none
RRAS 2003 Server VPN L2TP: No me funciona con Windows7 como cliente. RRS feed

  • Pregunta

  • Hola,

    Estoy realizando pruebas de conexión a la VPN de la empresa con clientes Windows7.

    Explico un poco la infraestructura que tenemos:

    - El servidor que realiza las funciones de VPN es un Windows 2003 con RRAS. Utilizamos VPN con L2TP y certificados de usuario.

    Los clientes que tienen Windows XP SP3 funcionan perfectamente, pero con Windows7 no funciona.

    ¿Alguién me puede ayudar?

    Gracias!
    Dummie Cool Exchange admin...
    jueves, 11 de febrero de 2010 9:18

Respuestas

  • IKE es Internet Key Exchange, es el protocolo de negociación de claves de cifrado, es normal que lo use.

    El certificado que necesita L2TP + IPSec es sólo el de máquina. El usuario ingresa nombre y contraseña, en la configuración más usada.

    Yo revisaría en el Win7 que el certificado que tiene de máquina le sea "confiable". En la propia máquina, en la consola de certificados de *máquina* revisa las propiedades a ver si está todo bien, ya que podría no tener instalado el certificado de la entidad certificadora raíz, y lo consideraría no confiable.

    Voy a estar con poco acceso a Internet por unos días... :-(

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    lunes, 15 de febrero de 2010 16:17
    Moderador

Todas las respuestas

  • Primero un aclaración, para usar L2TP+IPSec los que necesitan certificados son las máquinas y no los usuarios.

    Y como no pongas describas cuál es el problema, y pongas cuál es el error que da dudo que alguien pueda ayudarte :-)

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    jueves, 11 de febrero de 2010 13:30
    Moderador
  • Es cierto. No me expliqué correctamente antes.

    A ver, la autenticación que utilizamos es IKE L2TP.

    El fallo que me da el equipo de Windows 7 es este:

    Rasclient id.20227

    8) Error Code: 809

    Error Description: 809: The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g, firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.

    Possible Cause: This error usually comes when some firewall between client and server is blocking the ports used by VPN tunnel

    a> PPTP port (TCP port 1723) is blocked by a firewall/router. [Applicable to tunnel type = PPTP]

    b> L2TP or IKEv2 port (UDP port 500, UDP port 4500) is blocked by a firewall/router. [Applicable to tunnel type = L2TP or IKEv2]

    Possible Solution: Enable the port (as mentioned above) on firewall/router. If that is not possible, deploy SSTP based VPN tunnel on both VPN server and VPN client – that allows VPN connection across firewalls, web proxies and NAT.


    He obtenido esta información de aquí:

    http://blogs.technet.com/rrasblog/archive/2009/08/12/troubleshooting-common-vpn-related-errors.aspx

    Si me pudieras echar una mano con esta información adicional te lo agradecería. No tengo mucha idea de que puede estar pasando.

    Gracias!
    Dummie Cool Exchange admin...
    jueves, 11 de febrero de 2010 13:44
  • Hola Driveshaft,

    Lo unico que te indica el error es que abras en el firewall  los puertos TCP 1723, UDP 500 y 4500, ya que deben estar bloqueados y te impiden el paso. Deberias ver en tu firewall las instrucciones para abrirlos.

    Un saludo,

    Xavier
    jueves, 11 de febrero de 2010 14:14
  • Driveshaft, es que si mal no recuerdo W2003 no soporta L2TP con IKEv2, sólo Kerberos, Certificados o Shared Key

    Si como te digo antes, es correcto, IKEv2 es novedad de Server 2008

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    jueves, 11 de febrero de 2010 14:46
    Moderador
  • Hola Xavier,

    Nosotros lo que tenemos abierto en el firewall hacia ese equipo son los puertos 1701 (UDP L2TP), 4500 (UDP IKE) y 500 (UDP L2TP). Con eso, nos funciona desde los XP. ¿Haría falta abrir otro puerto más?

    Un saludo,

    Driveshaft

    Dummie Cool Exchange admin...
    jueves, 11 de febrero de 2010 14:53
  • Entonces Guillermo, que me quieres decir, ¿que Windows7 no puede acceder con el mismo sistema que los XP al RRAS? ¿Es por el IKE, que en lugar de ser IKEv1 es IKEv2 y Windows7 no soporta IKEv1?

    No entiendo lo que me dices. Actualmente lo que utilizamos es L2TP y le instalamos un certificado de maquina y de usuario al equipo cliente (emitidos por la CA del RRAS).

    Lo siento, no entiendo mucho de esto.

    Gracias por vuestra ayuda!

    Dummie Cool Exchange admin...
    jueves, 11 de febrero de 2010 15:05
  • Tú dices que el servidor VPN es W2003
    W2003 NO soporte IKEv2

    IKEv2 está soportado únicamente en Win7 y W2008R2
    Revisa este enlace
    VPN Tunneling Protocols:
    http://technet.microsoft.com/en-us/library/dd469817(WS.10).aspx

    Configura al Win7 igual que los XPs que sí funcionan como dices

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    jueves, 11 de febrero de 2010 17:01
    Moderador
  • Hola Guillermo,

    He configurado los Windows7 igual que los XP y no funcionan. El error que obtengo es el que te puse arriba (20227 Rasclient (809)).

    ¿Es posible que Windows7 intente forzar a usar IKEv2 en lugar de IKEv1? No entiendo realmente que ocurre.

    Gracias mil por tu ayuda!

    Saludos,

    Antonio
    Dummie Cool Exchange admin...
    viernes, 12 de febrero de 2010 8:38
  • Comencemos por lo más simple y luego vamos avanzando. Estuve buscando antecedentes de tu problema, y si hay varios en Internet con el mismo o parecido.

    Primero, descartemos conectividad ya que en varios casos se debe a que está bloqueado el protocolo GRE. Cuidado con esto que muchas veces se confunde, *es un protocolo* que tiene ID 47, no es un puerto.

    Segundo, revisa los eventos en el servidor VPN a ver si aparecen eventos relacionados

    Tercero, parece haber una incompatibilidad entre ICS (Internet Connection Sharing), en los clientes.

    Cuarto, aplica este artí____
    VPN connection fails on Windows Vista client: "Error 609: A device type was specfied that does not exit":
    http://support.microsoft.com/kb/953795
    Aunque no es exactamente tu problema, varios comentan que gracias a eso solucionaron el problema 20227

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    viernes, 12 de febrero de 2010 12:02
    Moderador
  • Hola Guillermo,

    He comprobado que no es problema de conectividad (GRE). También he revisado los eventos y no he visto nada (incluso he habilitado trazas de IAS y RRAS). El ICS está deshabilitado y no creo que haya problema.

    El artí____ 4 (error 609) también lo probé en los windows7 y nada de nada. Literalmente, estoy empezando a enloquecer.

    Gracias por tu ayuda!!

    Saludos,

    Antonio
    Dummie Cool Exchange admin...
    viernes, 12 de febrero de 2010 14:42
  • Con todo lo que me dices y lo que leí en Internet, me crearon dudas así que nada mejor que probarlo personalmente ;-)

    Así que armé un entorno de pruebas tal como el tuyo, dominio W2003, vpn 2003, un cliente XP y un cliente W7
    Primero instalé la entidad certificadora y le di certificados de *equipo* a todas las máquinas.

    La primera prueba fue con XP. Ingresa por VPN perfectamente, tanto por PPTP como por L2TP

    La segunda prueba con Win7, y también anda perfecto entrando por PPTP y L2TP :-)

    Lo que no funciona y da justamente el error 809, es si a Win7 le digo que use IKEv2. Lo cual es lógico porque no es soportado por los W2003.

    Así que ahora te toca a ti revisar :-)

    En las propiedades de la conexión VPN en el Win7, ficha seguridad, revisa que tenga configurado usar L2TP+IPSec, y no IKEv2


    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    viernes, 12 de febrero de 2010 16:42
    Moderador
  • Hola Guillermo,

    Por hoy ya terminé en el trabajo. Si que te puedo decir que en seguridad no tengo configurado IKEv2 sino L2TP+IPSEC.

    El lunes te cuenta más cosas e incluso me propongo montar un piloto.

    Gracias por todo!!

    Antonio
    Dummie Cool Exchange admin...
    viernes, 12 de febrero de 2010 17:36
  • Hola Guillermo,

    He revisado a fondo la configuración de la VPN y está configurada como L2TP+IPSec. :(

    Las trazas que se recogen en el servidor son del tipo 541 y 542 (Inicio/cierre de sesión) y todas hablan de "Asociación de seguridad IKE" indicando si está establecido o finalizada. Se recogen muchos eventos, lo que me da a entender que quizás esté utilizando demasiados certificados (maquina, usuario).

    He revisado los almacenes de maquina y de usuario y aparecen lo mismo que en el XP (uno de maquina y uno de usuario).

    ¿Por que menciona IKE si le indicamos que la conexión es L2TP+IPSec?

    Gracias.


    Dummie Cool Exchange admin...
    lunes, 15 de febrero de 2010 8:01
  • IKE es Internet Key Exchange, es el protocolo de negociación de claves de cifrado, es normal que lo use.

    El certificado que necesita L2TP + IPSec es sólo el de máquina. El usuario ingresa nombre y contraseña, en la configuración más usada.

    Yo revisaría en el Win7 que el certificado que tiene de máquina le sea "confiable". En la propia máquina, en la consola de certificados de *máquina* revisa las propiedades a ver si está todo bien, ya que podría no tener instalado el certificado de la entidad certificadora raíz, y lo consideraría no confiable.

    Voy a estar con poco acceso a Internet por unos días... :-(

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    lunes, 15 de febrero de 2010 16:17
    Moderador