none
Problemas para conectar Cliente VPN Cisco a traves de Isa Server 2004 RRS feed

  • Pregunta

  • Hola,

    Alguien que haya logrado establecer una conexion de cliente vpn de cisco a traves de isa server 2004?

    Intente abrir los puertos UDP 500, UDP 4500, UDP 10000, ESP 50, HTTPS (tcp 443).

    No logro conseguir la conexion me manda el siguiente error:

    Server VPN connection terminated locally by the client.Reason 412: The remote peer is no longer responding.

    Gracias
    jueves, 24 de mayo de 2007 16:26

Respuestas

  • El error es porque no puedes habilitar el IPSEC  NAT Traversal (creo recordar que se ponia así), es decir, el router que tengas seguro  que puedes hacerlo, pero el ISA no tiene esa opción, porque TODO el tráfico saliente te lo natea, y si el sitio remoto no soporta esto mismo, IPSEC  NAT Traversal, pues puedes tener problemas.

     

    Has intentado conectar sin pasar por el ISA, es decir, pinchar tu PC/Portatil directamente en el router y a ver que pasa???

     

    ----------------------------------------------------------------------------------------------------------

    Si te ha servidor la respuesta, marca como respuesta, asi ayudas a todos.

    Marcos Caballero

    MCSA, CCNA, SGSA,

    Administrador de Seguridad

    ----------------------------------------------------------------------------------------------------------

    • Marcado como respuesta Ismael Borche lunes, 4 de abril de 2011 20:52
    miércoles, 20 de junio de 2007 6:27

Todas las respuestas

  • Hola Dublin:

              Viendo que ya agregaste todos los puertos para que funcione la VPN de Cisco, porque no chequeas lo siguiente:

    1. Si el problema es con el WebProxy Filter para conexiones HTTPS proba desactivarlo en tu regla para permitir la conexión VPN de forma que no te afecte las conexiones salientes HTTPS sobre esa regla.

    2. Deshabilita el Firewall Client en la PC del cliente del que te queres conectar. El motivo por el cual hay que desactivar ambos es porque tanto el Firewall Client como el VPN Client son lo que se llama aplicaciones "Layer Service Provider" y como entran en conflicto los clientes Cisco solo funcionan cuando usas SecureNAT (o sea, sin el Firewall Client).

     

    Otra cosa, no muy importante pero a tener en cuenta. Fijate si podes actualizar tu cliente VPN Cisco (por las dudas).

     

    Espero con esto lo puedas resolver y aguardo tus comentarios.

     

    Saludos,

    Cristian

    jueves, 14 de junio de 2007 0:35
  • Hola, agradezco tu valiosa ayuda pero ya realice esos procedimientos y no me funciona, incluso ya anteriormente desinstale el cliente de firewall y lo deje navegando como secure Nat y no funciona. En el monitoreo solo abre el puerto 500 UDP (IKE).

    Despues de me vuelve  a presentar el mismo error 412.

    Nota: Alguna otra alternativa?

    Saludes,
    viernes, 15 de junio de 2007 14:53
  • El error es porque no puedes habilitar el IPSEC  NAT Traversal (creo recordar que se ponia así), es decir, el router que tengas seguro  que puedes hacerlo, pero el ISA no tiene esa opción, porque TODO el tráfico saliente te lo natea, y si el sitio remoto no soporta esto mismo, IPSEC  NAT Traversal, pues puedes tener problemas.

     

    Has intentado conectar sin pasar por el ISA, es decir, pinchar tu PC/Portatil directamente en el router y a ver que pasa???

     

    ----------------------------------------------------------------------------------------------------------

    Si te ha servidor la respuesta, marca como respuesta, asi ayudas a todos.

    Marcos Caballero

    MCSA, CCNA, SGSA,

    Administrador de Seguridad

    ----------------------------------------------------------------------------------------------------------

    • Marcado como respuesta Ismael Borche lunes, 4 de abril de 2011 20:52
    miércoles, 20 de junio de 2007 6:27
  • Hola...

    El cliente Cisco VPN puede funcionar sin problemas por el TCP 10000, asi que abre solamente este y veras que te podras conectar.

    Salu2

    miércoles, 20 de junio de 2007 21:38
  • Hola Socram y NestorCQ:

    Con respecto a la prueba con un IP con Internet desde el router del provvedor de servicios si se puede, pero la mayoria de los usuarios estan con el ISA 2004 la idea es quitar los IP's restantes que salen por router para tene mejor control de seguridad por el firewall.

    La otra prueba de solo abrir el puerto 10000 por tcp ip ya lo hice y no se puede conectar, inclusive una ves abierto el puerto lo active en el transporte del cliente y siempre me presenta el error.

    viernes, 22 de junio de 2007 21:53
  •  

    Sigue el siguiente procedimiento...

    Habilita el puerto TCP 10000

    Hazlo con cliente Secure-Nat de ISA, es de decir el Default Gateway de ese equipo es el ISA Server.  Crea un regla habilitando a ese equipo el trafico TCP anteriormente mencionado.

    Por ultimo en el cliente VPN de Cisco, mira las propiedades de la conexion y asegurate que usa el puerto TCP 10000.

     

    Ya me diras si te funciona, deberia funcionarte.

     

    Salu2

     

    miércoles, 27 de junio de 2007 18:40
  • Saludos !!!!!

     

    tengo 2 laptops para dar soporte a la empresa para la cual trabajo, la xp pro se conecta bien al cisco y al isa y el acceso muy bueno a todo, la otra con vista ent, conecta al cisco pero no al isa. "bugs vista"???

     

    gracias

    gelson69

    network administrator

    sábado, 28 de julio de 2007 2:13
  • Hola Gelson69:

    La verdad que el ambiente que reportas es demasiado generico y no hay forma de saber como es la infraestructura para comprender el problema que reportas. Este topico es puntualmente sobre conectarse a una VPN de Cisco usando un cliente VPN Cisco y saliendo desde el lado interno de una red que tiene como firewall a ISA Server. Te sugiero que si tu pregunta no esta apuntada directamente a eso crees un nuevo topico y describas lo mejor que puedas cual es la infraestructura de la red así podemos trabajarlo ahí.

     

    Saludos,

    Cristian.

    sábado, 28 de julio de 2007 3:45
  • Estoy probando el cliente vpn con un colega, es la primera vez q lo utilizo. Lo unico que he hecho es poner la ip publica del router de mi amigo y crear un usuario y contraseña. Y utilizar el puerto 10000.

    Que mas hay que hacer?

    miércoles, 8 de agosto de 2007 16:52