none
Conexión VPN-L2TP-IPsec

    Pregunta

  • No sabia en que parte del foro poner esta cuestión y me he decidido aqui, espero haber acertado.

    Hasta ahora tenia una VPN-PPTP y no me daba ningún problema se conectaba a la primera y todo perfecto, pero ahora se me a ocurrido intentar la VPN-IPsec y después de varios intentos y codigos de error, no he conseguido que funcione, me da siempre error 678. Pero si cambio en la misma conexión a PPTP va perfecto y eso es lo que me extraña, ya que ese error indica que no responde el equipo remoto pero no es asi por que funciona con PPTP. He probado con varios protocolos de autenticacion y con la clave compartida, pero no me funciona.

    Servidor-->Servidor 2003 (enrutador y acceso remoto)

    Cliente-->Windows XP

    Saludos......

    jueves, 01 de febrero de 2007 19:20

Todas las respuestas

  • Hola Victor. ¿La conexión debe pasar a través de algún firewall? ¿Están abiertos los puertos udp 500 y 4500? ¿Has comprobado en RAS que haya puertos disponibles para L2TP y no sólo para PPTP?

     

    jueves, 01 de febrero de 2007 23:30
  • No tengo activado ningún firewall en el servidor con 2003, en el router tengo abiertos los puertos 47 , 500 y 4500 (UDP) y 1701 y 1723 (TCP). El enrutador aparentemente esta bien configurado ya que con la conexión PPTP funciona con un cliente de internet, pero encuanto cambio a L2TP-IPsec, da error 678. Si hago una conexión entre los PC´s con rangos de red interna también funciona tanto la PPTP como L2TP-IPsec y eso si que me extraña ya que si funciona dentro de la red porque no funciona desde el exterior si va con PPTP, algo debo tener mal configurado en el router, creo yo.

     

    Saludos....

    viernes, 02 de febrero de 2007 10:47
  • EL puerto 1701 de L2tp es UDP
    http://support.microsoft.com/kb/314831

    Slds
    Sebastian del Rio
    Buenas practicas para el uso de los foros
    Si la respuesta te fue de utilidad , marcala como respondida
    viernes, 02 de febrero de 2007 11:02
    Moderador
  • Pués nada sigo con el error 678, cuando pongo el tipo PPTP todo perfecto no tarda ni 5 segundos en conectar atraves de internet, pero es cambiar solo a L2tp-iPsec y falla como una escopeta de feria. Yo sigo creyendo que es un error del router.
    viernes, 02 de febrero de 2007 11:38
  • En el router redireccionastes el puerto 1701 UDP a tu Windows 2003 server ?

    Slds
    Sebastian del Rio
    viernes, 02 de febrero de 2007 13:24
    Moderador
  • Si, lo tengo direccionado al servidor de acceso remoto y enrutador, un servidor independiente (2003 Server). Lo que me sigue comiendo la cabeza es que cambio a PPTP sin hacer nada más y funciona o cambio la IP publica por la ip privada del servidor y se conecta con L2TP-IPsec. El único problema es al intentar establecer la VPN-L2TP-IPsec, desde un cliente de internet, es entonces cuando da el eror 678. 

    viernes, 02 de febrero de 2007 13:49
  • Si utilizas ISA server puedes monitorizar la interfaz cuando llega la peticion desde afuera y ver por que te la esta denegando. O no se que firewall tendras y si permite esto. Por otro lado puedes instalar un sniffer y ver que puertos intenta utilizar la conexion.

    Slds
    Sebastian del RIo

    viernes, 02 de febrero de 2007 15:42
    Moderador
  • Estoy desesperado, no consigo hacer que funcione, con el ISA 2004, en sesiones he conseguido ver alguna vez una conexión Secure NAT desde la IP 192.168.10.2 a 192.168.10.2 (una de las tarjetas del enrutador). Pero nada más y sin embargo en PPTP como un tiro y aparecen conexiones WEB proxy, Cliente VPN y Secure NAT
    sábado, 03 de febrero de 2007 17:13
  • Buenas, estoy de este tema hasta el gorro. Ahora me docenlos de Linksys que puede que mi router neutro este mal y yo me pregunto es posible esto cuando enlazo la VPN perfectamente por PPTP y solamente falla en L2tp, además como le explique al tecnico de linksys también me funciona en modo red local, vamos un desproposito. Me gustaria saber si le a pasado esto a alguien ya que me suena de que tengo algo mal configurado en el enrutador del windows 2003.

    Saludos....

    martes, 06 de febrero de 2007 8:29
  • Deja de repetir ya lo del pptp, por que no tiene nada que ver, es como hablar de gatos y perros, los dos son mascotas ;-)

    PPTP es un mecanismo muy simple y L2TP uno completamente diferente, si ademas usas ipsec, entonces mas todabia.

    Con L2tp e IPSec hay mil cosas que te pueden fallar, desde los certificados hasta las listas de revocación, etc.

    Muchos routers dan mucho problemas con ipsec y NAT, en redes grandes donde se usan routers buenos de cisco y servidores isa para las vpn todo funciona perfectametne pero en pequeñas redes con routers domesticos y servidores con NAT hay problemas.

    En esta pagina tienes información y varias actualizaciones.

    http://www.microsoft.com/spain/windowsserver2003/technologies/networking/vpn/default.aspx

    http://support.microsoft.com/kb/912213/es

    http://www.microsoft.com/technet/prodtechnol/windowsserver2003/es/library/ServerHelp/fe8e1d66-959c-476e-8b8f-6b44d511c825.mspx?mfr=true

    http://www.microsoft.com/technet/prodtechnol/windowsserver2003/es/library/ServerHelp/504b979d-1aec-4ad6-b091-fb24fa9311c4.mspx?mfr=true

    Si el trafico tiene que pasar por el ISA, mira en monitoring.

    Un saludo

    *******************************************************************************************************************

    Colabora con el foro: Si la respuesta te es de utilidad marca la pregunta como respondida.

    *******************************************************************************************************************

    Daniel Matey.

    MVP

    MCSE, MCSA, MCSD, MCDBA.

    Blog: http://geeks.ms/blogs/dmatey

     

     

     

     

    lunes, 12 de febrero de 2007 7:41
  • Después de tú comentario todo me hace llegar a la misma conclusión, aparte de que no tengo mucha idea, seguro que mi router es una castaña.

    Si he intentado hacer funcionar esto, es solamente por aprender y dotar de más seguridad a los futuros montajes que realice. Dicho esto mi pregunta es la siguiente:

    1. Para infraestructuras de tipo pequeña empresa con establecer una VPN, normal sin L2tp (ya no digo más PPTP) me valdria???

    2. Como ya comente en otro post si hago una conexión VPN, del tipo L2tp por red interna si que funciona. Y después de leer en este foro muchos post, sobre la creación de seguridad IPsec entre servidores FrontEnd y BackEnd (ya se que estoy mezclando churros con meninas), podria yo hacerlo con mi router patatero, ya que me permite crear una VPN de este tipo por red interna, aunque no pueda o no sepa por red externa.

    NOTA: Si puedo utilizar este tipo de seguridad en red interna, me despreocupo de hacer lo de VPN por el momento, ya que lo que me interesa es avanzar en mi aprendizaje y no creo que sea muy complicado, lo del cliente VPN L2tp-Ipsec teniendo el Hardware apropiado y por supuesto también los conocimientos.

     

    Saludos.......

     

    lunes, 12 de febrero de 2007 9:37
  • Hola Victor,  veo que este post es de hace ya tiempo pero nunca se sabe, te respondo igualmente.

     

    Creo que tu problema puede estar relacionado con las directivas de seguridad de L2TP/IPSEC en xp, tu mismo dices que no tarda nada en fallarte cuando intentas la conexión...parece que realmente no llega a intentar la conexión con el equipo remoto, prueba a cambiarle la ip y ponerle una cualquiera para probar.

    Te dejo un enlace de y espero que te sea de ayuda un saludo.

     

    http://support.microsoft.com/kb/240262

     

     

     

    miércoles, 17 de octubre de 2007 17:11
  •  

    Hola que tal a todos!, estoy justamente con las conexiones VPN y necesito encriptar los datos, o logrando que la conectividad sea mas segura.

    Muchos me hablaron de 3des pero no no logro entenderlo bien. Sin embargo necesitaré vuestra ayuda ya que necesito establecer que la conexión por VPN sea mas segura es lógico con una clave compartida? pues lo he hecho y lo he configurado en mi cliente XP y sin embargo funciona por mas que no le ponga la clave compartida ya que la configuración la realizo desde el routing and remote access.

    Pero no sé en que estaré cometiendo el error.... sin embargo, creo que debería existir alguna manera mas segura, inclusive tengo un certificado que cree en el Windows 2003 que no sé si servirá para utilizar como autenticación.

    Agradeceré vuestras respuestas.

    Gracias.

     

    viernes, 14 de marzo de 2008 21:35