none
Error 789 en VPN con Windows 2008 server, certificados y directivas de red e IPSec. Clientes Windows 7.

    Pregunta

  •  

    Hola, buenas tardes:

     

    El tema es que quería hacer una consulta referente a una VPN que estoy montando con un server Windows 2008 y clientes Windows 7. Me da un error, concretamente el error 787 (No se pudo autentificar al equipo remoto, o algo así). Si os parece os explico como la he montado.

     

    El equipo es un server 2008 standard edition de 32 bits. Trabaja como servidor DNS, DHCP, Enrutamiento y acceso remoto y como entidad certificadora.

     

    La configuración de la VPN, es la siguiente:

     

    Utiliza protocolo de túnel L2TP con IPSec, con cifrado a través de certificado, no con clave previamente compartida.

    El método de autenticación es EAP protegido (PEAP), con autenticación por certificado.

    El cifrado lo he puesto como opcional.

    He emitido certificados a través de mi entidad certificadora, al usuario (certificado de usuario), y para el equipo (certificado de equipo, e IPSec, solicitados ambos con cuenta del dominio con derechos para ello) y por si no se habían instalado bien los del servidor o el de la entidad, los he importado a través del usuario para luego incluirlo entre las entidades certificadoras raíz de confianza.

     

    El marcado en los usuarios esta puesto en permitir, y sus certificados aparecen perfectamente.

    El equipo también tiene puesto en marcado permitir.

     

    Las directivas de red, están todas habilitadas, he incluso he creado una para NAP (Tanto de cumplimiento, como de no cumplimiento). Entiendo que los clientes cumplen con estas directivas, ya que el único método de autenticación es por PEAP, y con certificado, y en la ficha general el tipo de conexión es VPN, y la conexión está permitida.

     

    En las directivas de seguridad IP, tanto del dominio, como del controlador de dominio (Las directivas locales no tienen nada configurado en ese apartado), están todas la de client y las de server habilitadas, el método de autenticación es por certificado, y he elegido el mismo servidor, y el mismo certificado. Además, la opción de permitir o no la conexión, está en permitir a secas.

     

    Entre las directivas de seguridad, están habilitadas las de requerir cifrar los datos si el cliente lo permite, y la de la opción siempre.

     

    En las reglas del firewall, están permitidas las de enrutamiento y acceso remoto, las de L2TP, y las de IPSec.

     

    Hace un par de semanas la VPN estuvo funcionando perfectamente, pero entonces la autentificación era con clave previamente compartida y certificado de usuario. Lo que no tenia instalado creo recordar, aunque no sé si aunque no estén instaladas, están presentes son las directivas de red. El caso es que conectaba bien. Tuve un problema de permisos con un equipo, y además tuve que resetear el router, y a partir de ahí, y de instalar las directivas, dejo de funcionar. Incluso con la directiva personalizada IPSec de clave previamente compartida, me daba el error 720.

     

    La configuración del router, es la siguiente:

     

    Tiene mapeados los puertos de L2TP (1701), de PPTP (que igual no es necesario, 1723), el puerto de IPSec (500), el puerto 4500 y el protocolo GRE. Tengo duda de si debo permitir el protocolo IKE ( y eso como va por puerto, o por Id. de protocolo). Además si no tengo mal entendido, Windows 2008 y Windows 7, utilizan el protocolo IKE V.2, y claro el router no sé si me aceptara dicha versión. Creo que se pueden configurar los sistemas para que admitan IKE V.1, pero no sé cómo (Bueno eso si fuera necesario, lo puedo consultar en Internet). Otra pregunta, ¿Tendría que abrir los puertos del IPSec especial y eso?.

     

    Otro tema es que en su día, revoque los primeros certificados de la entidad emisora, y del controlador de dominio, habiendo hecho antes nuevos certificados, mediante la renovación de la entidad, y la emisión de un certificado nuevo para el controlador. En un principio esta última semana he estado utilizando estos certificados renovados, ya que los otros los había revocado. Pero ayer ya, copie los revocados en un  fichero, y los volví a importar, en el servidor, y nada, como antes. Si es cierto que en el cliente le tengo seleccionado en las propiedades de la conexión VPN, en el protocolo PEAP, todos los certificados de que dispongo, los cuales como ves son muchos. Quizás tenga que validarle, solo ante uno, porque si uno de ellos me da error ya no llega a poder mirar el que a mi me sirve, no lo se. Es que tengo seleccionado todos por si acaso.

     

    El modo de obtención de la dirección IP, de los equipos remotos es por DHCP.

     

    Bueno señores, después de todo este rollazo que les he metido, a ver si alguno me puede ayudar, por favor.

    domingo, 01 de mayo de 2011 17:30

Respuestas

  • Es demasiado complejo el escenario para poder verlo en un foro, pero por lo menos trato de darte algunos datos para que investigues, alguno de los temas

    Si usas L2TP+IPSec, las máquinas necesitan certificado (aparte de los usuarios), tanto el servidor VPN como cada uno de los clientes que se conectan

    Dices que has puesto el cifrado como opcional. Eso no es bueno porque permitiría la conexión si cifrar la información transferida. Con la definición actual ya no sería un VPN, y por supuesto la seguridad no existe.

    No sé qué método usas para obtener los certificados de máquina (MMC, web, request, etc.) pero revisa porque aunque sea un certificado de máquina Win7 lo pone en la carpeta Personal del usuario y no de la máquina. Hay que moverlo manualmente

    Si has dado certificados y luego revocado, y además revocado el de la autoridad certificadora, va a costar bastante encontrar el adecuado, ya que el cliente utilizará sólo uno

    No es exactamente lo que buscas, pero que este artículo puede ayudarte para ver el funcionamiento:
    Conectando Clientes a la Red usando VPN con ISA 2006 « WindowServer:
    http://windowserver.wordpress.com/2011/02/10/conectando-clientes-a-la-red-usando-vpn-con-isa-2006/

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 02 de mayo de 2011 18:27
    Moderador

Todas las respuestas

  • Es demasiado complejo el escenario para poder verlo en un foro, pero por lo menos trato de darte algunos datos para que investigues, alguno de los temas

    Si usas L2TP+IPSec, las máquinas necesitan certificado (aparte de los usuarios), tanto el servidor VPN como cada uno de los clientes que se conectan

    Dices que has puesto el cifrado como opcional. Eso no es bueno porque permitiría la conexión si cifrar la información transferida. Con la definición actual ya no sería un VPN, y por supuesto la seguridad no existe.

    No sé qué método usas para obtener los certificados de máquina (MMC, web, request, etc.) pero revisa porque aunque sea un certificado de máquina Win7 lo pone en la carpeta Personal del usuario y no de la máquina. Hay que moverlo manualmente

    Si has dado certificados y luego revocado, y además revocado el de la autoridad certificadora, va a costar bastante encontrar el adecuado, ya que el cliente utilizará sólo uno

    No es exactamente lo que buscas, pero que este artículo puede ayudarte para ver el funcionamiento:
    Conectando Clientes a la Red usando VPN con ISA 2006 « WindowServer:
    http://windowserver.wordpress.com/2011/02/10/conectando-clientes-a-la-red-usando-vpn-con-isa-2006/

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 02 de mayo de 2011 18:27
    Moderador
  • Es demasiado complejo el escenario para poder verlo en un foro, pero por lo menos trato de darte algunos datos para que investigues, alguno de los temas

    Si usas L2TP+IPSec, las máquinas necesitan certificado (aparte de los usuarios), tanto el servidor VPN como cada uno de los clientes que se conectan

    Dices que has puesto el cifrado como opcional. Eso no es bueno porque permitiría la conexión si cifrar la información transferida. Con la definición actual ya no sería un VPN, y por supuesto la seguridad no existe.

    No sé qué método usas para obtener los certificados de máquina (MMC, web, request, etc.) pero revisa porque aunque sea un certificado de máquina Win7 lo pone en la carpeta Personal del usuario y no de la máquina. Hay que moverlo manualmente

    Si has dado certificados y luego revocado, y además revocado el de la autoridad certificadora, va a costar bastante encontrar el adecuado, ya que el cliente utilizará sólo uno

    No es exactamente lo que buscas, pero que este artículo puede ayudarte para ver el funcionamiento:
    Conectando Clientes a la Red usando VPN con ISA 2006 « WindowServer:
    http://windowserver.wordpress.com/2011/02/10/conectando-clientes-a-la-red-usando-vpn-con-isa-2006/

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    Hola Guillermo, soy Álvaro. He estado liado con otros temas, y he dejado este de lado un tiempo, pero ahora necesito retomarlo. Te escribo, para ver si podríamos quedar para charlar un rato, sobre este asunto. No se, dime algo por favor. Tengo un poco de suerte, en el sentido de que tengo quer volver a instalar un servidor nuevo, en la empresa en la que estoy instalando la VPN, y aunque el active directory, lo voy a copiar y cargar en el nuevo servidor, la red es de 10 equipos, con lo cual, no me lleva mucho tiempo, volver a instalar la entidad certificadora, y emitir de nuevo los certificados. Estaría pero que muy bien el tener un buen manual de los pasos a seguir, y si tu supieras de alguno, te agradecería mucho que me dijeras cual es. Bueno, en fin, que necesito ayuda, y te rogaría que en la medida que puedas me la facilites. De verdad, te lo agradecería.

    Un saludo.

    Álvaro Urrutia Beaskoa.

    lunes, 09 de mayo de 2011 17:38
  • Yo te sugiero que hagas el procedimiento en el enlace que pasé anteriormente con máquinas virtuales, ya que te permitirá comprender el procedimiento, además lo adaptarás al sistema operativo actual (ya que está para W2003-XP), y el reemplazo del ISA lo puedes hacer perfectamente configurando el RRAS en el servidor W2008 (es parte del Network Policy Server)

    Además, probando el procedimiento en máquinas virtuales siempre tienes la ventaja de poder congelar estados (snapshots) y si algo no funciona volver atrás, y probar nuevamente :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 09 de mayo de 2011 18:35
    Moderador
  • Jode Guillermo, a esto le llamo yo, velocidad de respuesta. Muchas gracias, de verdad. Voy a hacer lo que tú me dices, y te lo comento, si te parece.

    Un saludo.

    Álvaro.

    lunes, 09 de mayo de 2011 18:39
  • No, no es velocidad, es coincidencia de horarios :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 09 de mayo de 2011 19:04
    Moderador
  • En cualquier caso gracias, ya me he bajado el virtual pc, y voy a seguir los pasos que me has indicado. Ya te contare como va el tema. Espero que bien. Por cierto, te quería preguntar, una vez que se instala una entidad certificadora, y se han emitido los certificados necesarios, ¿sería una medida de seguridad quitar del servidor y guardar en varios sitios seguros, el certificado de la entidad certificadora?, ¿se puede hacer esto, o es necesario tenerlo en el equipo?, ¿concretamente, es el que te crea con nombre CA.crt, no?. Ojala, no haya dicho ningún disparate, aún así, espero que si lo he dicho, me disculpes mi ignorancia, aunque estoy aprendiwendo mucho.

    Un saludo.

    Álvaro


    Por cierto he vuelto a editar el mensaje para añadir esto que te comento. No tiene nada que ver con el tema. Y es que tu eres argentino, y a mi no se porque siempre me hubiera gustado ir a Argentina. Bueno me hubiera, y me gustaría ir algún día a conocer Todo, aunque me lleve dos meses. Espero tener dinero algún día, y tiempo. Supongo que tendre que esperar a la juvilación, je, je. No, de verdad hasta el nombre de vuestra capital me alucina (Buenos Aires). Eso ya es algo bueno.

    Un saludo.


    lunes, 09 de mayo de 2011 19:42
  • Hola Álvaro, no sé si va a funcionar bien con VirtualPC, porque no permite tener varias redes. En realidad si haces todo bien va a funcionar, porque se aislan las máquinas por tener IP de diferente red, pero físicamente estarán sobre la misma.

    Para emular varias redes, hay en Microsoft Virtual Server 2005R2, o creo más fácil si te bajas una versión de prueba de VMware Workstation que si no la compras funciona por 30 días

    Por el tema de certificados, es largo :-)

    Buenas prácticas: tener una CA raíz, que le da certificado a otra CA que es la que finalmente otorga los certificados. La primera se puede tener apagada o aislada de la red

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 10 de mayo de 2011 14:34
    Moderador