Cómo instalar y configurar un servidor de red privada virtual en Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 308208 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E308208
Aviso
Este artículo se aplica a Windows 2000.El soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Centro de soluciones de fin de soporte técnico de Windows 2000 representa un punto de partida para la planificación de una estrategia de migración desde Windows 2000. Para obtener información adicional, consulte la directiva del ciclo de vida de soporte técnico de Microsoft.
Aviso
Este artículo se aplica a Windows 2000.El soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Centro de soluciones de fin de soporte técnico de Windows 2000 representa un punto de partida para la planificación de una estrategia de migración desde Windows 2000. Para obtener información adicional, consulte la directiva del ciclo de vida de soporte técnico de Microsoft.
Expandir todo | Contraer todo

En esta página

Resumen

Una red privada virtual (VPN, Virtual Private Network) le permite conectar componentes a una red a través de otra red, por ejemplo Internet. Puede convertir un equipo basado en Windows 2000 Server en servidor de acceso remoto para que otros usuarios puedan conectarse a él utilizando una VPN y posteriormente tener acceso a archivos compartidos en las unidades locales o en la red. Las redes privadas virtuales implementan "túneles" a través de Internet o de otra red pública, de manera que proporcionan la misma seguridad y características que una red privada. Con una VPN, las conexiones en la red pública pueden transferir datos utilizando la infraestructura de enrutamiento de Internet, sin embargo al usuario le parece como si los datos se estuvieran mandando a través de un vínculo privado dedicado.

En este artículo se describe cómo instalar una red privada virtual y cómo crear una nueva conexión VPN en Windows 2000.

Introducción a las VPN

Una red privada virtual (VPN, Virtual Private Network) es una forma de conectarse a una red privada (por ejemplo, la red de su oficina) mediante una red pública (como Internet). De esta forma se combinan las virtudes de una conexión de acceso telefónico a un servidor de acceso telefónico con la facilidad y la flexibilidad de una conexión a Internet. Con una conexión a Internet puede viajar por todo el mundo y, aún así, en la mayoría de los sitios se podrá conectar con su oficina mediante una llamada local al número de teléfono de acceso a Internet más cercano. Si dispone de una conexión a Internet de alta velocidad (por cable o DSL, por ejemplo) en su equipo y en su oficina, podrá comunicarse con su oficina a la velocidad máxima en Internet, lo cual resulta mucho más rápido que cualquier conexión de acceso telefónico que utilice un módem analógico.

Las redes privadas virtuales utilizan vínculos autenticados para garantizar que solo se conectarán a la red los usuarios autorizados y usan también el cifrado para garantizar que los datos que viajan a través de Internet no puedan ser interceptados y utilizados por otras personas. Windows consigue esta seguridad mediante el Protocolo de túnel punto a punto (PPTP) o el Protocolo de túnel de capa 2 (L2TP).

La tecnología VPN también permite a una empresa conectarse a sus sucursales o a otras compañías a través de una red pública (como Internet) al tiempo que mantiene seguras las comunicaciones. La conexión VPN a través de Internet funciona de manera lógica como un vínculo dedicado de red de área extensa (WAN).

Componentes de una VPN

Una red privada virtual (VPN) en Windows 2000 se compone de un servidor VPN, un cliente VPN, una conexión VPN (la parte de la conexión en la que los datos están cifrados) y el túnel (la porción de la conexión en la que los datos están encapsulados). Los túneles se realizan a través de uno de los protocolos de túnel que se incluyen con Windows 2000, instalados ambos con el servicio Enrutamiento y acceso remoto. Los dos protocolos de túnel que se incluyen con Windows 2000 son:
  • Protocolo de túnel punto a punto (PPTP): proporciona cifrado de datos mediante el Cifrado punto a punto de Microsoft.
  • Protocolo de túnel de capa 2 (L2TP): proporciona cifrado de datos, autenticación e integridad mediante IPSec.
La conexión a Internet debe utilizar una línea dedicada como T1, T1 fraccional o Frame Relay. El adaptador WAN debe estar configurado con la dirección IP y tener la máscara de subred asignada a su dominio o proporcionada por un proveedor de servicios Internet (ISP), así como la puerta de enlace predeterminada del enrutador ISP.

NOTA: para habilitar la VPN, debe haber iniciado sesión con una cuenta que tenga derechos administrativos.

Cómo instalar y habilitar una VPN

Para instalar y habilitar un servidor VPN, siga estos pasos:
  1. En el equipo con la VPN de Microsoft Windows 2000, confirme que tanto la conexión a Internet como la conexión a su red de área local (LAN) están configuradas correctamente.
  2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.
  3. Haga clic en el nombre del servidor en el árbol y, en el menú Acción, haga clic en Configurar y habilitar Enrutamiento y acceso remoto; a continuación haga clic en Siguiente.
  4. En el cuadro de diálogo Configuraciones comunes, haga clic en Servidor de red privada virtual (VPN) y, a continuación, haga clic en Siguiente.
  5. En el cuadro de diálogo Protocolos de cliente remoto, confirme que en la lista aparece TCP/IP y haga clic en Sí, todos los protocolos disponibles están en esta lista y en Siguiente.
  6. En el cuadro de diálogo Conexión a Internet, seleccione la conexión a Internet que utilizará y, a continuación, haga clic en Siguiente.
  7. En el cuadro de diálogo Asignación de direcciones IP, seleccione Automáticamente para poder utilizar el servidor DHPC de la subred y asignar direcciones IP para tener acceso telefónico a los clientes y al servidor.
  8. En el cuadro de diálogo Administrar servidores de acceso remoto múltiples, confirme que la casilla No, no quiero configurar este servidor para usar RADIUS ahora está activada.
  9. Haga clic en Siguiente y, después, en Finalizar.
  10. Haga clic con el botón secundario en Puertos y, a continuación, haga clic en Propiedades.
  11. En el cuadro de diálogo Propiedades de Puertos, haga clic en el dispositivo Minipuerto WAN (PPTP) y, después, en Configurar.
  12. En el cuadro de diálogo Configurar dispositivo - Minipuerto WAN (PPTP), realice una de las siguientes acciones:
    • Si no desea que los módems instalados en el servidor puedan ofrecer acceso telefónico a VPN directo para el usuario, desactive la casilla Conexiones de enrutamiento de marcado a petición (de entrada y salida).
    • Si desea permitir el acceso telefónico a VPN directo para el usuario con los módems instalados en el servidor, active la casilla Conexiones de enrutamiento de marcado a petición (de entrada y salida).
  13. Escriba el máximo número de conexiones PPTP simultáneas que desea permitir en el cuadro de texto Número máximo de puertos. (Esto puede depender del número de direcciones IP disponibles).
  14. Repita los pasos 11 a 13 para el dispositivo L2TP y haga clic en Aceptar.

Cómo configurar el servidor VPN

Para seguir configurando el servidor VPN, siga estos pasos.

Configuración del servidor de acceso remoto como enrutador

Para que el servidor de acceso remoto reenvíe el tráfico correctamente dentro de la red, debe configurarlo como un enrutador con rutas estáticas o con protocolos de enrutamiento para que se pueda llegar a todas las ubicaciones de la intranet desde él.

Para configurar el servidor como un enrutador:
  1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.
  2. Haga clic con el botón secundario en el nombre del servidor y, a continuación, haga clic en Propiedades.
  3. En la pestaña General, haga clic para seleccionar Habilitar este equipo como enrutador
  4. Haga clic en Solo enrutamiento de red de área local (LAN) o en Enrutamiento LAN y de marcado a petición y, luego, en Aceptar para cerrar el cuadro de diálogo Propiedades.

Cómo configurar los puertos PPTP

Confirme el número de puertos PPTP que necesita. Para comprobar el número de puertos o agregar puertos, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.
  2. En el árbol de consola, expanda Enrutamiento y acceso remoto, expanda el nombre del servidor y, a continuación, haga clic en Puertos.
  3. Haga clic con el botón secundario en Puertos y, a continuación, haga clic en Propiedades.
  4. En el cuadro de diálogo Propiedades de Puertos, haga clic en Minipuerto WAN (PPTP) y, después, haga clic en Configurar.
  5. En el cuadro de diálogo Configurar dispositivo, seleccione el número máximo de puertos para el dispositivo y, a continuación, seleccione las opciones para especificar si el dispositivo aceptará solo conexiones entrantes o si aceptará conexiones entrantes y salientes.

Cómo administrar direcciones y servidores de nombres

El servidor VPN debe tener direcciones IP disponibles para poder asignárselas a la interfaz virtual del servidor VPN y a los clientes VPN durante la fase de negociación del Protocolo de control del Protocolo Internet (IPCP) del proceso de conexión. La dirección IP asignada al cliente VPN se asigna a la interfaz virtual de este.

Para servidores VPN basados en Windows 2000, las direcciones IP asignadas a clientes VPN se obtienen de manera predeterminada mediante el servidor DHPC. Asimismo, puede configurar un conjunto de direcciones IP estáticas. El servidor VPN también debe estar configurado con servidores de resolución de nombres, generalmente direcciones de servidores DNS y WINS, para asignar al cliente VPN durante la negociación de IPCP.

Cómo administrar el acceso

Configure las propiedades de acceso telefónico en las cuentas de usuario así como las directivas de acceso remoto para administrar el acceso a las conexiones de acceso telefónico a redes y a las conexiones VPN.

NOTA: de manera predeterminada, se deniega a los usuarios el acceso telefónico.

Acceso mediante cuentas de usuario

Si está administrando el acceso remoto en función de cada usuario, haga clic en Permitir acceso en la pestaña Acceso telefónico del cuadro de diálogo Propiedades del usuario para aquellas cuentas de usuario a las que se permite crear conexiones VPN. Si el servidor VPN solo puede tener conexiones VPN, elimine la directiva de acceso remoto predeterminada denominada "Permitir el acceso si está habilitado el permiso de acceso telefónico". A continuación, cree una nueva directiva de acceso remoto con un nombre descriptivo, como "Acceso VPN si se permite en la cuenta de usuario". Para obtener más información, consulte la Ayuda de Windows 2000.

PRECAUCIÓN: una vez que haya eliminado la directiva predeterminada, se denegará el acceso a los clientes de acceso telefónico que no cumplan al menos una de las configuraciones de directiva que usted creó.

Si el servidor VPN también admite servicios de acceso telefónico a redes remoto, no elimine la directiva predeterminada; en lugar de ello, muévala para que quede la última que se evaluará.

Acceso mediante la pertenencia a grupos

Si está administrando el acceso remoto en función de un grupo, haga clic en el botón de opción Controlar acceso a través de la directiva de acceso remoto en todas las cuentas de usuario mediante la consola de Usuarios y equipos de Active Directory en el complemento MMC o Herramientas de administrador. Cree un grupo de Windows 2000 con los miembros a los que se permita crear conexiones VPN. Si el servidor VPN solo permite conexiones VPN, elimine la directiva de acceso remoto predeterminada denominada "Permitir el acceso si está habilitado el permiso de acceso telefónico". Después, cree una nueva directiva de acceso remoto con un nombre descriptivo como "Acceso VPN si se es miembro del grupo VPN-permitida" y asigne el grupo Windows 2000 a la directiva.

Si el servidor VPN también admite servicios de acceso telefónico a redes remoto, no elimine la directiva predeterminada; en lugar de ello, muévala para que sea la última que se evaluará.

Cómo configurar una conexión VPN desde un equipo cliente

Para configurar una conexión a una VPN:
  1. En el equipo cliente, confirme que la conexión a Internet está configurada correctamente.
  2. Haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Conexiones de red y de acceso telefónico.
  3. Haga doble clic en Realizar conexión nueva.
  4. Haga clic en Siguiente, en Conectar a una red privada a través de Internet y, a continuación, en Siguiente.
  5. Realice una de estas acciones:
    • Si utiliza una conexión de acceso telefónico para conectarse a Internet, haga clic en Usar automáticamente esta conexión inicial y, a continuación, seleccione la conexión de acceso telefónico a Internet en la lista.
    • Si utiliza una conexión dedicada (por ejemplo con módem por cable), haga clic en No usar la conexión inicial.
  6. Haga clic en Siguiente.
  7. Escriba el nombre del host (por ejemplo, Microsoft.com) o la dirección IP (por ejemplo, 123.123.123.123) del equipo al que desee conectarse y haga clic en Siguiente.
  8. Haga clic para seleccionar Para todos los usuarios si desea que la conexión esté disponible para cualquiera que inicie sesión en el equipo o haga clic para seleccionar Solo para mí si desea que la conexión solo esté disponible cuando usted inicie sesión en el equipo y haga clic en Siguiente.
  9. Escriba un nombre descriptivo para la conexión y haga clic en Finalizar.

    NOTA: esta opción solo está disponible si inicia sesión como miembro del grupo Administradores.
  10. Haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Conexiones de red y de acceso telefónico.
  11. Haga doble clic en la nueva conexión.
  12. Haga clic en Propiedades para seguir configurando las opciones de la conexión:
    • Si se va a conectar a un dominio, haga clic en la pestaña Opciones y, después, active la casilla Incluir el dominio de inicio de sesión de Windows para especificar si se va a solicitar información de dominio de inicio de sesión de Windows 2000 antes de intentar la conexión.
    • Si desea que se vuelva a marcar en caso de que la conexión se interrumpa, haga clic en la pestaña Opciones y active la casilla Volver a marcar si se interrumpe la línea.
Para usar la conexión:
  1. Haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Conexiones de red y de acceso telefónico.
  2. Haga doble clic en la nueva conexión.
  3. Si actualmente no está conectado a Internet, Windows le ofrece la posibilidad de conectarse.
  4. Una vez realizada la conexión a Internet, el servidor VPN le pide su nombre de usuario y contraseña. Escriba su nombre de usuario y contraseña y haga clic en Conectar; con esto los recursos de red deben estar disponibles para usted del mismo modo que lo están cuando se conecta directamente a la red.NOTA: para desconectarse de la red privada virtual (VPN), haga clic con el botón secundario en el icono de la conexión y, a continuación, haga clic en Desconectar.

Solucionar problemas

Solucionar problemas de VPN de acceso remoto

No se puede establecer una conexión VPN de acceso remoto
  • Causa: el nombre de equipo del equipo cliente es el mismo que el de otro equipo de la red.

    Solución: compruebe que todos los equipos de la red y todos los que se conectan a ella utilizan nombres de equipo únicos.
  • Causa: el servicio Enrutamiento y acceso remoto no se inició en el servidor VPN.

    Solución: compruebe el estado del servicio Enrutamiento y acceso remoto en el servidor VPN.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo supervisar, iniciar y detener el servicio Enrutamiento y acceso remoto.
  • Causa: el acceso remoto no está habilitado en el servidor VPN.

    Solución: habilite el acceso remoto en el servidor VPN.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo habilitar el servidor de acceso remoto.
  • Causa: los puertos PPTP o L2TP no están habilitados para las solicitudes entrantes de acceso remoto.

    Solución: habilite el puerto PPTP, el puerto L2TP o ambos para las solicitudes entrantes de acceso remoto.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo configurar los puertos para el acceso remoto.
  • Causa: los protocolos LAN que utilizan los clientes VPN no están habilitados para el acceso remoto en el servidor VPN.

    Solución: habilite los protocolos LAN que utilizan los clientes VPN para el acceso remoto en el servidor VPN.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo ver las propiedades del servidor de acceso remoto.
  • Causa: todos los puertos PPTP o L2TP del servidor VPN ya están siendo utilizados por clientes de acceso remoto conectados o por enrutadores de marcado a petición.

    Solución: compruebe que todos los puertos PPTP o L2TP del servidor VPN no estén ya en uso; para ello, haga clic en Puertos en Enrutamiento y acceso remoto. Si es necesario, cambie el número de los puertos PPTP o L2TP para permitir más conexiones simultáneas.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo agregar puertos PPTP o L2TP.
  • Causa: el servidor VPN no admite el protocolo de túnel del cliente VPN.

    De manera predeterminada, los clientes VPN de acceso remoto de Windows 2000 utilizan la opción de tipo de servidor Automático, lo que significa que intentarán primero establecer una conexión VPN basada en L2TP sobre IPSec y, a continuación, intentarán una conexión VNP basada en PPTP. Si los clientes VPN utilizan la opción de tipo de servidor Protocolo de túnel punto a punto (PPTP) o Protocolo de túnel de capa 2 (L2TP), compruebe que el servidor VPN admite el protocolo de túnel seleccionado.

    De manera predeterminada, un equipo que ejecute Windows 2000 Server y el servicio Enrutamiento y acceso remoto es un servidor PPTP y L2TP con cinco puertos L2TP y cinco puertos PPTP. Para crear un servidor que sea solo PPTP, establezca el número de puertos L2TP en cero. Para crear un servidor que sea sólo L2TP, establezca el número de puertos PPTP en cero.

    Solución: compruebe que se ha configurado el número apropiado de puertos PPTP o L2TP.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo agregar puertos PPTP o L2TP.
  • Causa: el cliente VPN y el servidor VPN junto con una directiva de acceso remoto no están configurados para utilizar al menos un método de autenticación común.

    Solución: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para utilizar al menos un método de autenticación común.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo configurar la autenticación.
  • Causa: el cliente VPN y el servidor VPN junto con una directiva de acceso remoto no están configurados para utilizar al menos un método de cifrado común.

    Solución: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para utilizar al menos un método de cifrado común.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo configurar el cifrado.
  • Causa: la conexión VPN no tiene los permisos apropiados mediante las propiedades de acceso telefónico de la cuenta de usuario y las directivas de acceso remoto.

    Solución: compruebe que la conexión VPN tenga los permisos apropiados a través de las propiedades de acceso telefónico de la cuenta de usuario y las directivas de acceso remoto. Para que se establezca la conexión, la configuración del intento de conexión debe:

    • Cumplir todas las condiciones de al menos una directiva de acceso remoto.
    • Obtener el permiso de acceso remoto a través de la cuenta de usuario (establecido como Permitir acceso) o a través de la cuenta de usuario (establecido como Controlar acceso a través de la directiva de acceso remoto) y el permiso de acceso remoto de la directiva de acceso remoto coincidente (establecido como Conceder permiso de acceso remoto).
    • Coincidir con todas las opciones de configuración del perfil.
    • Coincidir con la configuración de las propiedades de acceso telefónico de la cuenta de usuario.
    Consulte la Ayuda en pantalla de Windows 2000 para obtener una introducción a las directivas de acceso remoto y más información acerca de cómo aceptar un intento de conexión.
  • Causa: la configuración del perfil de la directiva de acceso remoto entra en conflicto con las propiedades del servidor VPN.

    Las propiedades del perfil de la directiva de acceso remoto y las propiedades del servidor VNP contienen opciones de configuración para:

    • Multivínculo
    • Protocolo de asignación de ancho de banda
    • Protocolos de autenticación
    Si la configuración del perfil de la directiva de acceso remoto coincidente entra en conflicto con la configuración del servidor VPN, se rechaza el intento de conexión. Por ejemplo, si el perfil de directiva de acceso remoto coincidente especifica que debe utilizarse el protocolo de autenticación EAP-TLS y EAP no está habilitado en el servidor VPN, se rechazará el intento de conexión.

    Solución: compruebe que la configuración del perfil de la directiva de acceso remoto no entre en conflicto con las propiedades del servidor VPN.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo habilitar los protocolos de autenticación y cómo configurar la autenticación.
  • Causa: el enrutador de respuesta no puede validar las credenciales del enrutador de llamada (nombre de usuario, contraseña y nombre de dominio).

    Solución: compruebe que las credenciales del cliente VPN (nombre de usuario, contraseña y nombre de dominio) sean correctas y puedan ser validadas por el servidor VPN.
  • Causa: no hay suficientes direcciones en el conjunto de direcciones IP estáticas.

    Solución: si el servidor VPN está configurado con un conjunto de direcciones IP estáticas, compruebe que haya suficientes direcciones en el conjunto. Si todas las direcciones del conjunto estático se han asignado a clientes VPN conectados, el servidor VPN no podrá asignar una dirección IP y el intento de conexión se rechazará. Modifique el conjunto de direcciones IP estáticas si es necesario. Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de TCP/IP y del acceso remoto, y acerca de cómo crear un conjunto de direcciones IP estáticas.
  • Causa: el cliente VPN está configurado para solicitar su propio número de nodo IPX y el servidor VPN no está configurado para permitir a los clientes IPX que soliciten su propio número de nodo IPX.

    Solución: configure el servidor VPN para permitir que los clientes IPX soliciten su propio número de nodo IPX.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de IPX y del acceso remoto.
  • Causa: el servidor VPN está configurado con un intervalo de números de red IPX que se están utilizando en otro lugar de la red IPX.

    Solución: configure el servidor VPN con un intervalo de números de red IPX que sea único en la red IPX.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de IPX y del acceso remoto.
  • Causa: el proveedor de autenticación del servidor VNP no está configurado correctamente.

    Solución: compruebe la configuración del proveedor de autenticación. Puede configurar el servidor VPN de modo que use Windows 2000 o RADIUS para autenticar las credenciales del cliente VPN.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de la autenticación y de los proveedores de cuentas, y de cómo usar la autenticación RADIUS.
  • Causa: el servidor VPN no puede tener acceso a Active Directory.


    Solución: en el caso de un servidor VPN que sea servidor miembro de un dominio de Windows 2000 en modo mixto o en modo nativo que esté configurado para la autenticación de Windows 2000, compruebe lo siguiente:

    • Exista el grupo de seguridad Servidores RAS e IAS. Si no existe, cree el grupo y establezca su tipo como Seguridad y su ámbito como Dominio local.
    • El grupo de seguridad Servidores RAS e IAS tenga permiso de lectura para el objeto Comprobación de acceso a servidores RAS e IAS.
    • La cuenta del equipo servidor VPN sea miembro del grupo de seguridad Servidores RAS e IAS. Puede usar el comando netsh ras show registeredserver para ver el registro actual. Puede usar el comando "netsh ras add registeredserver" para registrar el servidor en un dominio específico.

      Si agrega el equipo servidor VPN al grupo de seguridad Servidores RAS e IAS o lo quita, el cambio no surtirá efecto inmediatamente (debido a la manera en la que Windows 2000 almacena en caché la información de Active Directory). Para que el cambio surta efecto inmediatamente, debe reiniciar el equipo servidor VPN.
    • En el caso de un dominio en modo nativo, el servidor VPN se ha unido a un dominio.
    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo agregar un grupo, cómo comprobar los permisos para el grupo de seguridad RAS e IAS, y acerca de los comandos de NetShell para acceso remoto.
  • Causa: un servidor VPN de Windows NT 4.0 no puede validar las solicitudes de conexión.

    Solución: si los clientes VPN llaman a un servidor VPN con Windows NT 4.0 que es miembro de un dominio en modo mixto de Windows 2000, compruebe que el grupo Todos se haya agregado al grupo Acceso compatible con versiones anteriores de Windows 2000 mediante el comando siguiente:
    "net localgroup "Pre-Windows 2000 Compatible Access""
    Si no se ha agregado, escriba el comando siguiente en el símbolo del sistema de un equipo controlador de dominio y, a continuación, reinicie el equipo controlador de dominio:
    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca del servidor de acceso remoto Windows NT 4.0 en un dominio Windows 2000.
  • Causa: el servidor VPN no puede comunicar con el servidor RADIUS configurado.

    Solución: si solo se puede conectar con el servidor RADIUS mediante la interfaz de Internet, agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1812 (según el documento RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)") o para el puerto UDP 1645 (para servidores RADIUS antiguos) para la autenticación de RADIUS, y para el puerto UDP 1813 (según el documento RFC 2139, "RADIUS Accounting") o para el puerto UDP 1646 (para servidores RADIUS antiguos) para la administración de cuentas RADIUS.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo agregar un filtro de paquetes.
  • Causa: no se puede conectar con el servidor VPN a través de Internet con la utilidad Ping.exe.

    Solución: debido al filtrado de paquetes de PPTP y L2TP mediante IPSec que está configurado en la interfaz de Internet del servidor VPN, se filtran los paquetes del Protocolo de mensajes de control de Internet (ICMP) utilizados por el comando ping. Para permitir que el servidor VPN responda a los paquetes ICMP (ping), tiene que agregar un filtro de entrada y un filtro de salida que permitan el tráfico para el protocolo IP 1 (tráfico ICMP).

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo agregar un filtro de paquetes.

Solución de problemas de VPN de enrutador a enrutador

No se puede establecer una conexión VPN de enrutador a enrutador
  • Causa: el servicio Enrutamiento y acceso remoto no se inicia en el cliente VPN (el enrutador que llama) y el servidor VPN (el enrutador que responde).

    Solución: compruebe el estado del servicio Enrutamiento y acceso remoto en el cliente y el servidor VPN.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo supervisar, iniciar y detener el servicio Enrutamiento y acceso remoto.
  • Causa: el enrutamiento de LAN y WAN no está habilitado en el enrutador que llama y en el enrutador que responde.

    Solución: habilite el Enrutamiento local y remoto (enrutador LAN y WAN) en el enrutador que llama y en el que responde.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo habilitar el enrutamiento LAN y WAN.
  • Causa: los puertos PPTP o L2TP no están habilitados para establecer conexiones de enrutamiento de marcado a petición entrantes y salientes.

    Solución: habilite los puertos PPTP, los puertos L2TP o ambos para establecer conexiones de enrutamiento de marcado a petición entrantes y salientes.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo habilitar el enrutamiento en los puertos.
  • Causa: todos los puertos PPTP o L2TP del enrutador que llama o del que responde ya están siendo utilizados por clientes de acceso remoto conectados o por enrutadores de marcado a petición.

    Solución: compruebe que todos los puertos PPTP o L2TP del servidor VPN no estén ya en uso; para ello, haga clic en Puertos en Enrutamiento y acceso remoto. Si es necesario, cambie el número de los puertos PPTP o L2TP para permitir más conexiones simultáneas.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo agregar puertos PPTP o L2TP.
  • Causa: el enrutador que responde no admite el protocolo de túnel que utiliza el enrutador que llama.

    De manera predeterminada, las interfaces de marcado a petición de Windows 2000 utilizan la opción de tipo de servidor Automático, lo que significa que intentan establecer primero una conexión VPN basada en L2TP sobre IPsec y, a continuación, una conexión VPN basada en PPTP. Si los enrutadores que llaman usan la opción de tipo de servidor Protocolo de túnel punto a punto (PPTP) o Protocolo de túnel de capa 2 (L2TP), compruebe que el enrutador que responde admita el protocolo de túnel seleccionado.

    De manera predeterminada, un equipo que ejecute Windows 2000 Server y el servicio Enrutamiento y acceso remoto es un enrutador de marcado a petición compatible con PPTP y L2TP, que tiene cinco puertos L2TP y cinco puertos PPTP. Para crear un enrutador que solo admita PPTP, establezca el número de puertos L2TP en cero. Para crear un enrutador que solo admita L2TP, establezca el número de puertos PPTP en cero.

    Solución: compruebe que se haya configurado el número apropiado de puertos PPTP y L2TP en el enrutador que llama y en el que responde.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo agregar puertos PPTP o L2TP.
  • Causa: el enrutador que llama y el que responde junto con una directiva de acceso remoto no están configurados para utilizar al menos un método de autenticación común.

    Solución: configure el enrutador que llama y el que responde junto con una directiva de acceso remoto para utilizar al menos un método de autenticación común.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo configurar la autenticación.
  • Causa: el enrutador que llama y el que responde junto con una directiva de acceso remoto no están configurados para utilizar al menos un método de cifrado común.

    Solución: configure el enrutador que llama y el que responde junto con una directiva de acceso remoto para utilizar al menos un método de cifrado común.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo configurar el cifrado.
  • Causa: la conexión VPN no tiene los permisos apropiados mediante las propiedades de acceso telefónico de la cuenta de usuario y las directivas de acceso remoto.

    Solución: compruebe que la conexión VPN tenga los permisos apropiados a través de las propiedades de acceso telefónico de la cuenta de usuario y las directivas de acceso remoto. Para que se establezca la conexión, la configuración del intento de conexión debe:

    • Cumplir todas las condiciones de al menos una directiva de acceso remoto.
    • Obtener el permiso de acceso remoto a través de la cuenta de usuario (establecido como Permitir acceso) o a través de la cuenta de usuario (establecido como Controlar acceso a través de la directiva de acceso remoto) y el permiso de acceso remoto de la directiva de acceso remoto coincidente (establecido como Conceder permiso de acceso remoto).
    • Coincidir con todas las opciones de configuración del perfil.
    • Coincidir con la configuración de las propiedades de acceso telefónico de la cuenta de usuario.
    Consulte la Ayuda en pantalla de Windows 2000 para obtener una introducción a las directivas de acceso remoto y más información acerca de cómo aceptar un intento de conexión.
  • Causa: la configuración del perfil de la directiva de acceso remoto entra en conflicto con las propiedades del enrutador que responde. Las propiedades del perfil de la directiva de acceso remoto y las propiedades del enrutador que responde contienen configuraciones para:

    • Multivínculo
    • Protocolo de asignación de ancho de banda
    • Protocolos de autenticación
    Si la configuración del perfil de la directiva de acceso remoto coincidente entra en conflicto con la del enrutador que responde, se rechaza el intento de conexión. Por ejemplo, si el perfil de la directiva de acceso remoto coincidente especifica que el protocolo de autenticación EAP-TLS debe utilizarse y EAP no está habilitado en el enrutador que responde, se rechazará el intento de conexión.

    Solución: compruebe que la configuración del perfil de la directiva de acceso remoto no entre en conflicto con las propiedades del enrutador de acceso remoto.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo habilitar los protocolos de autenticación y cómo configurar la autenticación.
  • Causa: las credenciales del enrutador que llama (nombre de usuario, contraseña y nombre de dominio) son incorrectas y no pueden ser validadas por el enrutador que responde.

    Solución: compruebe que las credenciales del enrutador que llama (nombre de usuario, contraseña y nombre de dominio) sean correctas y puedan ser validadas por el enrutador que responde.
  • Causa: no hay suficientes direcciones en el conjunto de direcciones IP estáticas.

    Solución: si el enrutador que responde está configurado con un conjunto de direcciones IP estáticas, compruebe que haya suficientes direcciones en el conjunto. Si todas las direcciones del conjunto estático se han asignado a clientes de acceso remoto conectados o enrutadores de marcado a petición, el enrutador que responde no podrá asignar una dirección IP y el intento de conexión se rechazará. Modifique el conjunto de direcciones IP estáticas si es necesario.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de TCP/IP y del acceso remoto, y acerca de cómo crear un conjunto de direcciones IP estáticas.
  • Causa: el enrutador que responde está configurado con un intervalo de números de red IPX que se están utilizando en otro lugar de la red IPX.

    Solución: configure el enrutador que responde con un intervalo de números de red IPX que sea único en la red IPX.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de IPX y del acceso remoto.
  • Causa: el proveedor de autenticación del enrutador que responde no está configurado correctamente.

    Solución: compruebe la configuración del proveedor de autenticación. Puede configurar el enrutador que responde de modo que use Windows 2000 o RADIUS para autenticar las credenciales del cliente VPN.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de la autenticación y de los proveedores de cuentas, y de cómo usar la autenticación RADIUS.
  • Causa: el enrutador que responde no puede tener acceso a Active Directory.

    Solución: en el caso de un enrutador que responde que sea un servidor miembro de un dominio de Windows 2000 en modo mixto o en modo nativo configurado para la autenticación de Windows 2000, compruebe que:

    • Exista el grupo de seguridad Servidores RAS e IAS. Si no es así, cree el grupo y establezca el tipo de grupo como Seguridad y el ámbito del grupo como Dominio local.
    • El grupo de seguridad Servidores RAS e IAS tenga permiso de lectura para el objeto Comprobación de acceso a servidores RAS e IAS.
    • La cuenta del equipo enrutador que responde sea miembro del grupo de seguridad Servidores RAS e IAS. Utilice el comando siguiente para ver el registro actual:
      "netsh ras show registeredserver"
      Utilice el comando siguiente para registrar el servidor en un dominio específico:
      "netsh ras add registeredserver"
      Si agrega o quita el equipo enrutador que responde del grupo de seguridad Servidores RAS e IAS, el cambio no surtirá efecto inmediatamente (debido a la manera en que Windows 2000 almacena en caché la información de Active Directory). Para que el cambio surta efecto inmediatamente, debe reiniciar el equipo enrutador que responde.
    • En el caso de un dominio de modo nativo, el enrutador que responde se ha unido al dominio.
    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo agregar un grupo, cómo comprobar los permisos para el grupo de seguridad RAS e IAS, y acerca de los comandos de NetShell para acceso remoto.
  • Causa: un enrutador de respuesta que ejecute Windows NT 4.0 con el Servicio de enrutamiento y acceso remoto (RRAS) no puede validar las solicitudes de conexión.

    Solución: si los enrutadores que llaman marcan a un enrutador que responde que ejecuta Windows NT 4.0 con RRAS y que es miembro de un dominio en modo mixto de Windows 2000, compruebe que el grupo Todos se agregue al grupo Acceso compatible con versiones anteriores de Windows 2000 con el comando siguiente:
    "net localgroup "Pre-Windows 2000 Compatible Access""
    Si no se ha agregado, escriba el comando siguiente en el símbolo del sistema de un equipo controlador de dominio y, a continuación, reinicie el equipo controlador de dominio:
    "net localgroup "Pre-Windows 2000 Compatible Access" everyone /add"
    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca del servidor de acceso remoto Windows NT 4.0 en un dominio Windows 2000.
  • Causa: el enrutador que responde no se puede comunicar con el servidor RADIUS configurado.

    Solución: si solo se puede conectar con el servidor RADIUS mediante la interfaz de Internet, agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1812 (según el documento RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)") o para el puerto UDP 1645 (para servidores RADIUS antiguos) para la autenticación de RADIUS, y para el puerto UDP 1813 (según el documento RFC 2139, "RADIUS Accounting") o para el puerto UDP 1646 (para servidores RADIUS antiguos) para la administración de cuentas RADIUS.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo agregar un filtro de paquetes.
  • Causa: no se puede conectar con el enrutador que responde desde Internet mediante la utilidad Ping.exe.

    Solución: debido al filtrado de paquetes de PPTP y L2TP sobre IPSec que está configurado en la interfaz de Internet del enrutador que responde, se filtran los paquetes del Protocolo de mensajes de control de Internet (ICMP) utilizados por el comando ping. Para permitir que el enrutador de respuesta responda a los paquetes ICMP, debe agregar un filtro de entrada y un filtro de salida que permitan el tráfico del protocolo IP 1 (tráfico ICMP).

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo agregar un filtro de paquetes.
No se puede enviar o recibir datos
  • Causa: no se ha agregado la interfaz de marcado a petición apropiada al protocolo que se está enrutando.

    Solución: agregue la interfaz de marcado a petición apropiada al protocolo que se está enrutando.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo agregar una interfaz de enrutamiento.
  • Causa: no existen rutas en ninguno de los dos lados de la conexión VPN de enrutador a enrutador que permitan el intercambio de tráfico en los dos sentidos.

    Solución: a diferencia de las conexiones VPN de acceso remoto, una conexión VPN de enrutador a enrutador no crea automáticamente una ruta predeterminada. Tiene que crear rutas en ambos lados de la conexión VPN de enrutador a enrutador para que se pueda enrutar el tráfico hacia el otro lado de la conexión VPN de enrutador a enrutador y desde él.

    Puede agregar rutas estáticas a la tabla de enrutamiento manualmente o puede agregarlas mediante protocolos de enrutamiento. Para conexiones VPN persistentes, puede habilitar Abrir primero la ruta de acceso más corta (OSPF, Open Shortest Path First) o el Protocolo de información de enrutamiento (RIP, Routing Information Protocol) en la conexión VPN. En el caso de las conexiones VPN a petición, puede actualizar las rutas automáticamente mediante una actualización RIP autoestática. Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo agregar un protocolo de enrutamiento IP, agregar una ruta estática y realizar actualizaciones autoestáticas.
  • Causa: el enrutador que responde, que se ha iniciado en dos sentidos como conexión de acceso remoto, está interpretando una conexión VPN de enrutador a enrutador.

    Solución: si el nombre de usuario de las credenciales del enrutador que llama aparece bajo Clientes de marcado en Enrutamiento y acceso remoto, el enrutador que responde puede interpretar que el enrutador que llama es un cliente de acceso remoto. Compruebe que el nombre de usuario de las credenciales del enrutador que llama coincida con el nombre de una interfaz de marcado a petición del enrutador que responde. Si el elemento que realiza la llamada entrante es un enrutador, el puerto en el que se recibió la llamada muestra el estado Activo y la interfaz de marcado a petición correspondiente tiene el estado Conectado.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo comprobar el estado del puerto en el enrutador que responde y de la interfaz de marcado a petición.
  • Causa: los filtros de paquetes de las interfaces de marcado a petición del enrutador que llama y del que responde impiden el flujo de tráfico.

    Solución: compruebe que en las interfaces de marcado a petición del enrutador que llama y del que responde no haya filtros de paquetes que impidan enviar o recibir tráfico. Puede configurar cada interfaz de marcado a petición con filtros de entrada y de salida IP e IPX para controlar la naturaleza exacta del tráfico TCP/IP e IPX al que se permite entrar y salir de la interfaz de marcado a petición.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo administrar filtros de paquetes.
  • Causa: los filtros de paquetes del perfil de la directiva de acceso remoto impiden el flujo del tráfico IP.

    Solución: compruebe que no haya filtros de paquetes TCP/IP configurados en las propiedades del perfil de las directivas de acceso remoto en el servidor VPN (o el servidor RADIUS si se usa el Servicio de autenticación Internet) que impidan el envío o la recepción del trafico TCP/IP. Puede utilizar directivas de acceso remoto para configurar filtros TCP/IP de entrada y salida de paquetes que controlen la naturaleza exacta del tráfico TCPIP permitido en la conexión VPN. Compruebe que los filtros de paquetes TCP/IP del perfil no impidan el flujo del tráfico necesario.

    Consulte la Ayuda en pantalla de Windows 2000 para obtener más información acerca de cómo configurar las opciones IP.



Referencias

Para obtener información adicional acerca de cómo crear una conexión VPN con Windows XP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
305550 Cómo configurar una conexión VPN a la red corporativa
Para obtener información adicional al respecto, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
255784 Aumentar la seguridad en un servidor VPN de Windows 2000
254018 Cómo configurar los filtros de entrada para los servicios que se ejecutan detrás de la traducción de direcciones de red
260926 El Asistente para enrutamiento y acceso remoto del servidor VPN crea filtros de entrada y salida que no son específicos








Nota: es un artículo de "PUBLICACIÓN RÁPIDA" creado directamente por la organización de soporte técnico de Microsoft. La información aquí contenida se proporciona como está, como respuesta a problemas que han surgido. Como consecuencia de la rapidez con la que lo hemos puesto disponible, los materiales podrían incluir errores tipográficos y pueden ser revisados en cualquier momento sin previo aviso. Vea las Condiciones de uso para otras consideraciones

Propiedades

Id. de artículo: 308208 - Última revisión: viernes, 29 de marzo de 2013 - Versión: 1.0
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palabras clave: 
kbhowto kbhowtomaster KB308208

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com