS)
> Type of Cettificate Needed: IPSec certificate
> Store certificate in the local computer certificate store: habilitada
> El resto de opciones por defecto, si quieres cumplimentar mas campos de
> "identifying information" no hay problema. Una vez cumplimentado, clic
sobre
> submit. Para que el cliente pueda validar estos certificados es


necesario
> agregar el certificado raiz de tu CA dentro de trusted root


certification
> authorities, certificados. Hay varias forma de hacerlo, una es esta:
> http://dc1.example.com/certsrv, download a CA certificate, certificate
> chain, or CRL, download CA certificate y guardas el certificado
(mismamente
> en el escritorio para tenerlo a mano). Ahora desde la MMC de


certificados,
> equipo local, te situas en trusted root certification authorities,
> certificados, clic derecho, all task, import y seleccionas el


certificado
> anterior. Un avez realizado tu CA aparece como una entidad emisora de


raiz
> de confianza y si de nuevo vas a certificados (equipo local), personal,
> certificados, veras el certificado para IPSec y es ademas un certificado
> valido ya que el certificado de tu CA esta agregado dentro de las
entidades
> emisoras raiz de confianza.
>
> -El ultimo paso es crear la conexion VPN en el cliente. En la pestaña
> funciones de red selecciona L2TPIPsec, en opciones inlcuye el nombre de
> dominio y conectar, con esto deberia funcionar. Por supuesto asegurate


que
> el usuario tiene permisos de marcado, las directivas de acceso remoto lo
> permiten, etc si te apetece probarlo, nos cuentas. en caso de
problemas
> podemos ver cuales son los errores e intentar solucionarlo.
> En este caso hemos seleccionado IPSec certificate, pero, en el server el
> certificado podia ser Server Authentication Certificate y en el cliente
> Client Autentication Certificate, como te decia, hay articulos en los


que
se
> emplea un certificado de servidor web. Al final funcionan ya que los
> certificados empleados en L2TP/IPSec son para autentificarse entre los
> extremos y garantizar que cada uno es quien dice ser.
> Si intentas usar una enterprise root CA, tambien funciona, pero, si no
vas
> a realizar un uso intensivo de una PKI, mejor una stand alone root CA.
> Ademas, en este caso vas a proporcionar certificados a maquinas que no
estan
> en tu dominio, otro motivo mas para usar una stand alone root CA (bueno,
yo
> al menos asi lo veo, quizas no sea correcto este punto de vista)
>
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
> "Javier Teran Gonzalez" escribió en el
mensaje
> news:
> > Al final no lo he conseguido por mas que lo he intentado.
> >
> > El primer enlace me parece impresionante y muy claro... pero hay que


ser
> > miembro del dominio. Que hago entonces con un Windows XP Home Edition
> >
>



http://www.microsoft.com/technet/pr...tevpn.mspx
> >
> > http://www.sharesafe.net/sharesafe/...lPKI54.asp
> >
> >
> >
>



http://www.microsoft.com/spain/tech...cion010025
> >
> > Debo ser un poco inútil.ni con MSCHAP v2 ni con nada.
> > Es una cosa que tengo pendiente y que he intentado varias veces
conseguir.
> > Al final utilizaré PPTP y Terminal Server desde los equipos de fuera


de
mi
> > oficina
> >
> > De todas maneras se acepta cualquier otra sugerencia.
> >
> > Yo aporto una Microsoft está muy comprometido con el tema de
> seguridad,
> > parches, etc con webcast, jornadas técnicas, JUST IT, eventos en
> > universidades, etcc podría hacer un Webcast para realizar


conexiones
> > L2TP, PPTP, IPSEC, Terminal Server con seguridad empezando desde el
> > principio, instalando una CA y obteniendo certificados desde equipos
> remotos
> > ajenos a tu dominio.Vamos, un monográfico del tema con demostraciónes
> > on-line.
> >
> > Creo que ha principios de junio ya hay un WEBCAST de IPSec. espero
que
> > haga una demostración de VPN. (je, por si está leyendo las news el
> ponente).
> >
> > Un saludo, gracias a todos y hasta luego.
> >
> >
> >
> > "Enrique Ruiz [MS]" escribió en el
mensaje
> > news:%2324fDq%
> > > Hola,
> > >
> > > El mensaje que recibes es porque no tienes un certificado válido


para
> > IPSec.
> > > Comprueba el objetivo del certificado en el XP mediante el snap-in


de
> > > certificados. Tendrías que tener "Allows secure communication on the
> > > Internet" para que fuera un certificado válido.
> > >
> > > Saludos,
> > >
> > > Enrique Ruiz
> > > Microsoft Francia
> > >
> > >
> > > "Javier Teran Gonzalez" wrote in


message
> > > news:uWJhMX%
> > > > En cuanto llegue a casa lo pruebo MSCHAP v2 OK.
> > > >
> > > > Ya os contaré.
> > > > Seguro que ahora no me funciona nada. He tocado tantas cosas ya.
> > > >
> > > > "Ivan [MS MVP]" escribió en el mensaje
> > > > news:evWsPM%
> > > > > Creo que estas confundiendo el uso de certificados para


L2TP7IPSec
> con
> > > > > autentificacion EAP-TLS. Yo empezaria por usar autentificacion
> MSCHAP
> > v2
> > > y
> > > > > si funciona, en principio los certificados para L2TP/IPSec estan
> > > > > correctamente instalados.
> > > > >
> > > > > Para autentificacion EAP-TLS vas a necesitar dos certificados:


uno
> > para
> > > > > L2TP/IPSec y otro para EAP-TLS. Si te dice que no hay un
certificado
> > > > valido,
> > > > > posiblemente es debido a que no esta instalado el certificado


raiz
> de
> > tu
> > > > > entidad emisora (aunque dices que lo has instalado) o que te
> falta
> > > el
> > > > > segundo certificado. Desde la MMC de certificados, certificados
> > (equipo
> > > > > local), entidades emisoras raiz de confianza, tienen que


aparecer
el
> > > > > certificado de tu CA. Tambien es posible que aparezca en
> certificados
> > > > > (usuario actual, entidades emisoras de raiz de confianza).
> > > > >
> > > > > Un saludo.
> > > > > Ivan
> > > > > MS MVP ISA Server
> > > > >
> > > > >
> > > > > "Javier Teran Gonzalez" escribió


en
el
> > > > mensaje
> > > > > news:
> > > > > > No. No hay routers en medio
> > > > > >
> > > > > > El servidor de mi empresa lo he tenido en mi casa todo el fin


de
> > > > > > semanaLo único que había por medio era el hub de mi red
> > interna...
> > > > Ya
> > > > > > digo, ni firewall ni nada.
> > > > > >
> > > > > > No se que es lo que se me escapa... Como nunca he visto


ninguna
> L2TP
> > > > > > funcionando ni ha nadie que lo haya hecho. Para mi es como un
> MITO.
> > > > > >
> > > > > > Un saludo
> > > > > >
> > > > > >
> > > > > > "Javier Inglés [MS MVP]"
> > > escribió
> > > > en
> > > > > > el mensaje news:dc3e01c43bde$30e26b60$
> > > > > > Si hay routers de por medio, éstos deben poder cumplir la
> > > > > > norma para hacer Nat-T (Nat Transversal), debido a que por
> > > > > > diseño, NAT e IPSec son incompatibles
> > > > > >
> > > > > > Salu2!!!
> > > > > > Javier Inglés [MS MVP]
> > > > > >
> > > > > > >Buenos días.
> > > > > > >
> > > > > > >Me voy a volver loco configurando una conexión VPN con
> > > > > > L2TP y certificado.
> > > > > > >No se cuantas horas llevo ya, cuantas páginas visitadas,
> > > > > > cuantas veces leída
> > > > > > >la ayuda de windows server 2003.
> > > > > > >
> > > > > > >Windows Server 2003 DELEGACION A
> > > > > > >
> > > > > > >- Configurado Enrutamiento y acceso Remoto
> > > > > > >- He deshabilitado el firewall en la interfaz de internet
> > > > > > para que no haya
> > > > > > >problemas (luego solo sería habilitarlo)
> > > > > > >- Tengo una entidad emisora de certificados correctamente
> > > > > > configurada. He
> > > > > > >probado tanto de empresa como stand-alone.
> > > > > > >- Las políticas de acceso remoto en "Enrutamiento y
> > > > > > acceso Remoto" no las he
> > > > > > >tocado
> > > > > > >- He concedido permiso de marcado a los usuarios que
> > > > > > deseo que realicen la
> > > > > > >conexión VPN. Esos usuarios realizan la conexión VPN PPTP
> > > > > > sin problemas.
> > > > > > >
> > > > > > >Windows XP Pro DELEGACION B
> > > > > > > Fuera de mi dominio. Conectado a internet y con
> > > > > > conectividad de una
> > > > > > >delegación a otra.
> > > > > > >
> > > > > > >- He añadido una nueva conexión VPN mediante el asistente.
> > > > > > >- En funciones de red--> Tipo de red privada virtual
> > > > > > (VPN ) --> he puesto
> > > > > > >VPN con L2TP/IPSEC
> > > > > > >- En Seguridad --> Avanzada--> he marcado usar el
> > > > > > protocolo de auteticación
> > > > > > >estensible (EAP)
> > > > > > > en sus propiedades he marcado "sar un certificado de
> > > > > > equipo y utilizar
> > > > > > >selección simple de certificado (se recomienda)". He
> > > > > > marcado "Usar un nombre
> > > > > > >de usuario distinto para la conexión" y el resto lo he
> > > > > > dejado como estaba.
> > > > > > >
> > > > > > >- A su vez me he conectado por web http://servidor/certsrv
> > > > > > > - Instalo el certificado de la entidad emisora de
> > > > > > certificados para
> > > > > > >confiar en ella.
> > > > > > > - Solicito un certificado --> Avanzadas --> me
> > > > > > sale un combo y
> > > > > > >escojo el administrador. Instalo el certificado que me da
> > > > > > mi CA
> > > > > > >
> > > > > > >
> > > > > > >- Intento realizar la conexión y me dice que no hay un
> > > > > > certificado
> > > > > > >válido
> > > > > > >- ¿Que me falta? ¿Tengo que hacer algo mas en el servidor
> > > > > > o en el
> > > > > > >cliente?...
> > > > > > >
> > > > > > >- Microsoft tiene cientos de sesiones técnicas de
> > > > > > configuraciones. Alguien
> > > > > > >sabe algún sitio donde haya un video o algo así donde
> > > > > > paso a paso realicen
> > > > > > >esas configuraciones? . Me da igual que sea en
> > > > > > castellano, inglés, ruso
> > > > > > >
> > > > > > >- ¿Algún manual claro y conciso?. He leido unos manuales
> > > > > > bastante completos
> > > > > > >de instalar certificados para asegurar la página web ...
> > > > > > pero creo que eso
> > > > > > >no me vale... Solo quiero realizar una conexión VPN L2TP
> > > > > > desde tres
> > > > > > >ordenadores externos a mi organización. Fácil, pero no lo
> > > > > > es.
> > > > > > >
> > > > > > >Gracias por vuestra ayuda por anticipado y perdonar por
> > > > > > el correo tan
> > > > > > >extenso. Es que ya estoy desesperado.
> > > > > > >
> > > > > > >
> > > > > > >.
> > > > > > >
> > > > > >
> > > > > >
> > > > >
> > > > >
> > > >
> > > >
> > >
> > >
> >
> >
>
>


email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida