Principales respuestas
VPN en Forefront TMG 2010 Standard con Servidor Radius en un Entorno de dominio de Windows Server 2008 R2

Pregunta
-
Hola,
El entorno es el siguiente:
1.- Un servidor de Controlador de dominio en un nivel funcional de dominio en Windows Server 2008 R2.
- Un usuarios con propiedades de marcado-Controlar acceso a través de la directiva de red NPS
2.- Un servidor NPS que aplica las directivas de VPN
- Para este servidor configure el rol de NPS y lo registre como servidor en active directory
- configure el cliente Radius, TMG de cliente
- Cree las directivas de mantenimiento
- Cree dos directivas
- Cree un directiva de solicitud de conexion
- Y configure el validador de mantenimiento de seguridad Windows
3.- Un servidor Forefront TMG 2010 Standard Editon, que pertenece al dominio.
- configure el servidor de radius y habilite cuarentena
4.- Un Cliente en Windows 7 y Windows 8
- en cliente habilite el control de cuarentena y inicie el servicio de Agente de Protección de Redes
- y configure una conexión VPN PPTP con las Configuraciones Avanzadas en inicie conexión.
Cuando inicio la conexión me sale un error que dice:
Error 919: No se puede establecer la conexión por que el protocolo de autenticación que el servidor RAS/VPN usa para comprobar el nombre de usuario y contraseña no coincide con la configuración en el perfil de conexión.
Bueno ya investigue varios tutoriales que mencionan los pasos descritos y no consigo la conexión. Si me pudiera decir que pasos van y que no o que tipo de certificado debe de ir.
De antemano gracias por sus respuestas.
Respuestas
-
Hola
Y tus clientes son Windows 7 !? O XP !?
Ahora por otro lado te puedo recomendar que leas este post: http://tmgblog.richardhicks.com/2012/08/22/addressing-security-issues-with-pptp-vpn-in-forefront-tmg-2010/ que habla sobre una interesante vulnerabilidad en MS-CHAPv2
Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
- Propuesto como respuesta Eduardo Portescheller miércoles, 29 de agosto de 2012 14:54
- Marcado como respuesta Eduardo Portescheller martes, 4 de septiembre de 2012 13:55
-
Segun lo que investigue el error 919 se debe a problemas de configuracion en alguno de los dos extremos, recuerda que cuando hablamos de VPN la confgiracion debe ser igual para ambos puntos... Basado en eso, te recomiendo esta guia http://www.it-training-grote.de/download/isaserver-tmg-VPN-NAP.pdf yo personalmente acabo de implementar un escenario similar al tuyo y la guia me ayudo mucho...
Por favor comentanos tus resultados.
Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
- Propuesto como respuesta Eduardo Portescheller miércoles, 29 de agosto de 2012 14:54
- Marcado como respuesta Eduardo Portescheller martes, 4 de septiembre de 2012 13:55
-
Bueno... Analizando un poco mas el log anterior
Origen:Externa(192.168.1.253:137) - Origen 192.168.1.253 puerto 137 (NetBios)
Destino:Host Local(192.168.1.255:138) Destino 192.168.1.255 esto es el Broadcast :)
Me parece que si solo ese evento ves, la solicitud de VPN no esta llegando a TMG, podrias considerar eso... Ahora SSTP no es una mala opcion :)
Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
- Propuesto como respuesta Eduardo Portescheller miércoles, 29 de agosto de 2012 14:55
- Marcado como respuesta Eduardo Portescheller martes, 4 de septiembre de 2012 13:55
-
Me respondo, el problema que presente en esta ocasión, no fue por la configuración que realicé, púes efectivamente todo estuvo muy bien, el error se trato en el servidor NPS, púes este tiene políticas de red que deniegan nuestra conexión VPN, lo que hice yo fue dejarlos y moverlos a la ultima posición o también se puede eliminar.
- Connections to Microsoft Routing and Remote Access server
- Connections to other access servers
Espero les sirva la información. Saludos.
- Marcado como respuesta Fernando Colque sábado, 9 de marzo de 2013 23:48
Todas las respuestas
-
Hola
Que protocolo de autenticacion usas en TMG !?
Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
-
-
Hola
Y tus clientes son Windows 7 !? O XP !?
Ahora por otro lado te puedo recomendar que leas este post: http://tmgblog.richardhicks.com/2012/08/22/addressing-security-issues-with-pptp-vpn-in-forefront-tmg-2010/ que habla sobre una interesante vulnerabilidad en MS-CHAPv2
Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
- Propuesto como respuesta Eduardo Portescheller miércoles, 29 de agosto de 2012 14:54
- Marcado como respuesta Eduardo Portescheller martes, 4 de septiembre de 2012 13:55
-
Mis clientes son un Windows 7 y un Windows 8.
Con lo que dice el post pues es muy cierto y justamente es por eso que estoy tratando de implementar un EAP, pero no solo para PPTP sino para L2TP y SSTP si es que lo soportan, y es precisamente que estoy empezando por PPTP y EAP con RADIUS y pasar por L2TP y así mejorando la seguridad de mi red.
Bueno espero tu respuesta .
Saludos.
-
Segun lo que investigue el error 919 se debe a problemas de configuracion en alguno de los dos extremos, recuerda que cuando hablamos de VPN la confgiracion debe ser igual para ambos puntos... Basado en eso, te recomiendo esta guia http://www.it-training-grote.de/download/isaserver-tmg-VPN-NAP.pdf yo personalmente acabo de implementar un escenario similar al tuyo y la guia me ayudo mucho...
Por favor comentanos tus resultados.
Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
- Propuesto como respuesta Eduardo Portescheller miércoles, 29 de agosto de 2012 14:54
- Marcado como respuesta Eduardo Portescheller martes, 4 de septiembre de 2012 13:55
-
-
Si haces una captura de trafico en el momento que un cliente se trata de conectar a la VPN que eventos te despligue en la consola de TMG !?
Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
-
El filtro lo aplique al IP Cliente, y la información que muestra es
Conexión Denegada
Tipo de Registro: Servicio Firewall
Estado: Las reglas de directiva no permiten la solicitud del usuario.
Regla: Regla predeterminada
Origen:Externa(192.168.1.253:137)
Destino:Host Local(192.168.1.255:138)
Protocolo: Servicio de nombre NetBios
-
y en el cliente me salio:
Error al conectarse a Conexión VPN
Error 691: Se denegó la conexión remota por que no se reconoce la combinación de nombre de usuario y contraseña especificada o porque el protocolo de autenticación seleccionado no esta permitiendo en el servidor de acceso remoto.
Saludos.
-
Delante de TMG tienes un router !?
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
-
Si tengo un Router, pero es para la red de la empresa y la mía es un entorno virtual en Hyper-v, ya probé también en entornos de VMWare Workstation pero el resultado es el mismo.
Al parecer al un problema con la autenticación pero el detalle es que no logro averiguar en que punto es.
La verdad se me hizo mas fácil hacer un VPN SSTP que un PPTP con RADIUS :D
Saludos.
-
Bueno... Analizando un poco mas el log anterior
Origen:Externa(192.168.1.253:137) - Origen 192.168.1.253 puerto 137 (NetBios)
Destino:Host Local(192.168.1.255:138) Destino 192.168.1.255 esto es el Broadcast :)
Me parece que si solo ese evento ves, la solicitud de VPN no esta llegando a TMG, podrias considerar eso... Ahora SSTP no es una mala opcion :)
Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
- Propuesto como respuesta Eduardo Portescheller miércoles, 29 de agosto de 2012 14:55
- Marcado como respuesta Eduardo Portescheller martes, 4 de septiembre de 2012 13:55
-
Te comento que antes de probar el VPN PPTP con RADIUS, lo hice sin RADIUS y me funciono sin problemas y luego decidí hacerlo con RADIUS y de ahí empezó mis problemas. Bueno también estoy seguro de que la solicitud esta llegando, pues cuando hice la captura de trafico encontré otra que si permite el trafico VPN PPTP en el puerto 1723.
Bueno con respecto a lo VPN SSTP no habría problema.
Acá una imagen con el trafico que capture
Saludos.
Gracias por tu ayuda. :D
-
Me respondo, el problema que presente en esta ocasión, no fue por la configuración que realicé, púes efectivamente todo estuvo muy bien, el error se trato en el servidor NPS, púes este tiene políticas de red que deniegan nuestra conexión VPN, lo que hice yo fue dejarlos y moverlos a la ultima posición o también se puede eliminar.
- Connections to Microsoft Routing and Remote Access server
- Connections to other access servers
Espero les sirva la información. Saludos.
- Marcado como respuesta Fernando Colque sábado, 9 de marzo de 2013 23:48
-
Hola II-Lucifer-II
Muchas gracias por compartir tu solucion...
Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse