Remove From My Forums

VPN en Forefront TMG 2010 Standard con Servidor Radius en un Entorno de dominio de Windows Server 2008 R2

Pregunta
0

Inicie sesión para votar
Hola,

El entorno es el siguiente:

1.- Un servidor de Controlador de dominio en un nivel funcional de dominio en Windows Server 2008 R2.

Un usuarios con propiedades de marcado-Controlar acceso a través de la directiva de red NPS

2.- Un servidor NPS que aplica las directivas de VPN

Para este servidor configure el rol de NPS y lo registre como servidor en active directory
configure el cliente Radius, TMG de cliente
Cree las directivas de mantenimiento
Cree dos directivas
Cree un directiva de solicitud de conexion
Y configure el validador de mantenimiento de seguridad Windows

3.- Un servidor Forefront TMG 2010 Standard Editon, que pertenece al dominio.

configure el servidor de radius y habilite cuarentena

4.- Un Cliente en Windows 7 y Windows 8

en cliente habilite el control de cuarentena y inicie el servicio de Agente de Protección de Redes
y configure una conexión VPN PPTP con las Configuraciones Avanzadas en inicie conexión.

Cuando inicio la conexión me sale un error que dice:

Error 919: No se puede establecer la conexión por que el protocolo de autenticación que el servidor RAS/VPN usa para comprobar el nombre de usuario y contraseña no coincide con la configuración en el perfil de conexión.

Bueno ya investigue varios tutoriales que mencionan los pasos descritos y no consigo la conexión. Si me pudiera decir que pasos van y que no o que tipo de certificado debe de ir.

De antemano gracias por sus respuestas.
lunes, 27 de agosto de 2012 18:23

Responder

|

Citar

Respuestas

0

Inicie sesión para votar
Hola

Y tus clientes son Windows 7 !? O XP !?

Ahora por otro lado te puedo recomendar que leas este post: http://tmgblog.richardhicks.com/2012/08/22/addressing-security-issues-with-pptp-vpn-in-forefront-tmg-2010/ que habla sobre una interesante vulnerabilidad en MS-CHAPv2

Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
- Propuesto como respuesta Eduardo Portescheller miércoles, 29 de agosto de 2012 14:54
- Marcado como respuesta Eduardo Portescheller martes, 4 de septiembre de 2012 13:55
martes, 28 de agosto de 2012 17:28

Responder

|

Citar

Moderador
0

Inicie sesión para votar
Segun lo que investigue el error 919 se debe a problemas de configuracion en alguno de los dos extremos, recuerda que cuando hablamos de VPN la confgiracion debe ser igual para ambos puntos... Basado en eso, te recomiendo esta guia http://www.it-training-grote.de/download/isaserver-tmg-VPN-NAP.pdf yo personalmente acabo de implementar un escenario similar al tuyo y la guia me ayudo mucho...

Por favor comentanos tus resultados.

Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
- Propuesto como respuesta Eduardo Portescheller miércoles, 29 de agosto de 2012 14:54
- Marcado como respuesta Eduardo Portescheller martes, 4 de septiembre de 2012 13:55
martes, 28 de agosto de 2012 18:18

Responder

|

Citar

Moderador
0

Inicie sesión para votar
Bueno... Analizando un poco mas el log anterior

Origen:Externa(192.168.1.253:137) - Origen 192.168.1.253 puerto 137 (NetBios)

Destino:Host Local(192.168.1.255:138) Destino 192.168.1.255 esto es el Broadcast :)

Me parece que si solo ese evento ves, la solicitud de VPN no esta llegando a TMG, podrias considerar eso... Ahora SSTP no es una mala opcion :)

Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
- Propuesto como respuesta Eduardo Portescheller miércoles, 29 de agosto de 2012 14:55
- Marcado como respuesta Eduardo Portescheller martes, 4 de septiembre de 2012 13:55
martes, 28 de agosto de 2012 21:27

Responder

|

Citar

Moderador
0

Inicie sesión para votar
Me respondo, el problema que presente en esta ocasión, no fue por la configuración que realicé, púes efectivamente todo estuvo muy bien, el error se trato en el servidor NPS, púes este tiene políticas de red que deniegan nuestra conexión VPN, lo que hice yo fue dejarlos y moverlos a la ultima posición o también se puede eliminar.

- Connections to Microsoft Routing and Remote Access server

- Connections to other access servers

Espero les sirva la información. Saludos.
- Marcado como respuesta Fernando Colque sábado, 9 de marzo de 2013 23:48
sábado, 9 de marzo de 2013 23:48

Responder

|

Citar

Todas las respuestas

0

Inicie sesión para votar
Hola

Que protocolo de autenticacion usas en TMG !?

Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
martes, 28 de agosto de 2012 2:34

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola,

uso lo protocolos de Autenticación cifrada Microsoft versión 2(MS-CHAPv2) y Protocolo de autenticación extensible(EAP).

martes, 28 de agosto de 2012 17:23

Responder

|

Citar
0

Inicie sesión para votar
Hola

Y tus clientes son Windows 7 !? O XP !?

Ahora por otro lado te puedo recomendar que leas este post: http://tmgblog.richardhicks.com/2012/08/22/addressing-security-issues-with-pptp-vpn-in-forefront-tmg-2010/ que habla sobre una interesante vulnerabilidad en MS-CHAPv2

Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
- Propuesto como respuesta Eduardo Portescheller miércoles, 29 de agosto de 2012 14:54
- Marcado como respuesta Eduardo Portescheller martes, 4 de septiembre de 2012 13:55
martes, 28 de agosto de 2012 17:28

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Mis clientes son un Windows 7 y un Windows 8.

Con lo que dice el post pues es muy cierto y justamente es por eso que estoy tratando de implementar un EAP, pero no solo para PPTP sino para L2TP y SSTP si es que lo soportan, y es precisamente que estoy empezando por PPTP y EAP con RADIUS y pasar por L2TP y así mejorando la seguridad de mi red.

Bueno espero tu respuesta .

Saludos.

martes, 28 de agosto de 2012 18:10

Responder

|

Citar
0

Inicie sesión para votar
Segun lo que investigue el error 919 se debe a problemas de configuracion en alguno de los dos extremos, recuerda que cuando hablamos de VPN la confgiracion debe ser igual para ambos puntos... Basado en eso, te recomiendo esta guia http://www.it-training-grote.de/download/isaserver-tmg-VPN-NAP.pdf yo personalmente acabo de implementar un escenario similar al tuyo y la guia me ayudo mucho...

Por favor comentanos tus resultados.

Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
- Propuesto como respuesta Eduardo Portescheller miércoles, 29 de agosto de 2012 14:54
- Marcado como respuesta Eduardo Portescheller martes, 4 de septiembre de 2012 13:55
martes, 28 de agosto de 2012 18:18

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Gracias por tu pronta respuesta, te comento que esa guía la seguí al pie de la letra pero no me funciona, ya revise muchas paginas muy conocidas en lo que es ISA y TMG pero la información es muy similar.

Saludos.

martes, 28 de agosto de 2012 18:23

Responder

|

Citar
0

Inicie sesión para votar
Si haces una captura de trafico en el momento que un cliente se trata de conectar a la VPN que eventos te despligue en la consola de TMG !?

Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
martes, 28 de agosto de 2012 18:27

Responder

|

Citar

Moderador
0

Inicie sesión para votar

El filtro lo aplique al IP Cliente, y la información que muestra es

Conexión Denegada

Tipo de Registro: Servicio Firewall

Estado: Las reglas de directiva no permiten la solicitud del usuario.

Regla: Regla predeterminada

Origen:Externa(192.168.1.253:137)

Destino:Host Local(192.168.1.255:138)

Protocolo: Servicio de nombre NetBios

martes, 28 de agosto de 2012 18:40

Responder

|

Citar
0

Inicie sesión para votar

y en el cliente me salio:

Error al conectarse a Conexión VPN

Error 691: Se denegó la conexión remota por que no se reconoce la combinación de nombre de usuario y contraseña especificada o porque el protocolo de autenticación seleccionado no esta permitiendo en el servidor de acceso remoto.

Saludos.

martes, 28 de agosto de 2012 18:42

Responder

|

Citar
0

Inicie sesión para votar
Delante de TMG tienes un router !?
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
martes, 28 de agosto de 2012 19:23

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Si tengo un Router, pero es para la red de la empresa y la mía es un entorno virtual en Hyper-v, ya probé también en entornos de VMWare Workstation pero el resultado es el mismo.

Al parecer al un problema con la autenticación pero el detalle es que no logro averiguar en que punto es.

La verdad se me hizo mas fácil hacer un VPN SSTP que un PPTP con RADIUS :D

Saludos.

martes, 28 de agosto de 2012 21:15

Responder

|

Citar
0

Inicie sesión para votar
Bueno... Analizando un poco mas el log anterior

Origen:Externa(192.168.1.253:137) - Origen 192.168.1.253 puerto 137 (NetBios)

Destino:Host Local(192.168.1.255:138) Destino 192.168.1.255 esto es el Broadcast :)

Me parece que si solo ese evento ves, la solicitud de VPN no esta llegando a TMG, podrias considerar eso... Ahora SSTP no es una mala opcion :)

Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
- Propuesto como respuesta Eduardo Portescheller miércoles, 29 de agosto de 2012 14:55
- Marcado como respuesta Eduardo Portescheller martes, 4 de septiembre de 2012 13:55
martes, 28 de agosto de 2012 21:27

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Te comento que antes de probar el VPN PPTP con RADIUS, lo hice sin RADIUS y me funciono sin problemas y luego decidí hacerlo con RADIUS y de ahí empezó mis problemas. Bueno también estoy seguro de que la solicitud esta llegando, pues cuando hice la captura de trafico encontré otra que si permite el trafico VPN PPTP en el puerto 1723.

Bueno con respecto a lo VPN SSTP no habría problema.

Acá una imagen con el trafico que capture

Saludos.

Gracias por tu ayuda. :D

martes, 28 de agosto de 2012 21:56

Responder

|

Citar
0

Inicie sesión para votar
Me respondo, el problema que presente en esta ocasión, no fue por la configuración que realicé, púes efectivamente todo estuvo muy bien, el error se trato en el servidor NPS, púes este tiene políticas de red que deniegan nuestra conexión VPN, lo que hice yo fue dejarlos y moverlos a la ultima posición o también se puede eliminar.

- Connections to Microsoft Routing and Remote Access server

- Connections to other access servers

Espero les sirva la información. Saludos.
- Marcado como respuesta Fernando Colque sábado, 9 de marzo de 2013 23:48
sábado, 9 de marzo de 2013 23:48

Responder

|

Citar
0

Inicie sesión para votar
Hola II-Lucifer-II

Muchas gracias por compartir tu solucion...

Saludos,
Jimcesse Principal: http://sysadmin-cr.com/ Alterno: http://blogs.itpro.es/jimcesse
miércoles, 13 de marzo de 2013 16:31

Responder

|

Citar

Moderador

Productos

Resources

Solutions

Actualizaciones

Pruebas

Sitios relacionados

Aprendizaje

Certificaciones

Otros recursos

Por producto

Otros vínculos

¿No es experto en TI?

Principales respuestas

VPN en Forefront TMG 2010 Standard con Servidor Radius en un Entorno de dominio de Windows Server 2008 R2

Pregunta

Respuestas

Todas las respuestas