VPN L2TP Certificados

17/05/2004 - 09:00 por Javier Teran Gonzalez | Informe spam
Buenos días.

Me voy a volver loco configurando una conexión VPN con L2TP y certificado.
No se cuantas horas llevo ya, cuantas páginas visitadas, cuantas veces leída
la ayuda de windows server 2003.

Windows Server 2003 DELEGACION A

- Configurado Enrutamiento y acceso Remoto
- He deshabilitado el firewall en la interfaz de internet para que no haya
problemas (luego solo sería habilitarlo)
- Tengo una entidad emisora de certificados correctamente configurada. He
probado tanto de empresa como stand-alone.
- Las políticas de acceso remoto en "Enrutamiento y acceso Remoto" no las he
tocado
- He concedido permiso de marcado a los usuarios que deseo que realicen la
conexión VPN. Esos usuarios realizan la conexión VPN PPTP sin problemas.

Windows XP Pro DELEGACION B
Fuera de mi dominio. Conectado a internet y con conectividad de una
delegación a otra.

- He añadido una nueva conexión VPN mediante el asistente.
- En funciones de red--> Tipo de red privada virtual (VPN ) --> he puesto
VPN con L2TP/IPSEC
- En Seguridad --> Avanzada--> he marcado usar el protocolo de auteticación
estensible (EAP)
en sus propiedades he marcado "sar un certificado de equipo y utilizar
selección simple de certificado (se recomienda)". He marcado "Usar un nombre
de usuario distinto para la conexión" y el resto lo he dejado como estaba.

- A su vez me he conectado por web http://servidor/certsrv
- Instalo el certificado de la entidad emisora de certificados para
confiar en ella.
- Solicito un certificado --> Avanzadas --> me sale un combo y
escojo el administrador. Instalo el certificado que me da mi CA


- Intento realizar la conexión y me dice que no hay un certificado
válido
- ¿Que me falta? ¿Tengo que hacer algo mas en el servidor o en el
cliente?...

- Microsoft tiene cientos de sesiones técnicas de configuraciones. Alguien
sabe algún sitio donde haya un video o algo así donde paso a paso realicen
esas configuraciones? . Me da igual que sea en castellano, inglés, ruso

- ¿Algún manual claro y conciso?. He leido unos manuales bastante completos
de instalar certificados para asegurar la página web ... pero creo que eso
no me vale... Solo quiero realizar una conexión VPN L2TP desde tres
ordenadores externos a mi organización. Fácil, pero no lo es.

Gracias por vuestra ayuda por anticipado y perdonar por el correo tan
extenso. Es que ya estoy desesperado.

Preguntas similare

Leer las respuestas

#1 Javier Inglés [MS MVP]
17/05/2004 - 09:11 | Informe spam
Si hay routers de por medio, éstos deben poder cumplir la
norma para hacer Nat-T (Nat Transversal), debido a que por
diseño, NAT e IPSec son incompatibles

Salu2!!!
Javier Inglés [MS MVP]

Buenos días.

Me voy a volver loco configurando una conexión VPN con


L2TP y certificado.
No se cuantas horas llevo ya, cuantas páginas visitadas,


cuantas veces leída
la ayuda de windows server 2003.

Windows Server 2003 DELEGACION A

- Configurado Enrutamiento y acceso Remoto
- He deshabilitado el firewall en la interfaz de internet


para que no haya
problemas (luego solo sería habilitarlo)
- Tengo una entidad emisora de certificados correctamente


configurada. He
probado tanto de empresa como stand-alone.
- Las políticas de acceso remoto en "Enrutamiento y


acceso Remoto" no las he
tocado
- He concedido permiso de marcado a los usuarios que


deseo que realicen la
conexión VPN. Esos usuarios realizan la conexión VPN PPTP


sin problemas.

Windows XP Pro DELEGACION B
Fuera de mi dominio. Conectado a internet y con


conectividad de una
delegación a otra.

- He añadido una nueva conexión VPN mediante el asistente.
- En funciones de red--> Tipo de red privada virtual


(VPN ) --> he puesto
VPN con L2TP/IPSEC
- En Seguridad --> Avanzada--> he marcado usar el


protocolo de auteticación
estensible (EAP)
en sus propiedades he marcado "sar un certificado de


equipo y utilizar
selección simple de certificado (se recomienda)". He


marcado "Usar un nombre
de usuario distinto para la conexión" y el resto lo he


dejado como estaba.

- A su vez me he conectado por web http://servidor/certsrv
- Instalo el certificado de la entidad emisora de


certificados para
confiar en ella.
- Solicito un certificado --> Avanzadas --> me


sale un combo y
escojo el administrador. Instalo el certificado que me da


mi CA


- Intento realizar la conexión y me dice que no hay un


certificado
válido
- ¿Que me falta? ¿Tengo que hacer algo mas en el servidor


o en el
cliente?...

- Microsoft tiene cientos de sesiones técnicas de


configuraciones. Alguien
sabe algún sitio donde haya un video o algo así donde


paso a paso realicen
esas configuraciones? . Me da igual que sea en


castellano, inglés, ruso

- ¿Algún manual claro y conciso?. He leido unos manuales


bastante completos
de instalar certificados para asegurar la página web ...


pero creo que eso
no me vale... Solo quiero realizar una conexión VPN L2TP


desde tres
ordenadores externos a mi organización. Fácil, pero no lo


es.

Gracias por vuestra ayuda por anticipado y perdonar por


el correo tan
extenso. Es que ya estoy desesperado.


.

Respuesta Responder a este mensaje
#2 Javier Teran Gonzalez
17/05/2004 - 09:19 | Informe spam
No. No hay routers en medio

El servidor de mi empresa lo he tenido en mi casa todo el fin de
semanaLo único que había por medio era el hub de mi red interna... Ya
digo, ni firewall ni nada.

No se que es lo que se me escapa... Como nunca he visto ninguna L2TP
funcionando ni ha nadie que lo haya hecho. Para mi es como un MITO.

Un saludo


"Javier Inglés [MS MVP]" escribió en
el mensaje news:dc3e01c43bde$30e26b60$
Si hay routers de por medio, éstos deben poder cumplir la
norma para hacer Nat-T (Nat Transversal), debido a que por
diseño, NAT e IPSec son incompatibles

Salu2!!!
Javier Inglés [MS MVP]

Buenos días.

Me voy a volver loco configurando una conexión VPN con


L2TP y certificado.
No se cuantas horas llevo ya, cuantas páginas visitadas,


cuantas veces leída
la ayuda de windows server 2003.

Windows Server 2003 DELEGACION A

- Configurado Enrutamiento y acceso Remoto
- He deshabilitado el firewall en la interfaz de internet


para que no haya
problemas (luego solo sería habilitarlo)
- Tengo una entidad emisora de certificados correctamente


configurada. He
probado tanto de empresa como stand-alone.
- Las políticas de acceso remoto en "Enrutamiento y


acceso Remoto" no las he
tocado
- He concedido permiso de marcado a los usuarios que


deseo que realicen la
conexión VPN. Esos usuarios realizan la conexión VPN PPTP


sin problemas.

Windows XP Pro DELEGACION B
Fuera de mi dominio. Conectado a internet y con


conectividad de una
delegación a otra.

- He añadido una nueva conexión VPN mediante el asistente.
- En funciones de red--> Tipo de red privada virtual


(VPN ) --> he puesto
VPN con L2TP/IPSEC
- En Seguridad --> Avanzada--> he marcado usar el


protocolo de auteticación
estensible (EAP)
en sus propiedades he marcado "sar un certificado de


equipo y utilizar
selección simple de certificado (se recomienda)". He


marcado "Usar un nombre
de usuario distinto para la conexión" y el resto lo he


dejado como estaba.

- A su vez me he conectado por web http://servidor/certsrv
- Instalo el certificado de la entidad emisora de


certificados para
confiar en ella.
- Solicito un certificado --> Avanzadas --> me


sale un combo y
escojo el administrador. Instalo el certificado que me da


mi CA


- Intento realizar la conexión y me dice que no hay un


certificado
válido
- ¿Que me falta? ¿Tengo que hacer algo mas en el servidor


o en el
cliente?...

- Microsoft tiene cientos de sesiones técnicas de


configuraciones. Alguien
sabe algún sitio donde haya un video o algo así donde


paso a paso realicen
esas configuraciones? . Me da igual que sea en


castellano, inglés, ruso

- ¿Algún manual claro y conciso?. He leido unos manuales


bastante completos
de instalar certificados para asegurar la página web ...


pero creo que eso
no me vale... Solo quiero realizar una conexión VPN L2TP


desde tres
ordenadores externos a mi organización. Fácil, pero no lo


es.

Gracias por vuestra ayuda por anticipado y perdonar por


el correo tan
extenso. Es que ya estoy desesperado.


.

Respuesta Responder a este mensaje
#3 Javier Inglés [MS MVP]
17/05/2004 - 09:42 | Informe spam
Por si acaso, auqnue supongo que ya lo has mirado:

Step-by-Step Guide to Internet Protocol Security (IPSec)
http://www.microsoft.com/windows200...nning/secu
rity/ipsecsteps.asp

HOW TO: Use Internet Protocol Security to Secure Network
Traffic Between Two Hosts in Windows 2000 (Q301284)
http://support.microsoft.com/search/preview.aspx?
scid=kb;en-us;Q301284

HOW TO: Install a Certificate for Use with IP Security
(Q253498)
http://support.microsoft.com/defaul...cid=kb;en-
us;Q253498



IPSec Varios
http://support.microsoft.com/default.aspx?scid
=%2Fisapi%2Fgomscom%2Easp%3Ftarget%3D%2Fintlkb%2Fspain%
2Fe252%2F7%2F35%2Easp&LN=ES-ES

Using IPSec in Windows 2000 and XP
http://online.securityfocus.com/infocus/1519
http://online.securityfocus.com/infocus/1526
http://online.securityfocus.com/infocus/1528

Description of the IPSec Policy Created for L2TP/IPSec
(Q248750)
http://support.microsoft.com/defaul...cid=kb;en-
us;Q248750

How to Configure IPSec Tunneling in Windows 2000 (Q252735)
http://support.microsoft.com/search/preview.aspx?
scid=kb;en-us;Q252735

VPN+IPSEC
http://www-mat.upc.es/~jforne/ipsec.pdf


Salu2!!!
Javier Inglés [MS MVP]
No. No hay routers en medio

El servidor de mi empresa lo he tenido en mi casa todo el


fin de
semanaLo único que había por medio era el hub de mi


red interna... Ya
digo, ni firewall ni nada.

No se que es lo que se me escapa... Como nunca he visto


ninguna L2TP
funcionando ni ha nadie que lo haya hecho. Para mi es


como un MITO.

Un saludo


"Javier Inglés [MS MVP]"


escribió en
el mensaje news:dc3e01c43bde$30e26b60$
Si hay routers de por medio, éstos deben poder cumplir la
norma para hacer Nat-T (Nat Transversal), debido a que por
diseño, NAT e IPSec son incompatibles

Salu2!!!
Javier Inglés [MS MVP]

Buenos días.

Me voy a volver loco configurando una conexión VPN con


L2TP y certificado.
No se cuantas horas llevo ya, cuantas páginas visitadas,


cuantas veces leída
la ayuda de windows server 2003.

Windows Server 2003 DELEGACION A

- Configurado Enrutamiento y acceso Remoto
- He deshabilitado el firewall en la interfaz de internet


para que no haya
problemas (luego solo sería habilitarlo)
- Tengo una entidad emisora de certificados correctamente


configurada. He
probado tanto de empresa como stand-alone.
- Las políticas de acceso remoto en "Enrutamiento y


acceso Remoto" no las he
tocado
- He concedido permiso de marcado a los usuarios que


deseo que realicen la
conexión VPN. Esos usuarios realizan la conexión VPN PPTP


sin problemas.

Windows XP Pro DELEGACION B
Fuera de mi dominio. Conectado a internet y con


conectividad de una
delegación a otra.

- He añadido una nueva conexión VPN mediante el




asistente.
- En funciones de red--> Tipo de red privada virtual


(VPN ) --> he puesto
VPN con L2TP/IPSEC
- En Seguridad --> Avanzada--> he marcado usar el


protocolo de auteticación
estensible (EAP)
en sus propiedades he marcado "sar un certificado de


equipo y utilizar
selección simple de certificado (se recomienda)". He


marcado "Usar un nombre
de usuario distinto para la conexión" y el resto lo he


dejado como estaba.

- A su vez me he conectado por web




http://servidor/certsrv
- Instalo el certificado de la entidad emisora de


certificados para
confiar en ella.
- Solicito un certificado --> Avanzadas --> me


sale un combo y
escojo el administrador. Instalo el certificado que me da


mi CA


- Intento realizar la conexión y me dice que no hay un


certificado
válido
- ¿Que me falta? ¿Tengo que hacer algo mas en el servidor


o en el
cliente?...

- Microsoft tiene cientos de sesiones técnicas de


configuraciones. Alguien
sabe algún sitio donde haya un video o algo así donde


paso a paso realicen
esas configuraciones? . Me da igual que sea en


castellano, inglés, ruso

- ¿Algún manual claro y conciso?. He leido unos manuales


bastante completos
de instalar certificados para asegurar la página web ...


pero creo que eso
no me vale... Solo quiero realizar una conexión VPN L2TP


desde tres
ordenadores externos a mi organización. Fácil, pero no lo


es.

Gracias por vuestra ayuda por anticipado y perdonar por


el correo tan
extenso. Es que ya estoy desesperado.


.





.

Respuesta Responder a este mensaje
#4 Ivan [MS MVP]
17/05/2004 - 09:46 | Informe spam
Creo que estas confundiendo el uso de certificados para L2TP7IPSec con
autentificacion EAP-TLS. Yo empezaria por usar autentificacion MSCHAP v2 y
si funciona, en principio los certificados para L2TP/IPSec estan
correctamente instalados.

Para autentificacion EAP-TLS vas a necesitar dos certificados: uno para
L2TP/IPSec y otro para EAP-TLS. Si te dice que no hay un certificado valido,
posiblemente es debido a que no esta instalado el certificado raiz de tu
entidad emisora (aunque dices que lo has instalado) o que te falta el
segundo certificado. Desde la MMC de certificados, certificados (equipo
local), entidades emisoras raiz de confianza, tienen que aparecer el
certificado de tu CA. Tambien es posible que aparezca en certificados
(usuario actual, entidades emisoras de raiz de confianza).

Un saludo.
Ivan
MS MVP ISA Server


"Javier Teran Gonzalez" escribió en el mensaje
news:
No. No hay routers en medio

El servidor de mi empresa lo he tenido en mi casa todo el fin de
semanaLo único que había por medio era el hub de mi red interna... Ya
digo, ni firewall ni nada.

No se que es lo que se me escapa... Como nunca he visto ninguna L2TP
funcionando ni ha nadie que lo haya hecho. Para mi es como un MITO.

Un saludo


"Javier Inglés [MS MVP]" escribió en
el mensaje news:dc3e01c43bde$30e26b60$
Si hay routers de por medio, éstos deben poder cumplir la
norma para hacer Nat-T (Nat Transversal), debido a que por
diseño, NAT e IPSec son incompatibles

Salu2!!!
Javier Inglés [MS MVP]

>Buenos días.
>
>Me voy a volver loco configurando una conexión VPN con
L2TP y certificado.
>No se cuantas horas llevo ya, cuantas páginas visitadas,
cuantas veces leída
>la ayuda de windows server 2003.
>
>Windows Server 2003 DELEGACION A
>
>- Configurado Enrutamiento y acceso Remoto
>- He deshabilitado el firewall en la interfaz de internet
para que no haya
>problemas (luego solo sería habilitarlo)
>- Tengo una entidad emisora de certificados correctamente
configurada. He
>probado tanto de empresa como stand-alone.
>- Las políticas de acceso remoto en "Enrutamiento y
acceso Remoto" no las he
>tocado
>- He concedido permiso de marcado a los usuarios que
deseo que realicen la
>conexión VPN. Esos usuarios realizan la conexión VPN PPTP
sin problemas.
>
>Windows XP Pro DELEGACION B
> Fuera de mi dominio. Conectado a internet y con
conectividad de una
>delegación a otra.
>
>- He añadido una nueva conexión VPN mediante el asistente.
>- En funciones de red--> Tipo de red privada virtual
(VPN ) --> he puesto
>VPN con L2TP/IPSEC
>- En Seguridad --> Avanzada--> he marcado usar el
protocolo de auteticación
>estensible (EAP)
> en sus propiedades he marcado "sar un certificado de
equipo y utilizar
>selección simple de certificado (se recomienda)". He
marcado "Usar un nombre
>de usuario distinto para la conexión" y el resto lo he
dejado como estaba.
>
>- A su vez me he conectado por web http://servidor/certsrv
> - Instalo el certificado de la entidad emisora de
certificados para
>confiar en ella.
> - Solicito un certificado --> Avanzadas --> me
sale un combo y
>escojo el administrador. Instalo el certificado que me da
mi CA
>
>
>- Intento realizar la conexión y me dice que no hay un
certificado
>válido
>- ¿Que me falta? ¿Tengo que hacer algo mas en el servidor
o en el
>cliente?...
>
>- Microsoft tiene cientos de sesiones técnicas de
configuraciones. Alguien
>sabe algún sitio donde haya un video o algo así donde
paso a paso realicen
>esas configuraciones? . Me da igual que sea en
castellano, inglés, ruso
>
>- ¿Algún manual claro y conciso?. He leido unos manuales
bastante completos
>de instalar certificados para asegurar la página web ...
pero creo que eso
>no me vale... Solo quiero realizar una conexión VPN L2TP
desde tres
>ordenadores externos a mi organización. Fácil, pero no lo
es.
>
>Gracias por vuestra ayuda por anticipado y perdonar por
el correo tan
>extenso. Es que ya estoy desesperado.
>
>
>.
>


Respuesta Responder a este mensaje
#5 Javier Teran Gonzalez
17/05/2004 - 09:46 | Informe spam
ME suenan, los miraré de nuevo para ver que hago mal...

Una cosa. ¿La idea es mas o menos la que he expuesto en mi primer mensaje?

¿Eso son basicamente los pasos a seguir?

"Javier Inglés [MS MVP]" escribió en
el mensaje news:de5101c43be2$79684220$
Por si acaso, auqnue supongo que ya lo has mirado:

Step-by-Step Guide to Internet Protocol Security (IPSec)
http://www.microsoft.com/windows200...nning/secu
rity/ipsecsteps.asp

HOW TO: Use Internet Protocol Security to Secure Network
Traffic Between Two Hosts in Windows 2000 (Q301284)
http://support.microsoft.com/search/preview.aspx?
scid=kb;en-us;Q301284

HOW TO: Install a Certificate for Use with IP Security
(Q253498)
http://support.microsoft.com/defaul...cid=kb;en-
us;Q253498



IPSec Varios
http://support.microsoft.com/default.aspx?scid
=%2Fisapi%2Fgomscom%2Easp%3Ftarget%3D%2Fintlkb%2Fspain%
2Fe252%2F7%2F35%2Easp&LN=ES-ES

Using IPSec in Windows 2000 and XP
http://online.securityfocus.com/infocus/1519
http://online.securityfocus.com/infocus/1526
http://online.securityfocus.com/infocus/1528

Description of the IPSec Policy Created for L2TP/IPSec
(Q248750)
http://support.microsoft.com/defaul...cid=kb;en-
us;Q248750

How to Configure IPSec Tunneling in Windows 2000 (Q252735)
http://support.microsoft.com/search/preview.aspx?
scid=kb;en-us;Q252735

VPN+IPSEC
http://www-mat.upc.es/~jforne/ipsec.pdf


Salu2!!!
Javier Inglés [MS MVP]
No. No hay routers en medio

El servidor de mi empresa lo he tenido en mi casa todo el


fin de
semanaLo único que había por medio era el hub de mi


red interna... Ya
digo, ni firewall ni nada.

No se que es lo que se me escapa... Como nunca he visto


ninguna L2TP
funcionando ni ha nadie que lo haya hecho. Para mi es


como un MITO.

Un saludo


"Javier Inglés [MS MVP]"


escribió en
el mensaje news:dc3e01c43bde$30e26b60$
Si hay routers de por medio, éstos deben poder cumplir la
norma para hacer Nat-T (Nat Transversal), debido a que por
diseño, NAT e IPSec son incompatibles

Salu2!!!
Javier Inglés [MS MVP]

Buenos días.

Me voy a volver loco configurando una conexión VPN con


L2TP y certificado.
No se cuantas horas llevo ya, cuantas páginas visitadas,


cuantas veces leída
la ayuda de windows server 2003.

Windows Server 2003 DELEGACION A

- Configurado Enrutamiento y acceso Remoto
- He deshabilitado el firewall en la interfaz de internet


para que no haya
problemas (luego solo sería habilitarlo)
- Tengo una entidad emisora de certificados correctamente


configurada. He
probado tanto de empresa como stand-alone.
- Las políticas de acceso remoto en "Enrutamiento y


acceso Remoto" no las he
tocado
- He concedido permiso de marcado a los usuarios que


deseo que realicen la
conexión VPN. Esos usuarios realizan la conexión VPN PPTP


sin problemas.

Windows XP Pro DELEGACION B
Fuera de mi dominio. Conectado a internet y con


conectividad de una
delegación a otra.

- He añadido una nueva conexión VPN mediante el




asistente.
- En funciones de red--> Tipo de red privada virtual


(VPN ) --> he puesto
VPN con L2TP/IPSEC
- En Seguridad --> Avanzada--> he marcado usar el


protocolo de auteticación
estensible (EAP)
en sus propiedades he marcado "sar un certificado de


equipo y utilizar
selección simple de certificado (se recomienda)". He


marcado "Usar un nombre
de usuario distinto para la conexión" y el resto lo he


dejado como estaba.

- A su vez me he conectado por web




http://servidor/certsrv
- Instalo el certificado de la entidad emisora de


certificados para
confiar en ella.
- Solicito un certificado --> Avanzadas --> me


sale un combo y
escojo el administrador. Instalo el certificado que me da


mi CA


- Intento realizar la conexión y me dice que no hay un


certificado
válido
- ¿Que me falta? ¿Tengo que hacer algo mas en el servidor


o en el
cliente?...

- Microsoft tiene cientos de sesiones técnicas de


configuraciones. Alguien
sabe algún sitio donde haya un video o algo así donde


paso a paso realicen
esas configuraciones? . Me da igual que sea en


castellano, inglés, ruso

- ¿Algún manual claro y conciso?. He leido unos manuales


bastante completos
de instalar certificados para asegurar la página web ...


pero creo que eso
no me vale... Solo quiero realizar una conexión VPN L2TP


desde tres
ordenadores externos a mi organización. Fácil, pero no lo


es.

Gracias por vuestra ayuda por anticipado y perdonar por


el correo tan
extenso. Es que ya estoy desesperado.


.





.

Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida