none
Conexion con la VPN detras de un NAT RRS feed

  • Pregunta

  • Buenas,

    Tengo un servidor VPN usando tecnología L2TP/IPsec en un MacOS y un cliente que es un Windows 10. La cuestión es que intento conectarme pero nada. Hace un tiempo, aprox. 8 meses, usando esta solución, https://support.apple.com/en-us/HT202384, ya iba bien pero luego de unas actualizaciones ya empezó a fallar. No se por que motivo exactamente pero la conexion no fue nunca más. A alguien le paso lo mismo? Alguien sabe a que se debe? muchas gracias.

    Un saludo


    • Editado GuilleAA martes, 18 de agosto de 2020 14:01 ortografia
    martes, 18 de agosto de 2020 14:01

Respuestas

  • Buenas,

    Al final aparte de lo que mencionabas de los registros AssumeUDPEncapsulation y IPsecThroughNAT, y debemos configurar las Directivas de Seguridad de esta forma:

    • Abrir las directivas de seguridad usando el comando "secpol.msc"
    • Nos dirigimos hacia "Directivas locales"-> "Opciones de seguridad"
    • En la opción "Seguridad de red: nivel de autenticación de LAN Manager" le damos doble click, se nos abrirá una ventana con un desplegable, en este seleccionamos "Enviar solo respuesta NTLMv2.
    • En la opción "Seguridad de red: seguridad de sesion minima para clientes NTLM basados en SSP" le damos doble click, se nos abrirá una ventana dos campo y un checkbox para cada uno. Debemos deshabilitar el checkbox del campo "Requerir cifrado de 128 bits".

    Ademas de esto, si aún no funciona, podemos revisar con la herramienta Wireshark el intercambio de mensajes, puertos, etc. En mi caso servidor y cliente "hablaban" pero no se llegaba a concretar el túnel. Para esto desinstale el driver de la tarjeta de red de la siguiente forma:

    Inicio->Administrador de dispositivos, dentro se dirigen a "Adaptadores de red" y desinstalan los driver de rthernet o wifi segun convenio. reinicias la maquina puesto que el SO va a volver a instalarlos automáticamente y debería de funcionar y por ende finalizar la negociación anteriormente mencionada.

    viernes, 28 de agosto de 2020 10:05

Todas las respuestas

  • Hola GuilleAA

     

    Gracias por levantar tu consulta en los foros de TechNet. Con respecto a la misma,¿ has actualizado el cliente Windows 10 o el  Server VPN de MacOS?

     

    ¿Podrías adjuntar alguna imagen o mensaje de error? ¿Puedes ver algún mensaje de error en el Visor de Eventos cuando se produce este fallo de conexión?

     

    Igualmente te comparto a continuación los siguientes enlaces que contienen documentación oficial sobre la consulta que nos presentas:

     

    https://support.microsoft.com/es-es/help/926179/how-to-configure-an-l2tp-ipsec-server-behind-a-nat-t-device-in-windows

     

    Así mismo te comparto estos artículos que creo te servirán de ayuda:

     

    Connecting L2TP/ IPSec VPN Server Behind a NAT

     

    Instrucciones de configuración manual de L2TP/IPsec en Windows 10.

     

    Cualquier duda referente a productos Microsoft, puedes consultarnos. Es un gusto informarte.

    Gracias por usar los foros de TechNet.

     

     

    Miguel Mosquera

     

    --------------------------------------------------------------------------

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    miércoles, 19 de agosto de 2020 19:49
    Moderador
  • Buenas Migue,

    Muchas gracias por responder. te voy a pasar los links por que pedí hace 3 horas que me validen la cuenta pero nada.

    Mensaje de error:

    https://drive.google.com/file/d/1S-wRur30b62OrsKCSsDgg8VC5hGQfINb/view?usp=sharing

    Visor de eventos

    https://drive.google.com/file/d/1S-wRur30b62OrsKCSsDgg8VC5hGQfINb/view?usp=sharing

    había modificado el registro, incluso eso junto con otras modificaciones me sivio para que hace unos 8 meses más o menos me funcionara:

    https://drive.google.com/file/d/1S-wRur30b62OrsKCSsDgg8VC5hGQfINb/view?usp=sharing

    Las otras modificaciones son en las directivas de seguridad:

    https://drive.google.com/file/d/1S-wRur30b62OrsKCSsDgg8VC5hGQfINb/view?usp=sharing

    y

    https://drive.google.com/file/d/1S-wRur30b62OrsKCSsDgg8VC5hGQfINb/view?usp=sharing

    Saludos, muchas gracias y buen día.

    jueves, 20 de agosto de 2020 14:35
  • Hola GuilleAA

     

    Gracias de nuevo por tu respuesta. Con respecto a la misma te comento que todos los enlaces que me has proporcionado corresponden a la misma imagen.

     

    El error VPN 809 suele producirse cuando un firewall entre el cliente y el servidor bloquea los puertos que utiliza un túnel VPN. Además, y por defecto, Windows no soporta asociaciones de seguridad IPsec NAT-T para servidores detrás de un dispositivo NAT.

    Los dispositivos NAT tienen una forma de traducir el tráfico de red, y debido a esto, usted puede obtener errores cuando pone un servidor detrás de un dispositivo NAT y utiliza el entorno NAT-T de IPsec.

    Algunos de los síntomas del error VPN 809 incluyen el mensaje de error que recibe, y si está utilizando el protocolo L2TP, no puede conectarse, por lo que el error se muestra diciendo: » No se pudo establecer la conexión de red entre su ordenador y el servidor VPN …».

     

    Sobre este error, a continuación te propongo diferentes pruebas a realizar (algunas de ellas implican modificar el Registry, por lo que lo ideal sería que realizaras un backup del mismo previamente por seguridad):

    El problema viene por una clave de registro que viene desactivada por defecto en Windows. Hay que cambiarla:

     

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

     

    Y creamos un nuevo «Valor de DWORD (32 bits)» llamado: AssumeUDPEncapsulationContextOnSendRule

     

    Y le damos el valor 2.

     

     

    Otra clave que habría que cambiar:

     

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy

     

    Y pulsaremos con el botón derecho sobre la clave «IPsecThroughNAT», y cambiaremos el calor también a 2.

     

    Esta segunda clave se puede cambiar también desde línea de comandos (para los valores 0, 1 y 2 respectivamente):

     

    netsh advfirewall set global ipsec ipsecthroughnat nerver

     

    netsh advfirewall set global ipsec ipsecthroughnat serverbehindnat

     

    netsh advfirewall set global ipsec ipsecthroughnat serverandclientbehindnat

    Explicación de los valores posibles DE AMBAS CLAVES:

     

    0 – Indica a Windows que NO puede establecer asociaciones de seguridad con servidores ubicados tras un dispositivo que haga NAT.

     

    1 – Indica a Windows que PUEDE establecer asociaciones de seguridad con servidores ubicados tras un dispositivo que haga NAT.

     

    2 – Indica a Windows que PUEDE establecer asociaciones de seguridad CUANDO TANTO EL SERVIDOR COMO EL ORDENADOR CLIENTE estén ubicados tras un dispositivo que haga NAT.

     

     

    Habilitar los puertos en su firewall/enrutador

     

    Normalmente, el error VPN 809 se manifiesta por el puerto PPTP (TCP 1723), o por el puerto L2TP o puerto IKEv2 (puerto UDP 500 o 4500) bloqueado por un firewall o router.

    La solución es habilitar el puerto en el firewall o en el router. Si esto no es posible, implemente el túnel VPN basado en SSTP u OpenVPN en su proveedor de VPN.

    Esto permite que la conexión VPN funcione a través del firewall, NAT y proxies web.

     

     

    Desactivar los servicios de red de Xbox Live

     

    En ocasiones, su antivirus puede ser incompatible con Windows 10, lo que puede provocar que rompa las conexiones IPsec. Un servicio de Windows 10 puede bloquear el acceso a la VPN L2TP/IPsec para resolver este problema y evitar el error 809 de la VPN:

     

    Escriba servicios en el cuadro de búsqueda

    Haga clic en Servicios de los resultados de búsqueda

    Buscar Servicios de red Xbox Live y desactivarlo

    Compruebe si su conexión VPN funciona y el error 809 desaparece

     

     

    Comprobar la configuración de PAP

     

    Haga clic en Inicio y seleccione Configuración

    Seleccionar Red e Internet

     

     

    Haga clic en VPN en el panel izquierdo

     

    Haga clic en Añadir una conexión VPN y utilice lo siguiente:

     

    Para Proveedor VPN , utilice Windows (integrado)

     

    Para Nombre de la conexión , escriba lo que desee ya que esto se mostrará en la interfaz

     

    Para Nombre o dirección del servidor , escriba el nombre de host externo de su VPN

     

    Para tipo de VPN , elija L2TP/IPsec

     

    Para Tipo de información de inicio de sesión , seleccione Nombre de usuario y contraseña

     

    Para Username/Password/Remember me : configure lo necesario ya que son opcionales

     

    Haga clic en Guardar

     

    Seleccionar Cambiar opciones de adaptador

     

    Haga clic con el botón derecho en la conexión que ha creado y seleccione Propiedades

     

    En la ficha Seguridad , haga clic en Configuración avanzada

     

    Haga clic Utilice una clave precompartida

     

    Introduzca PSK y haga clic en OK

     

    Establecer Cifrado de datos en Fuerza máxima

     

    En Autenticación , seleccione Permitir estos protocolos

     

    Marque la casilla PAP únicamente

     

    Reinicie el equipo

     

    Desactivar el servicio de los servicios de red de Xbox Live y comprobar si el error VPN 809 persiste

     

     

    Espero tu respuesta.

     

    Espero tu respuesta.

     

    Gracias.

     

    Cualquier duda referente a productos Microsoft, puedes consultarnos. Es un gusto informarte.

    Gracias por usar los foros de TechNet.

     

     

    Miguel Mosquera

     

    --------------------------------------------------------------------------

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    viernes, 21 de agosto de 2020 23:29
    Moderador
  • Hola Miguel,

    Buaaa, me quiero matar. Te paso el mensaje anterior con los enlaces corregidos.

    Mensaje de error:

    https://drive.google.com/file/d/1ns6jte2ELByEMwP327-cYQ8vOv1pVNp3/view?usp=sharing

    Visor de eventos

    https://drive.google.com/file/d/1S-wRur30b62OrsKCSsDgg8VC5hGQfINb/view?usp=sharing

    había modificado el registro, incluso eso junto con otras modificaciones me sivio para que hace unos 8 meses más o menos me funcionara:

    https://drive.google.com/file/d/1stHWE-46BxnkjIam6QyvkM_JtqW902ET/view?usp=sharing

    Las otras modificaciones son en las directivas de seguridad:

    https://drive.google.com/file/d/1SzpI90YZp__B_KP9E0b-SW01eRcHdPMD/view?usp=sharing

    y

    https://drive.google.com/file/d/1sxP_fck1GNkYPx55Qo_85kWm4ecjUXkF/view

    .

    Probé a poner el nuevo registro, IPsec, y el resto de recomendaciones pero nada. Me sigue dando el mismo error. Ademas, lo probé y me dio el mismo resultado, también en un PC actualizado pero limpio por si había modificado otra cosa y me estuviera perjudicando. Problemas de router y firewall no hay ya que me puedo conectar desde un Mac. Incluso, me conecte desde un Windows 10 y casi lloro de alegría con los cambios que me habías comentado hasta que vi que no estaba actualizado.... tan solo con actualizar el SO ya dejo de funcionar. He visto con Wireshark y llegan a intercambiar mensajes pero por algo que se me escapa no se termina de conectar.

    lunes, 24 de agosto de 2020 11:56
  • Buenas,

    Al final aparte de lo que mencionabas de los registros AssumeUDPEncapsulation y IPsecThroughNAT, y debemos configurar las Directivas de Seguridad de esta forma:

    • Abrir las directivas de seguridad usando el comando "secpol.msc"
    • Nos dirigimos hacia "Directivas locales"-> "Opciones de seguridad"
    • En la opción "Seguridad de red: nivel de autenticación de LAN Manager" le damos doble click, se nos abrirá una ventana con un desplegable, en este seleccionamos "Enviar solo respuesta NTLMv2.
    • En la opción "Seguridad de red: seguridad de sesion minima para clientes NTLM basados en SSP" le damos doble click, se nos abrirá una ventana dos campo y un checkbox para cada uno. Debemos deshabilitar el checkbox del campo "Requerir cifrado de 128 bits".

    Ademas de esto, si aún no funciona, podemos revisar con la herramienta Wireshark el intercambio de mensajes, puertos, etc. En mi caso servidor y cliente "hablaban" pero no se llegaba a concretar el túnel. Para esto desinstale el driver de la tarjeta de red de la siguiente forma:

    Inicio->Administrador de dispositivos, dentro se dirigen a "Adaptadores de red" y desinstalan los driver de rthernet o wifi segun convenio. reinicias la maquina puesto que el SO va a volver a instalarlos automáticamente y debería de funcionar y por ende finalizar la negociación anteriormente mencionada.

    viernes, 28 de agosto de 2020 10:05
  • Hola GuilleAA

     

    Gracias por confirmar que se ha encontrado una solución a la consulta realizada y compartirla con la comunidad.

     

    Un cordial saludo.

     

    Cualquier duda referente a productos Microsoft, puedes consultarnos. Es un gusto informarte.

    Gracias por usar los foros de TechNet.

     

     

    Miguel Mosquera

     

    --------------------------------------------------------------------------

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    viernes, 28 de agosto de 2020 16:50
    Moderador