Solución de problemas básicos de L2TP/IPSec en Windows XP

Seleccione idioma Seleccione idioma
Id. de artículo: 314831 - Ver los productos a los que se aplica este artículo
Para obtener una versión de este artículo para Microsoft Windows 2000, consulte 259335.
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo ofrece información para ayudarle a solucionar problemas del Protocolo de túnel de capa 2 (L2TP) y de Seguridad del protocolo Internet (IPSec) en Windows XP.

Más información

L2TP es un estándar que permite la transferencia de tráfico del Protocolo punto a punto (PPP) entre distintas redes (según se describe en Request for Comments [RFC] #2661). L2TP se combina con IPSec para proporcionar servicios de túnel y seguridad para el Protocolo Internet (IP), Intercambio de paquetes entre redes (IPX) y otros paquetes de protocolos en cualquier red IP.

L2TP encapsula los paquetes originales dentro de un marco PPP (realizando la compresión siempre que es posible) y dentro de un paquete de tipo Protocolo de datagramas de usuario (UDP) asignado al puerto 1701. Puesto que el formato del paquete UDP es un paquete IP, L2TP utiliza automáticamente IPSec para proteger el túnel, de acuerdo con la configuración de seguridad establecida en la configuración del usuario del túnel L2TP. El protocolo Intercambio de claves por red (IKE) de IPSec negocia la seguridad para el túnel L2TP; la autenticación basada en certificado es la predeterminada. Este proceso de autenticación utiliza certificados de equipo, no certificados de usuario, para comprobar que los equipos de origen y de destino confían el uno en el otro. Si la seguridad de transporte de IPSec se establece correctamente, L2TP negocia el túnel (incluyendo las opciones de compresión y autenticación de usuarios) y realiza el control de acceso basado en la identidad del usuario.

La estructura de los paquetes L2TP/IPSec es similar al ejemplo siguiente. La carga PPP contiene el datagrama IP original y el texto en cursiva representa lo que se cifra con IPSec.
|Encabezado IP|Encabezado ESP de IPSec|Encabezado UDP|Encabezado L2TP|Encabezado PPP|Carga PPP|Finalizador ESP de IPSec|Finalizador Auth de IPSec|
Windows negocia el Protocolo de cifrado punto a punto de Microsoft (MPPE), que puede utilizarse para proteger la carga PPP cuando se usa el Protocolo de autenticación extensible-Seguridad de la capa de transporte (EAP-TLS) o el Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP), cuando el homólogo L2TP (cliente o servidor) lo solicita.

MPPE utiliza el cifrado de flujo RC4 de Rivest-Shamir-Adleman (RSA) y claves secretas de 40, 56 ó 128 bits. Las claves MPPE se generan en el proceso de autenticación de usuarios MS-CHAP y EAP-TLS. El servidor de acceso remoto puede configurarse para solicitar cifrado de datos. Si el cliente de acceso remoto no puede realizar el cifrado necesario, se rechaza el intento de conexión y aparece el mensaje de error siguiente (742):
El equipo remoto no admite el tipo de cifrado de datos requerido.
IPSEC se negocia antes de que se inicie PPP y MPPE se negocia después de iniciarse PPP. PPP se ejecuta sobre L2TP utilizando IPSec. Durante la fase de autenticación de PPP, se envía un nombre de usuario al componente Servidor de acceso remoto (RAS) del servidor de red privada virtual (VPN) utilizando el protocolo de autenticación configurado (por ejemplo, MS-CHAP). El servidor de RAS hace coincidir el nombre de usuario y otras propiedades de llamada con una Directiva de acceso remoto. Cada directiva tiene un perfil y RAS compara las condiciones de la llamada entrante con el perfil para determinar si debe aceptar o no la petición de conexión.

Consideraciones

  • Si el cliente VPN está detrás de algún dispositivo de red que realiza traducción de direcciones de red (NAT), se produce un error en la sesión L2TP porque los paquetes de Carga de seguridad encapsuladora (ESP) cifrados de IPSec resultan dañados. Si el cliente VPN está en el mismo equipo que Conexión compartida a Internet/Traducción de direcciones de red de Windows, probablemente el cliente pueda establecer una sesión L2TP porque NAT no realiza ninguna traducción de direcciones IP ni puertos en los paquetes que se originan en su propio nodo.
  • Necesita un certificado de equipo con una clave privada; puede encontrarlo en el almacén de certificados personales del equipo local. Puede comprobarlo si inicia Microsoft Management Console, MMC.exe, y agrega el complemento Certificados para el equipo local. El usuario debe tener derechos de administrador local.

    Si no se encuentra ningún certificado de equipo, L2TP emite una advertencia para indicar que no tiene ningún certificado, pero L2TP no sabe si el certificado tiene una clave privada correctamente instalada y asociada para el certificado existente. Intercambio de claves por red (IKE) lo determina durante la negociación. Inicie el complemento Certificados (equipo local), haga doble clic en Certificado y compruebe que en General se indica que "Tiene una clave privada correspondiente a este certificado". Compruebe también que la ruta de acceso del certificado es completa y que el certificado es válido.

    El cliente debe tener un certificado de equipo cuya entidad emisora de certificados raíz sea la misma que el certificado de puerta de enlace. IKE graba en el registro de seguridad un suceso que indica la razón del error del certificado. Ambos lados deben poder procesar correctamente la validación de certificados. Si la autenticación del certificado es correcta, una entrada en el registro de seguridad indica el suceso correcto de un establecimiento de SA de modo principal de IPSec (inicio/cierre de sesión).
  • IKE no negocia: Puede comprobar si IPSec está funcionando correctamente si inicia Microsoft Management Console (MMC.exe) y agrega el Monitor de seguridad IP (como administrador local). Establezca las opciones para actualizar en intervalos de un segundo. Si ve que aparece SA de IPSec, IPSec ha funcionado correctamente. Puede concluir que L2TP es la causa del problema. Con las herramientas de soporte de Windows XP instaladas, utilice el comando netdiag /test:ipsec /v /debug para ver los detalles de la directiva de IPSec. (No puede ver toda la directiva si un administrador de dominio ha establecido la directiva en su equipo local.)

    Tenga en cuenta también los problemas siguientes:
    • Tiempo de espera de IKE: IKE puede agotar el tiempo de espera durante la petición inicial de negociación si los enrutadores que hay delante del servidor VPN no permiten el paso a través del puerto UDP 500. IKE también agota el tiempo de espera si el servidor VPN no tiene configurada la directiva de IPSec apropiada, lo que normalmente significa que el servidor RRAS no tiene puertos L2TP habilitados o que una configuración manual de la directiva de IPSec no está configurada correctamente. Cuando IKE agota el tiempo de espera, el registro de auditoría muestra que el homólogo no respondió y una traza de captura de red muestra que los paquetes UDP de ISAKMP sólo se inician desde su cliente. Si se configura específicamente para L2TP, el cliente VPN responde con el mensaje de error siguiente:
      Se agotó el tiempo de espera de la negociación de seguridad.
      Si se configura con Automático, intenta realizar de nuevo la tarea utilizando el siguiente protocolo de su lista, que es PPTP.
    • Error de IKE: No se negocia IKE y las razones del error se graban en el registro de seguridad si habilita auditorías de error de Configuración de seguridad, e Inicio/Cierre de sesión. IKE puede fracasar porque las credenciales del certificado no funcionan o porque hay un problema de configuración en la directiva de IPSec si se ha establecido una directiva manual de IPSec.

      El éxito de la negociación de IKE se graba en el registro de auditoría. Para que toda la negociación de seguridad de IPSec se realice correctamente, necesita un establecimiento de SA de modo principal y un establecimiento de SA de modo rápido para el puerto UDP 1701.
  • Si se produce uno de los síntomas siguientes, IPSec no es la causa del problema:
    • El registro de auditoría muestra un establecimiento correcto de SA de modo principal y un establecimiento correcto de SA de modo rápido.
    • La traza de captura de red muestra que el tráfico ESP se origina desde el cliente o desde el servidor.
    • Ipsecmon.exe muestra una SA de IPSec.
    Tenga en cuenta que siempre se establecen dos SA de IPSec: una por cada dirección, cada una de las cuales tiene su propio índice de parámetro de seguridad (SPI); sin embargo, Ipsecmon.exe sólo muestra la SA de salida.
  • ESP bloqueado: Cuando NAT está delante del cliente o hay enrutadores delante de la VPN, el servidor puede no permitir el paso a través del protocolo 50 (ESP). Aparece el tráfico ESP de salida con el número SPI, pero los paquetes ESP de entrada de la puerta de enlace (con un número SPI diferente) no aparecen.
  • ESP modificado: Si NAT, o quizás un conmutador defectuoso u otro nodo de la red, está modificando o dañando paquetes en algún lugar de la ruta de acceso, el controlador de IPSec elimina los paquetes y aparece el suceso 4285 "Error al autenticar hash" en el registro del sistema del sistema receptor. Una interfaz de red que tenga capacidades de descarga de IPSec puede dañar también los paquetes. Para averiguar si una interfaz dispone de esta capacidad, utilice la herramienta de soporte netsh. Escriba el comando siguiente:
    netsh int ip show offload
  • Si la capacidad de descarga de IPSec de una NIC es la causa sospechosa, inicie una captura de Monitor de red y utilice Ipsecmon.exe para analizar todos los intentos de conexión. Examine el contador "Bytes confidenciales recibidos" de Ipsecmon para determinar si los paquetes se están perdiendo cuando se reciben. También puede establecer el valor del Registro HKLM\System\CurrentControlSet\Services\IPSEC\EnableOffload DWORD en 0. Si la conexión se realiza correctamente, el problema está relacionado con la descarga. Otra alternativa para la solución de problemas consiste en desactivar la directiva automática de IPSec.
  • Si se detuvo el Agente de directivas IPSec mediante el complemento Servicios o con el comando net stop policyagent, se perderá la configuración de directiva IPSec automática de L2TP. Para los clientes VPN, la directiva se sondea automáticamente cuando se inicia el conectoide del cliente. Asegúrese de que el servicio Agente de directivas IPSec se ha iniciado y está en ejecución antes de iniciar el conectoide del cliente. Después de hacer clic en Conectar y cuando se está intentando realizar la conexión, puede utilizar el comando netdiag /test:ipsec /v /debug para ver estadísticas de IPSec y los filtros activos. Tenga en cuenta que no puede utilizar la opción /debug si no dispone de permisos administrativos de dominio.
Para obtener más información acerca de VPN, consulte "Acceso a redes protegidas por privacidad de Microsoft: red privada virtual y seguridad de intranet" en la siguiente ubicación:
http://www.microsoft.com/latam/technet/articulos/windows2k/msppna/
Para obtener información adicional al respecto, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
314067 Cómo solucionar problemas de conectividad TCP/IP con Windows XP
257225 Solución de problemas básicos de IPsec en Microsoft Windows 2000 Server

Propiedades

Id. de artículo: 314831 - Última revisión: viernes, 23 de marzo de 2007 - Versión: 3.0
La información de este artículo se refiere a:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Palabras clave: 
kbhowto kbinfo kbipsec kbtshoot kbtunneling KB314831

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com