Problemas para montar una VPN con IPSEC

09/02/2008 - 15:25 por rafaofe | Informe spam
Hola, intentare ser breve:

Quiero establecer una VPN mediante ipsec entre Windows 2003 Server y
XP conectandome mediante Terminal Server y estableciendo como método
de autenticación la clave compartida.

En la LAN (equipos conectados con 1swicht) la encriptación funciona
perfectamente (verificado con el Ping y con el TS), pero en la WAN,
dejando los mismos parámetros de configuración, no consigo que
funcione, por lo que asocio el problema a los router.

Los router con que estoy haciendo actualmente las pruebas son 2 Zyxell
660 HW D1 de telefónica que soportan NAT-T (según me han comunicado en
telefónica y según he leido)

Las 2 redes que estan detras de cada router se encuentran en el mismo
tramo, es decir, 192.168.1.0/24

En el router que esta en el delante del W2003 Server realizo NAT-P
abriendo los puertos 3389 TCP, 500 UDP y 4500 UDP apuntando hacia la
dirección del W2003 Server. Dicho router tiene ip dinámica.

En el que se encuentra en el lado del cliente no he configurado nada.

Bien, las preguntas a las que achaco que no me funcione la negociación
entre ambos extremos son:

No sé sí:

1) El que esten las 2 redes privadas en el mismo tramo
(192.168.1.0/24) provoca que no funcione.

2) Es necesario realizar alguna configuración en el router que se
encuentra en el extremo de los clientes XP.

3) Debo abrir más puertos que permitan IPSEC en el router que esta en
el extremo del W2003 server.

4) Que el router que se encuentra delante del W2003 Server tenga IP
dinámica (siempre consulto la IP pública de dicho router para ponerla
en el Terminal Server antes de empezar la configuración. Por supuesto,
antes de asignar las directivas IPSec, la conexión mediante Terminal
Server funciona perfectamente), aunque pienso que no afecta.

5) Que necesite activar en los router el NAT-T. Pienso que no, ya que
no he encontrado ninguna instrucción en la configuración del router
que lo permita.

6) Que este empleando una acción de filtros excesiva que no funciona,
ya que obligo a clientes y servidor a Requerir Seguridad negociando
seguridad con lo siguiente:

a) Direcciones y datos sin integridad de encriptación AH y con
algoritmo de encriptación SHA1

b) Integridad de datos y Encriptación ESP con algoritmo de integridad
SHA1 y algoritmo de encriptación 3DES

No sé, sí se puede emplear las dos negociaciones a la vez o la
negociación para autenticación de la opción a) esta de más y se puede
eliminar al utilizar la opción b) (autenticación con el algoritmo de
integridad SHA1 y encriptación con 3DES).

7) Desconozco sí debo emplear sesión perfecta de claves (PFS) en
cliente y servidor (es como estoy realizando las pruebas y en la LAN
funciona, aunque no llego a entender el concepto totalmente).

8) En relación con los filtros utilizo la acción de reflejado, es
decir, que los paquetes coincidan exactamente con las direcciones de
origen y destino contrarios.

Los filtros que tengo en servidor y clientes para emplear TS son:

Servidor:

Dirección origen: Mi dirección IP
Dirección destino: Cualquiera
reflejado: Sí
Protocolo: TCP
Puerto Protocolo IP: Desde el 3389
Hasta cualquiera

Cliente:

Dirección origen: Mi dirección IP
Dirección destino: Cualquiera
reflejado: Sí
Protocolo: TCP
Puerto Protocolo IP: Desde cualquiera
Hasta el 3389

Desconozco sí debo incluir en los filtros algo más que este
relacionado con IPSEC (puertos o tipo de transporte (UDP; TCP)).

9) Configuración del Túnel

En este apartado no especifico ni en cliente ni en servidor la
dirección del final del túnel, ya que no sé por que, en la LAN de este
modo no funciona, aunque tal vez sea necesario para la WAN. En
cualquier caso, todas las pruebas las hago indicando que la regla no
especifica un túnel IPSec.

Muchas Gracias por adelantado. Me he alargado un poco, por que son
demasiados factores por donde puede estar el problema. A ver sí
alguien que haya montado algo de este tipo me puede orientar.

Un saludo.
 

Leer las respuestas

#1 Guilermo Delprato [MS-MVP]
09/02/2008 - 18:21 | Informe spam
Vamos por partes, y sólo algunas, las principales ;-)

Una cosa es VPN y otra TS. La VPN te permite interconectar dos redes
diferentes (con una tercera: la VPN). Sobre esta VPN haces la conexión que
necesites, por ejemplo TS.

O bien puedes hacer TS, sin la VPN, aunque no es bueno desde el punto de
vista seguriad.

Además NO puedes interconectar dos redes que "sean la misma" (192.168.1.0/24
en tu caso). Una tiene que ser diferente a la otra.

Más cosas a tomar en cuenta: el SP2 de XP introdujo modificaciones en NAT-T.
Revisa este enlace:
The default behavior of IPsec NAT traversal (NAT-T) is changed in Windows XP
Service Pack 2:
http://support.microsoft.com/kb/885407/en-us

TCP-3389 es para entrar por TS. No lo necesita la VPN

PFS implica que cuando se cambian las claves de cifrado, no se deriven de la
usada anteriormente. En la mayoría de los casos no es necesaria y sobrecarga
y enlentece mucho la VPN

Además creo que te está faltando el puerto de IP-SEC que es TCP-1701 si no
recuerdo mal, verifícalo

Y como comentario, L2TP+IPSec, es más seguro que PPTP, pero el hecho de usar
clave compartida lo hace bastante más inseguro. Es seguro de verdad sólo si
utilizas Certificados Digitales o Kerberos (deben ser equipos del mismo
dominio)



Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



wrote in message
news:
Hola, intentare ser breve:

Quiero establecer una VPN mediante ipsec entre Windows 2003 Server y
XP conectandome mediante Terminal Server y estableciendo como método
de autenticación la clave compartida.

En la LAN (equipos conectados con 1swicht) la encriptación funciona
perfectamente (verificado con el Ping y con el TS), pero en la WAN,
dejando los mismos parámetros de configuración, no consigo que
funcione, por lo que asocio el problema a los router.

Los router con que estoy haciendo actualmente las pruebas son 2 Zyxell
660 HW D1 de telefónica que soportan NAT-T (según me han comunicado en
telefónica y según he leido)

Las 2 redes que estan detras de cada router se encuentran en el mismo
tramo, es decir, 192.168.1.0/24

En el router que esta en el delante del W2003 Server realizo NAT-P
abriendo los puertos 3389 TCP, 500 UDP y 4500 UDP apuntando hacia la
dirección del W2003 Server. Dicho router tiene ip dinámica.

En el que se encuentra en el lado del cliente no he configurado nada.

Bien, las preguntas a las que achaco que no me funcione la negociación
entre ambos extremos son:

No sé sí:

1) El que esten las 2 redes privadas en el mismo tramo
(192.168.1.0/24) provoca que no funcione.

2) Es necesario realizar alguna configuración en el router que se
encuentra en el extremo de los clientes XP.

3) Debo abrir más puertos que permitan IPSEC en el router que esta en
el extremo del W2003 server.

4) Que el router que se encuentra delante del W2003 Server tenga IP
dinámica (siempre consulto la IP pública de dicho router para ponerla
en el Terminal Server antes de empezar la configuración. Por supuesto,
antes de asignar las directivas IPSec, la conexión mediante Terminal
Server funciona perfectamente), aunque pienso que no afecta.

5) Que necesite activar en los router el NAT-T. Pienso que no, ya que
no he encontrado ninguna instrucción en la configuración del router
que lo permita.

6) Que este empleando una acción de filtros excesiva que no funciona,
ya que obligo a clientes y servidor a Requerir Seguridad negociando
seguridad con lo siguiente:

a) Direcciones y datos sin integridad de encriptación AH y con
algoritmo de encriptación SHA1

b) Integridad de datos y Encriptación ESP con algoritmo de integridad
SHA1 y algoritmo de encriptación 3DES

No sé, sí se puede emplear las dos negociaciones a la vez o la
negociación para autenticación de la opción a) esta de más y se puede
eliminar al utilizar la opción b) (autenticación con el algoritmo de
integridad SHA1 y encriptación con 3DES).

7) Desconozco sí debo emplear sesión perfecta de claves (PFS) en
cliente y servidor (es como estoy realizando las pruebas y en la LAN
funciona, aunque no llego a entender el concepto totalmente).

8) En relación con los filtros utilizo la acción de reflejado, es
decir, que los paquetes coincidan exactamente con las direcciones de
origen y destino contrarios.

Los filtros que tengo en servidor y clientes para emplear TS son:

Servidor:

Dirección origen: Mi dirección IP
Dirección destino: Cualquiera
reflejado: Sí
Protocolo: TCP
Puerto Protocolo IP: Desde el 3389
Hasta cualquiera

Cliente:

Dirección origen: Mi dirección IP
Dirección destino: Cualquiera
reflejado: Sí
Protocolo: TCP
Puerto Protocolo IP: Desde cualquiera
Hasta el 3389

Desconozco sí debo incluir en los filtros algo más que este
relacionado con IPSEC (puertos o tipo de transporte (UDP; TCP)).

9) Configuración del Túnel

En este apartado no especifico ni en cliente ni en servidor la
dirección del final del túnel, ya que no sé por que, en la LAN de este
modo no funciona, aunque tal vez sea necesario para la WAN. En
cualquier caso, todas las pruebas las hago indicando que la regla no
especifica un túnel IPSec.

Muchas Gracias por adelantado. Me he alargado un poco, por que son
demasiados factores por donde puede estar el problema. A ver sí
alguien que haya montado algo de este tipo me puede orientar.

Un saludo.

Preguntas similares