COMO: Instalar e configurar um servidor de rede virtual privada no Windows 2000

Traduções deste artigo Traduções deste artigo
ID do artigo: 308208 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi publicado anteriormente em BR308208
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Uma rede virtual privada (VPN), permite que você conecte componentes a uma rede, por meio de outra rede, como a Internet. É possível fazer com que seu computador com Windows 2000 Server se torne um servidor de acesso remoto para que outros usuários possam conectar-se a ele usando a VPN e, então, acessar os arquivos compartilhados em suas unidades locais ou em sua rede. Redes virtuais privadas fazem isso ao "encapsular" pela Internet ou outra rede pública de forma a oferecer a mesma segurança e os recursos como uma rede privada. Com uma VPN, as conexões pela rede pública podem transferir dados usando a infra-estrutura de roteamento da Internet, mas para o usuário, os dados parecem percorrer um vínculo privado dedicado.

Este artigo descreve como instalar uma VPN e como criar uma nova conexão VPN no Windows 2000.

Visão geral da rede virtual privada (VPN)

Uma rede virtual privada (VPN) é uma maneira de conectar-se a uma rede virtual (como a rede de sua empresa) por meio de uma rede pública, como a Internet. Isso combina as vantagens de uma conexão dial-up para um servidor dial-up com a facilidade e a flexibilidade de uma conexão com a Internet. Usando uma conexão com a Internet, é possível viajar pelo mundo e, ainda, na maioria dos lugares, conectar-se a sua empresa com uma chamada local para o número de telefone de acesso mais próximo. Se você tiver uma conexão com a Internet de alta velocidade (como cabo ou DSL) em seu computador (e em sua empresa), você pode comunicar-se com a sua empresa com velocidade total da Internet, o que é muito mais rápido do que qualquer conexão dial-up que usa um modem analógico.

VPNs usam vínculos autenticados para assegurar que apenas usuários autorizados possam conectar-se a sua rede, além de usarem criptografia para garantir que os dados percorrendo a Internet não possam ser interceptados. O Windows consegue essa segurança usando protocolo PPTP (Protocolo de encapsulamento ponto a ponto ) ou protocolo L2TP (protocolo de encapsulamento de camada 2).

A tecnologia VPN também permite que uma empresa se conecte a suas filiais ou a outras empresas por meio de uma rede pública (como a Internet) ao mesmo tempo em que mantém as comunicações seguras. A conexão VPN na Internet opera de maneira lógica como um vínculo de rede de grande distância (WAN) dedicado.

Componentes de uma VPN

Uma VPN no Windows 2000 consiste em um servidor VPN, um cliente VPN, uma conexão VPN (a parte da conexão na qual os dados são criptografados) e o encapsulamento (a parte da conexão na qual os dados são encapsulados). O encapsulamento é feito por meio de um dos protocolos de encapsulamento incluídos no Windows 2000, sendo que ambos estão instalados com roteamento e acesso remoto. Os dois protocolos de encapsulamento incluídos com o Windows 2000 são:
  • Protocolo de encapsulamento ponto a ponto (PPTP): Fornece criptografia de dados usando a criptografia ponto a ponto da Microsoft.
  • Protocolo de encapsulamento de camada 2 (L2TP): Fornece criptografia de dados, autenticação e integridade usando o IPSec.
Sua conexão com a Internet deve ser usada como uma linha dedicada como, por exemplo, T1, T1 fracionário ou de retransmissão de quadros. O adaptador WAN deve estar configurado com o endereço IP e a máscara de sub-rede atribuídos para o seu domínio ou fornecidos por um ISP (provedor de serviço de Internet), assim como o gateway padrão do roteador do ISP.

OBSERVAÇÃO: Para ativar a VPN, você deve estar conectado usando uma conta que possui direitos administrativos.

Como instalar e ativar uma VPN

Para instalar e ativar um servidor VPN, execute estas etapas:
  1. No computador VPN com Microsoft Windows 2000, verifique se ambas as conexões com a Internet e com sua rede local (LAN) estão configuradas corretamente.
  2. Clique em Iniciar, aponte para Ferramentas administrativas e clique em Roteamento e acesso remoto.
  3. Clique no nome do servidor na árvore e clique em Configurar e ativar o roteamento e o acesso remoto no menu Ação e clique em Avançar.
  4. Na caixa de diálogo Configurações comuns, clique em Rede virtual privada (servidor VPN) e clique em Avançar.
  5. Na caixa de diálogo Protocolos de clientes remotos, verifique se TCP/IP está incluído na lista, clique em Sim, todos os protocolos disponíveis estão nessa lista e clique em Avançar.
  6. Na caixa de diálogo Conexão com a Internet, selecione a conexão com a Internet que irá usar e clique em Avançar.
  7. Na caixa de diálogo Atribuição de endereço IP, selecione Automaticamente para usar o servidor DHCP na sua sub-rede para atribuir endereços IP para clientes dial-up e para o servidor.
  8. Na caixa de diálogo Gerenciando múltiplos servidores de acesso remoto, verifique se a caixa de seleção Não, não desejo configurar este servidor para usar o RADIUS agora está marcada.
  9. Clique em Avançar e em Concluir.
  10. Clique com o botão direito do mouse no nó Portas e clique em Propriedades.
  11. Na caixa de diálogo Propriedade das portas, clique no dispositivo Miniporta de rede remota (PPTP) e clique em Configurar.
  12. Na caixa de diálogo Configurar dispositivo - Miniporta de rede remota (PPTP), execute uma das seguintes ações:
    • Se você não quiser suportar uma VPN de discagem direta do usuário para modems instalados no servidor, desmarque a caixa de seleção Conexões de roteamento de discagem por demanda (entrada/saída).
    • Se você quiser suportar uma VPN de discagem direta do usuário para modems instalados no servidor, marque a caixa de seleção Conexões de roteamento de discagem por demanda (entrada/saída).
  13. Digite o número máximo de conexões PPTP simultâneas que você deseja permitir na caixa de texto Número máximo de portas. (Isso depende do número de endereços IP disponíveis).
  14. Repitas as etapas 11 até 13 para o dispositivo L2TP e clique em OK.

Como configurar o servidor VPN

Para continuar configurando o servidor VPN conforme o exigido, execute estas etapas.

Configurando o servidor de acceso remoto como um roteador

Para que o servidor de acesso remoto faça o tráfego fluir apropriadamente na sua rede, você deve configurá-lo como um roteador com rotas estáticas ou protocolos de roteamento, para que todos os locais na intranet possam ser alcançados pelo servidor de acesso remoto.

Para configurar o servidor como um roteador:
  1. Clique em Iniciar, aponte para Ferramentas administrativas e clique em Roteamento e acesso remoto.
  2. Clique com o botão direito do mouse no nome do servidor e clique em Propriedades.
  3. Na guia Geral, clique para selecionar Ativar esse computador como um roteador.
  4. Selecione Somente roteamento de rede local (LAN) ou Roteamento de discagem por demanda e de rede local e clique em OK para fechar a caixa de diálogo Propriedades.

Como configurar portas PPTP

Verifique o número de portas PPTP que necessita. Para verificar o número de portas ou para adicionar portas, execute estas etapas:
  1. Clique em Iniciar, aponte para Ferramentas administrativas e clique em Roteamento e acesso remoto.
  2. Na árvore do console, expanda Roteamento e acesso remoto, expanda o nome do servidor e clique em Portas.
  3. Clique com o botão direito do mouse em Portas e clique em Propriedades.
  4. Na caixa de diálogo Propriedades de portas, clique em Miniporta de rede remota (PPTP) e clique em Configurar.
  5. Na caixa de diálogo Configurar dispositivo, selecione o número máximo de portas para o dispositivo e selecione as opções para especificar se o dispositivo aceita apenas conexões de entrada ou ambas as conexões de entrada e sáida.

Como gerenciar servidores de endereços e de nomes

O servidor VPN deve ter endereços IP disponíveis para atribuí-los à interface virtual do servidor VPN e aos clientes VPN durante a fase de negociação de IPCP (IP Control Protocol) do processo de conexão. O endereço IP atribuído ao cliente VPN é atribuído à interface virtual do cliente VPN.

Para servidores VPN com Windows 2000, os endereços IP atribuídos aos clientes VPN são obtidos, por padrão, por meio de DHCP. Também é possível configurar um pool de endereço IP estático. O servidor VPN também deve ser configurado com servidores de resolução de nomes, normalmente endereços de servidores DNS e WINS, para atribuir ao cliente VPN durante a negociação IPCP .

Como gerenciar o acesso

Configure as propriedades de discagem nas contas do usuário e nas diretivas de acesso remoto de modo a gerenciar o acesso para a rede dial-up e conexões VPN.

OBSERVAÇÃO: Por padrão, o acesso à rede dial-up é negado.

Acesso por conta de usuário

Se você estiver gerenciando o acesso remoto em uma base por usuários, clique em Permitir acesso na guia Discagem da caixa de diálogo Propriedades do usuário para as contas de usuário que têm permissão para criar conexões VPN. Se o servidor VPN estiver permitindo apenas conexões VPN, exclua a diretiva de acesso remoto chamada "Permite acesso se a permissão de discagem estiver ativada." Crie, então, uma nova diretiva de acesso remoto com um nome descritivo, como Acesso VPN se permitido pela conta do usuário. Para obter mais informações, consulte a Ajuda do Windows 2000.

CUIDADO: Após excluir a diretiva padrão, um cliente dial-up que não corresponde com pelo menos uma das configurações da diretiva criadas por você, terá o acesso negado.

Se o servidor VPN também estiver permitindo serviços de acesso remoto dial-up, não exclua a diretiva padrão, mas a mova de modo a ser a última diretiva avaliada.

Acesso por associação a um grupo

Se você estiver gerenciando acesso remoto em uma base por grupos, clique no botão de opção Controlar acesso através de diretiva de acesso remoto em todas as contas de usuário usando o console Usuários e computadores do Active Directory nas Ferramentas administrativas ou snap-in do MMC. Crie um grupo Windows 2000 com membros que possuam permissão para criar conexões VPN. Se o servidor VPN permitir apenas conexões VPN, exclua a diretiva de acesso remoto padrão chamada Permite acesso se a permissão de discagem estiver ativada. Em seguida, crie uma nova diretiva de acesso remoto com um nome descritivo como Acesso VPN se for membro do grupo com permissão VPN e atribua o grupo Windows 2000 à diretiva.

Se o servidor VPN também permitir serviços de acesso remoto à rede dial-up, não exclua a diretiva padrão, em vez disso a mova de modo a ser a última diretiva avaliada.

Como configurar uma conexão VPN a partir de um computador cliente

Para configurar uma conexão a uma VPN:
  1. No computador cliente, verifique se a conexão com a Internet está configurada corretamente.
  2. Clique em Iniciar, aponte para Configurações e clique em Conexões dial-up e de rede.
  3. Clique duas vezes em Fazer nova conexão.
  4. Clique em Avançar e clique em Conectar-se a uma rede privada pela Internet e clique em Avançar.
  5. Execute um dos seguintes procedimentos:
    • Se você usar uma conexão dial-up para conectar-se à Internet, clique em Discar automaticamente esta conexão inicial e na lista, clique na sua conexão dial-up para a Internet.
    • Se você usar uma conexão integral (como um modem a cabo), clique em Não discar a conexão inicial.
  6. Clique em Avançar.
  7. Digite o nome de host (por exemplo, Microsoft.com) ou o endereço IP (por exemplo, 123.123.123.123) do computador ao qual você deseja se conectar e clique em Avançar.
  8. Clique para selecionar Para todos os usuários se você quiser que a conexão seja disponibilizada para que todos possam efetuar o logon no computador, ou clique para selecionar Somente para mim para torná-la disponível apenas quando você efetuar o logon no computador, e clique em Avançar.
  9. Digite um nome descritivo para essa conexão e clique em Concluir.

    OBSERVAÇÃO: Essa opção está disponível apenas se você estiver conectado como um membro do grupo Administradores.
  10. Clique em Iniciar, aponte para Configurações e clique em Conexões dial-up e de rede.
  11. Clique duas vezes na nova conexão.
  12. Clique em Propriedades para configurar as demais opções para a conexão:
    • Se você estiver se conectando a um domínio, clique na guia Opções e marque a caixa de seleção Incluir domínio de logon do Windows para especificar se é necessário solicitar as informações sobre o domínio de logon do Windows 2000 antes de tentar se conectar.
    • Se você quiser que a conexão seja rediscada caso ela seja interrompida, clique na guia Opções e marque a caixa de seleção Rediscar novamente se a conexão for interrompida.
Para usar a conexão:
  1. Clique em Iniciar, aponte para Configurações e clique em Conexões dial-up e de rede.
  2. Clique duas vezes na nova conexão.
  3. Se você não estiver conectado à Internet no momento, o Windows se oferece para conectar-se com a Internet.
  4. Após a conexão com a Internet ser estabelecida, o servidor VPN solicita o nome de usuário e senha. Digite seu nome de usuário e senha, clique em Conectar e os recursos de rede deverão estar disponíveis para você da mesma maneira que estão quando você se conecta diretamente pela rede.OBSERVAÇÃO: Para se desconectar da VPN, clique com o botão direito do mouse no ícone para a conexão e clique em Desconectar.

Solucionando problemas

Solucionando problemas de VPNs de acesso remoto

Não é possível estabelecer uma conexão VPN de acesso remoto
  • Causa: O nome da máquina do computador cliente é o mesmo que o nome da máquina de outro computador na rede.

    Solução: Verifique se os nomes das máquinas de todos os computadores na rede e dos computadores que se conectam à rede estão usando nomes exclusivos de máquinas.
  • Causa: O serviço Roteamento e acesso remoto não é iniciado no servidor VPN.

    Solução: Verifique o estado do serviço Roteamento e acesso remoto no servidor VPN.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como monitorar o serviço Roteamento e acesso remoto e como iniciar e parar esse serviço.
  • Causa: O acesso remoto não está ativado no servidor VPN.

    Solução: Ativar o acesso remoto no servidor VPN.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como ativar o servidor de acesso remoto.
  • Causa: As portas PPTP ou L2TP não são ativadas para solicitações de acesso remoto de entrada .

    Solução: Ative as portas PPTP ou L2TP, ou ambas, para solicitações de acesso remoto de entrada.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como configurar as portas para acesso remoto.
  • Causa: Os protocolos LAN usados pelos clientes VPN não são ativados para acesso remoto no servidor VPN.

    Solução: Ative os protocolos LAN usados pelos clientes VPN para acesso remoto no servidor VPN.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como ver as propriedades do servidor de acesso remoto.
  • Causa: Todas as portas PPTP ou L2TP no servidor VPN já estão sendo usadas por clientes de acesso remoto ou roteadores de discagem por demanda conectados no momento.

    Solução: Verifique se todas as portas PPTP ou L2TP no servidor VPN já não estão sendo usadas clicando em Portas no Roteador e acesso remoto. Caso seja necessário, altere o número das portas PPTP ou L2TP para permitir mais conexões simultâneas.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como adicionar portas PPTP ou L2TP.
  • Causa: O servidor VPN não suporta o Protocolo de encapsulamento do cliente VPN.

    Por padrão, os clientes VPN de acesso remoto do Windows 2000 usam a opção de tipo de servidor Automático, que significa que eles tentam estabelecer primeiro uma L2TP sobre um conexão VPN com IPSec e, então, tentam uma conexão VPN com base em PPTP. Se os clientes VPN usarem a opção de tipo de servidor Protocolo de encapsulamento ponto a ponto (PPTP) ou Protocolo de encapsulamento de camada 2 (L2TP), verifique se o protocolo de encapsulamento selecionado é suportado pelo servidor VPN.

    Por padrão, um computador que executa o Windows 2000 Server, o serviço Roteamento e o acesso remoto é um servidor PPTP e L2TP com cinco portas L2TP e cinco portas PPTP. Para criar um servidor apenas PPTP, configure o número de portas L2TP para zero. Para criar um servidor apenas L2TP, configure o número de portas PPTP para zero.

    Solução: Verifique se o número apropriado de portas PPTP ou L2TP está configurado.

    Consulte a Ajuda on-line do Windows 2000 para obter mais informações sobre como adicionar portas PPTP ou L2TP.
  • Causa: O cliente VPN e o servidor VPN em conjunto com uma diretiva de acesso remoto não estão configurados para usar pelo menos um método de autenticação comum.

    Solução: Configure o cliente VPN e o servidor VPN em conjunto com uma diretiva de acesso remoto para usar pelo menos um método de autenticação comum.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como configurar a autenticação.
  • Causa: O cliente VPN e o servidor VPN em conjunto com uma diretiva de acesso remoto não estão configurados para usar pelo menos um método de criptografia comum.

    Solução: Configure o cliente VPN e o servidor VPN em conjunto com uma diretiva de acesso remoto para usar pelo menos um método de criptografia comum.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como configurar a criptografia.
  • Causa: A conexão VPN não possui as permissões apropriadas por meio das propriedades de discagem da conta de usuário e das diretivas de acesso remoto.

    Solução: Verifique se a conexão VPN possui as permissões apropriadas por meio das propriedades de discagem da conta de usuário e das diretivas de acesso remoto. Para que a conexão seja estabelecida, as configurações da tentativa de conexão devem:

    • Atender todas as condições de pelo menos uma diretiva de acesso remoto.
    • Receba permissão de acesso remoto pela conta de usuário (defina como Permitir acesso) ou pela conta de usuário (defina como Controlar acesso através de diretiva de acesso remoto) e a permissão de acesso remoto da diretiva de acesso remoto correspondente (defina como Conceder permissão de acesso remoto).
    • Concordar com todas as configurações do perfil.
    • Concordar com todas as configurações das propriedades de discagem da conta de usuário.
    Consulte a Ajuda online do Windows 2000 para ver uma introdução para as diretivas de acesso remoto e para obter mais informações sobre como aceitar uma tentativa de conexão.
  • Causa: As configurações do perfil da diretiva de acesso remoto estão em conflito com as propriedades do servidor VPN.

    As propriedades do perfil da diretiva de acesso remoto e as propriedades do servidor VPN, ambas contêm configurações para:

    • Conexões múltiplas
    • Protocolo de alocação de largura de banda
    • Protocolos de autenticação
    Se as configurações do perfil da diretiva de acesso remoto correspondente estiverem em conflito com as configurações do servidor VPN, a tentativa de conexão será rejeitada. Por exemplo, se o perfil da diretiva de acesso remoto correspondente especificar que o protocolo de autenticação EAP-TLS deve ser usado e o EAP não estiver ativado no servidor VPN, a tentativa de conexão será rejeitada.

    Solução: Verifique se as configurações do perfil da diretiva de acesso remoto não estão em conflito com as propriedades do servidor VPN.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como ativar os protocolos de autenticação e como configurar a autenticação.
  • Causa: O roteador de resposta não consegue validar as credenciais do roteador de chamada (nome de usuário, senha e nome de domínio).

    Solução: Verifique se as credenciais do cliente VPN (nome de usuário, senha e nome de domínio) estão corretas e podem ser validadas pelo servidor VPN.
  • Causa: Não existem endereços suficientes no pool de endereços IP estático.

    Solução: Se o servidor VPN estiver configurado com um pool de endereços IP estático, verifique se existem endereços suficientes no pool. Se todos os endereços no pool estático foram alocados para conectar clientes VPN, o servidor VPN ficará incapaz de alocar um endereço IP e a tentativa de conexão será rejeitada. Se for necessário, modifique o pool de endereços IP estático. Consulte a Ajuda online do Windows 2000 para obter mais informações sobre TCP/IP e acesso remoto e sobre como criar um pool de endereços IP estático.
  • Causa: O cliente VPN está configurado para solicitar seu próprio número de nó IPX e o servidor VPN não está configurado para permitir que clientes IPX solicitem seus próprios números de nó IPX.

    Solução: Configure o servidor VPN para permitir que clientes IPX solicitem seus próprios números de nó IPX.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre IPX e acesso remoto.
  • Causa: O servidor VPN está configurado com um intervalo de números de rede IPX que estão sendo usados em outro lugar na sua rede IPX.

    Solução: Configure o servidor VPN com um intervalo de números de rede IPX exclusivo para sua rede IPX.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre IPX e acesso remoto.
  • Causa: O provedor de autenticação do servidor VPN está configurado incorretamente.

    Solução: Verifique a configuração do provedor de autenticação. É possível configurar o servidor VPN para usar Windows 2000 ou RADIUS para autenticar as credenciais do cliente VPN.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre a autenticação e os provedores de conta e como usar a autenticação RADIUS.
  • Causa: O servidor VPN não pode acessar o Active Directory.


    Solução: Para um servidor VPN que é um servidor membro em um domínio no modo misto ou modo nativo do Windows 2000, configurado para autenticação do Windows 2000, verifique o seguinte:

    • A existência do grupo de segurança Servidores RAS e IAS . Caso não exista, crie o grupo e configure o tipo de grupo para Segurança e o escopo de grupo para Domínio local.
    • O grupo de segurança Servidores RAS e IAS possui permissões de Leitura para o objeto Verificação de acesso dos servidores RAS e IAS.
    • A conta do computador do servidor VPN é um membro do grupo de segurança Servidores RAS e IAS. É possível usar o comando netsh ras show registeredserver para ver o registro atual. É possível usar comando "netsh ras add registeredserver" para registrar o servidor em um domínio específico.

      Se você adicionar (ou remover) o servidor VPN ao grupo de segurança Servidores RAS e IAS, a alteração não terá efeito imediatamente (devido à maneira que o Windows 2000 coloca em cache as informações do Active Directory). Para que as alterações tenham efeito imediatamente, você deve reiniciar seu computador servidor VPN.
    • Para um domínio no modo nativo, o servidor VPN uniu-se ao domínio.
    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como adicionar um grupo, como verificar permissões para o grupo de segurança RAS e IAS e sobre os comandos NetShell para acesso remoto.
  • Causa: Um servidor Windows NT 4.0 VPN não pode validar as solicitações de conexão.

    Solução: Se clientes VPN estiverem discando para um servidor VPN executando o Windows NT 4.0, membro de um domínio no modo misto do Windows 2000, verifique se o grupo Todos foi adicionado ao grupo Acesso compatível anterior ao Windows 2000 com o seguinte comando:
    "net localgroup "Acesso compatível anterior ao Windows 2000""
    Se não tiver sido adicionado, digite o seguinte comando em um prompt de comando em um computador controlador de domínio e reinicie esse computador:
    net localgroup "Acesso compatível anterior ao Windows 2000" everyone /add
    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre o servidor de acesso remoto do Windows NT 4.0 em um domínio do Windows 2000.
  • Causa: O servidor VPN não consegue comunicar-se com o servidor RADIUS configurado.

    Solução: Se o seu servidor RADIUS estiver disponível apenas pela interface da Internet, adicione um filtro de entrada e um filtro de saída à interface da Internet para porta UDP 1812 (com base no RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)"), ou para porta UDP 1645 (para servidores RADIUS mais antigos) para autenticação do RADIUS e para porta UDP 1813 (com base no RFC 2139, "Estatísticas RADIUS"), ou para porta UDP 1646 (para servidores RADIUS mais antigos) para Estatísticas RADIUS.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como adicionar um filtro de pacote.
  • Causa:Não é possível conectar-se a um servidor VPN pela Internet usando o utilitário Ping.exe.

    Solução: Devido à filtragem de pacotes PPTP e L2TP sobre IPSec configurada na interface da Internet do servidor VPN, os pacotes ICMP (Internet Control Message Protocol) usados pelo comando ping são filtrados. Para ativar o servidor VPN para responder aos pacotes ICMP (ping), você precisa adicionar um filtro de entrada e um filtro de saída que permitam o tráfego para protocolo IP 1 (tráfego ICMP).

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como adicionar um filtro de pacote.

Solucionando problemas de VPNs de roteador para roteador

Não é possível estabelecer uma conexão VPN de roteador para roteador
  • Causa: O serviço Roteamento e acesso remoto não é iniciado no cliente VPN (o roteador de chamada) e no servidor VPN (o roteador de resposta).

    Solução: Verifique o estado do serviço Roteamento e acesso remoto no cliente VPN e no servidor VPN.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como monitorar o serviço Roteamento e acesso remoto e como iniciar e parar esse serviço.
  • Causa: Roteamento LAN e WAN não é ativado no roteador de chamada e no roteador de resposta.

    Solução: Ative Roteamento local e remoto (roteadores LAN e WAN) no roteador de chamada e no roteador de resposta.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como ativar o roteamento LAN e WAN.
  • Causa: As portas PPTP ou L2TP não estão ativadas para conexões de roteamento de discagem por demanda de entrada e saída.

    Solução: Ative a porta PPTP ou L2TP, ou ambas, para conexões de roteamento de discagem por demanda de entrada e saída.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como ativar o roteamento nas portas.
  • Causa: Todas as portas PPTP ou L2TP no roteador de chamada ou de resposta estão sendo usadas no momento por clientes de acesso remoto ou roteadores de discagem por demanda conectados.

    Solução: Verifique se todas as portas PPTP ou L2TP no servidor VPN já não estão sendo usadas clicando em Portas no Roteador e acesso remoto. Caso seja necessário, altere o número das portas PPTP ou L2TP para permitir mais conexões simultâneas.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como adicionar portas PPTP ou L2TP.
  • Causa: O roteador de resposta não suporta o protocolo de encapsulamento usado pelo roteador de chamada.

    Por padrão, as interfaces de discagem por demanda do Windows 2000 usam a opção de tipo de servidor Automático, que significa que elas tentam estabelecer primeiro uma L2TP sobre um conexão VPN com base em IPSec e, então, tentam uma conexão VPN com base em PPTP. Se os roteadores de chamada usarem a opção de tipo de servidor Protocolo de encapsulamento ponto a ponto (PPTP) ou Protocolo de encapsulamento de camada 2 (L2TP), verifique se o protocolo de encapsulamento selecionado é suportado pelo roteador de resposta

    Por padrão, um computador que executa Windows 2000 Server, o serviço Roteamento e acesso remoto é um roteador de discagem, por demanda compatível com PPTP e L2TP com cinco portas L2TP e cinco portas PPTP. Para criar um roteador apenas PPTP, configure o número de portas L2TP para zero. Para criar um roteador apenas L2TP, configure o número de portas PPTP para zero.

    Solução: Verifique se o número apropriado de portas PPTP ou L2TP está configurado no roteador de resposta e de chamada.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como adicionar portas PPTP ou L2TP.
  • Causa: O roteador de chamada e o roteador de resposta em conjunto com uma diretiva de acesso remoto não estão configurados para usar pelo menos um método de autenticação comum.

    Solução: Configure o roteador de chamada e o roteador de resposta em conjunto com uma diretiva de acesso remoto para usar pelo menos um método de autenticação comum.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como configurar a autenticação.
  • Causa: O roteador de chamada e o roteador de resposta em conjunto com uma diretiva de acesso remoto não estão configurados para usar pelo menos um método de criptografia comum.

    Solução: Configure o roteador de chamada e o roteador de resposta em conjunto com uma diretiva de acesso remoto para usar pelo menos um método de criptografia comum.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como configurar a criptografia.
  • Causa: A conexão VPN não possui as permissões apropriadas por meio das propriedades de discagem da conta de usuário e das diretivas de acesso remoto.

    Solução: Verifique se a conexão VPN possui as permissões apropriadas por meio das propriedades de discagem da conta de usuário e das diretivas de acesso remoto. Para que a conexão seja estabelecida, as configurações da tentativa de conexão devem:

    • Atender todas as condições de pelo menos uma diretiva de acesso remoto.
    • Receber permissão de acesso remoto pela conta de usuário (defina como Permitir acesso) ou pela conta de usuário (defina como Controlar acesso através de diretiva de acesso remoto) e a permissão de acesso remoto da diretiva de acesso remoto correspondente (defina como Conceder permissão de acesso remoto).
    • Concordar com todas as configurações do perfil.
    • Concordar com todas as configurações das propriedades de discagem da conta de usuário.
    Consulte a Ajuda online do Windows 2000 para uma introdução às diretivas de acesso remoto e para obter mais informações sobre como aceitar uma tentativa de conexão.
  • Causa: As configurações do perfil da diretiva de acesso remoto estão em conflito com as propriedades do roteador de resposta. As propriedades do perfil da diretiva de acesso remoto e as propriedades do roteador de reposta contêm configurações para:

    • Conexões múltiplas
    • Protocolo de alocação de largura de banda
    • Protocolos de autenticação
    Se as configurações do perfil da diretiva de acesso remoto correspondente estiverem em conflito com as configurações do roteador de resposta, a tentativa de conexão será rejeitada. Por exemplo, se o perfil da diretiva de acesso remoto correspondente especificar que o protocolo de autenticação EAP-TLS deve ser usado e o EAP não estiver ativado no roteador de resposta, a tentativa de conexão será rejeitada.

    Solução: Verifique se as configurações do perfil da diretiva de acesso remoto não estão em conflito com as propriedades do roteador de acesso remoto.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como ativar os protocolos de autenticação e como configurar a autenticação.
  • Causa: As credenciais do roteador de chamada (nome de usuário, senha e nome de domínio) estão incorretas e não podem ser validadas pelo roteador de resposta.

    Solução: Verifique se as credenciais do roteador de chamada (nome de usuário, senha e nome de domínio) estão corretas e podem ser validadas pelo roteador de resposta
  • Causa: Não existem endereços suficientes no pool de endereços IP estático.

    Solução: Se o roteador de resposta estiver configurado com um pool de endereços IP estático, verifique se existem endereços suficientes no pool. Se todos os endereços no pool estático foram alocados para roteadores de discagem por demanda ou clientes de acesso remoto conectados, o roteador de resposta ficará incapaz de alocar um endereço IP e a tentativa de conexão será rejeitada. Se for necessário, modifique o pool de endereços IP estático.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre TCP/IP e acesso remoto e sobre como criar um pool de endereços IP estático.
  • Causa: O roteador de resposta está configurado com um intervalo de números de rede IPX que estão em uso em outro lugar na sua rede IPX.

    Solução: Configure o roteador de resposta com um intervalo de números de rede IPX exclusivo para sua rede IPX.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre IPX e acesso remoto.
  • Causa: O provedor de autenticação do roteador de resposta está configurado incorretamente.

    Solução: Verifique a configuração do provedor de autenticação. É possível configurar o roteador de resposta para usar Windows 2000 ou RADIUS para autenticar as credenciais do cliente VPN.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre a autenticação e os provedores de conta e como usar a autenticação RADIUS.
  • Causa: O roteador de resposta não pode acessar o Active Directory.

    Solução: Para um roteador de resposta que é um servidor membro em um domínio no modo misto ou modo nativo do Windows 2000, configurado para autenticação do Windows 2000, verifique o seguinte:

    • A existência do grupo de segurança Servidores RAS e IAS . Caso não exista, crie o grupo e configure o tipo de grupo para Segurança e o escopo de grupo para Domínio local.
    • O grupo de segurança Servidores RAS e IAS possui permissões de Leitura para o objeto Verificação de acesso dos servidores RAS e IAS.
    • A conta do computador do roteador de resposta é um membro do grupo de segurança Servidores RAS e IAS. É possível usar o seguinte comando para ver o registro atual:
      "netsh ras show registeredserver"
      É possível usar o seguinte comando para registrar o servidor em um domínio específico.
      "netsh ras add registeredserver"
      Se você adicionar (ou remover) o roteador de resposta ao grupo de segurança Servidores RAS e IAS, a alteração não terá efeito imediatamente (devido à maneira que o Windows 2000 coloca em cache as informações do Active Directory). Para que as alterações tenham efeito imediatamente, você deve reiniciar o computador com roteador de resposta.
    • Para um domínio no modo nativo, o roteador de resposta uniu-se ao domínio.
    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como adicionar um grupo, como verificar permissões para o grupo de segurança RAS e IAS e sobre os comandos NetShell para acesso remoto.
  • Causa: Um roteador de resposta executando o Windows NT 4.0 com o serviço RRAS (Roteamento e acesso remoto) não pode validar as solicitações de conexão.

    Solução: Se os roteadores de chamada estiverem discando para um roteador de resposta executando o Windows NT 4.0 com RRAS, membro de um domínio no modo misto do Windows 2000, verifique se o grupo Todos foi adicionado ao grupo Acesso compatível anterior ao Windows 2000 com o seguinte comando:
    "net localgroup "Acesso compatível anterior ao Windows 2000""
    Se não tiver sido adicionado, digite o seguinte comando em um prompt de comando em um computador controlador de domínio e reinicie esse computador:
    "net localgroup "Acesso compatível anterior ao Windows 2000" everyone /add"
    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre o servidor de acesso remoto do Windows NT 4.0 em um domínio do Windows 2000.
  • Causa: O roteador de resposta não consegue comunicar-se com o servidor RADIUS configurado.

    Solução: Se o seu servidor RADIUS estiver disponível apenas pela interface da Internet, adicione um filtro de entrada e um filtro de saída à interface da Internet para porta UDP 1812 (com base no RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)"), ou para porta UDP 1645 (para servidores RADIUS mais antigos) para autenticação do RADIUS e para porta UDP 1813 (com base no RFC 2139, "Estatísticas RADIUS"), ou para porta UDP 1646 (para servidores RADIUS mais antigos) para Estatísticas RADIUS.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como adicionar um filtro de pacote.
  • Causa: Não é possível conectar-se com o roteador de resposta a partir da Internet usando o utilitário Ping.exe.

    Solução: Devido à filtragem de pacotes PPTP e L2TP sobre IPSec configurada na interface da Internet do roteador de resposta, os pacotes ICMP (Internet Control Message Protocol) usados pelo comando Ping são filtrados. Para ativar o roteador de resposta de modo a responder aos pacotes ICMP, você deve adicionar um filtro de entrada e um filtro de saída que permitam o tráfego para protocolo IP 1 (tráfego ICMP).

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como adicionar um filtro de pacote.
Não é possível enviar e receber dados
  • Causa: A interface de discagem por demanda apropriada não foi adicionada ao protocolo sendo roteado.

    Solução: Adicione a interface de discagem por demanda apropriada ao protocolo sendo roteado.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como adicionar uma interface de roteamento.
  • Causa: Não existem roteadores em ambos os lados da conexão VPN de roteador para roteador que suporta o intercâmbio de duas vias de tráfego.

    Solução: Diferente de uma conexão VPN de acesso remoto, uma conexão VPN de roteador para roteador não cria automaticamente uma rota padrão. Você deve criar rotas em ambos os lados da conexão VPN de roteador para roteador de modo que o tráfego possa ser roteado para e a partir do outro lado da conexão VPN de rotador para roteador.

    É possível adicionar manualmente rotas estáticas à tabela de roteamento ou adicionar rotas estáticas por meio de protocolos de roteamento. Para conexões VPN persistentes, é possível ativar o OSPF (Open Shortest Path First) ou o RIP (Routing Information Protocol) por toda conexão VPN. Para conexões VPN por demanda, você pode atualizar automaticamente as rotas por meio de uma atualização RIP estática automática. Consulte a Ajuda online do Windows 2000 para obter informações sobre como adicionar um protocolo de roteamento IP, como adicionar um rota estática e como realizar atualizações estáticas automáticas
  • Causa: O roteador de resposta, com início nas duas vias, como uma conexão de acesso remoto está interpretando a conexão VPN roteador para roteador.

    Solução: Se o nome de usuário nas credenciais do roteador de chamada aparecer em Clientes de discagem no Roteador e acesso remoto, o roteador de resposta pode interpretar o roteador de chamada como um cliente de acesso remoto. Verifique se o nome de usuário nas credenciais do roteador de chamada corresponde ao nome da interface de discagem por demanda no roteador de resposta. Se a chamada de entrada for um roteador, a porta na qual a chamada foi recebida mostra um status de Ativo e a interface de discagem por demanda correspondente está em um estado Conectado.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como verificar o status da porta no roteador de resposta e como verificar o status da interface de discagem por demanda.
  • Causa: Filtros de pacote em interfaces de discagem por demanda do roteador de chamada e do roteador de resposta estão impedindo o fluxo do tráfego.

    Solução: Verifique se não existem filtros de pacotes nas interfaces de discagem por demanda do roteador de chamada e do roteador de resposta que impeçam o envio e recebimento de tráfego. É possível configurar cada interface de discagem por demanda com filtros de entrada e saída IP e IPX para controlar a natureza exata do tráfego TCP/IP e IPX que não é permitido na interface de discagem por demanda.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como gerenciar filtros de pacote.
  • Causa: Filtros de pacote no perfil da diretiva de acesso remoto estão impedindo o fluxo de tráfego IP.

    Solução: Verifique se não existem filtros de pacote TCP/IP configurados nas propriedades do perfil das diretivas de acesso remoto no servidor VPN (ou no servidor RADIUS se o Serviço de autenticação na Internet for usado) que estejam impedindo o envio e o recebimento de tráfego TCP/IP. É possível usar diretivas de acesso remoto para configurar filtros de pacote de entrada e saída TCP/IP que controlam a natureza exata do tráfego TCP/IP permitido na conexão VPN. Verifique se os filtros de pacote TCP/IP de perfil não estão impedindo o fluxo do tráfego necessário.

    Consulte a Ajuda online do Windows 2000 para obter mais informações sobre como configurar as opções de IP.



Referências

Para obter informações adicionais sobre como criar uma conexão VPN no Windows XP, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
305550 COMO: Configurar uma conexão VPN à rede corporativa no Windows XP Professional
Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
255784 Aumentando a segurança no servidor VPN do Windows 2000
254018 Como configurar os filtros de entrada para serviços que são executados por trás de uma tradução de endereço de rede
260926 Assistente de Roteamento e acesso remoto para servidor VPN cria filtros de entrada e saída não específicos








Propriedades

ID do artigo: 308208 - Última revisão: sexta-feira, 30 de julho de 2004 - Revisão: 4.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbhowto kbhowtomaster KB308208

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com