Cómo instalar y configurar un servidor de red privada virtual en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 323441 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E323441
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo paso a paso se describe cómo instalar una red privada virtual (VPN) y cómo crear una nueva conexión VPN en servidores que ejecutan Windows Server 2003.

Con una red privada virtual puede conectar componentes de red a través de otra red, por ejemplo Internet. Puede convertir un equipo basado en Windows Server 2003 en un servidor de acceso remoto de forma que otros usuarios puedan conectarse a él mediante VPN y, a continuación, puedan iniciar sesión en la red y tener acceso a los recursos compartidos. Las VPN implementan "túneles" a través de Internet o de otra red pública de manera que proporcionan la misma seguridad y funcionalidad que una red privada. Los datos se envían a través de la red pública utilizando su infraestructura de enrutamiento, pero para el usuario parece como si los datos se enviaran a través de un vínculo privado dedicado.



Introducción a las VPN

Una red privada virtual es una forma de conectarse a una red privada (por ejemplo, la red de su oficina) mediante una red pública (como Internet). Una VPN combina las ventajas de una conexión de acceso telefónico a un servidor con la facilidad y flexibilidad de una conexión a Internet. Mediante la conexión a Internet, puede viajar por todo el mundo y aún así, en la mayoría de los sitios, se podrá conectar con su oficina mediante una llamada local al número de teléfono de acceso a Internet más próximo. Si dispone de una conexión a Internet de alta velocidad (por ejemplo, por cable o DSL) en su equipo (y en su oficina), podrá comunicarse con su oficina a la velocidad máxima de Internet, lo cual resulta mucho más rápido que cualquier conexión de acceso telefónico que utilice un módem analógico. Esta tecnología permite a una empresa conectar con sus sucursales o con otras compañías a través de una red pública al tiempo que mantiene unas comunicaciones seguras. La conexión VPN a través de Internet funciona de manera lógica como un vínculo dedicado de red de área extensa (WAN).

Las redes privadas virtuales utilizan vínculos autenticados para asegurarse de que sólo los usuarios autorizados pueden conectarse a la red. Para asegurarse de que los datos están seguros mientras viajan a través de la red pública, una conexión VPN utiliza el Protocolo de túnel punto a punto (PPTP) o el Protocolo de túnel de capa 2 (L2TP) para cifrar los datos.

Componentes de una VPN

Una VPN en servidores que ejecutan Windows Server 2003 consiste en un servidor VPN, un cliente VPN, una conexión VPN (la parte de la conexión en la que los datos están cifrados) y el túnel (la parte de la conexión en la que los datos están encapsulados). Los túneles se realizan a través de uno de los protocolos de túnel que se incluyen con los servidores que ejecutan Windows Server 2003, los cuales se instalan con el servicio Enrutamiento y acceso remoto. El servicio Enrutamiento y acceso remoto se instala automáticamente durante la instalación de Windows Server 2003. Sin embargo, de forma predeterminada, el servicio Enrutamiento y acceso remoto está desactivado.
Los dos protocolos de túnel que se incluyen con Windows son:
  • Protocolo de túnel punto a punto (PPTP): proporciona cifrado de datos mediante el Cifrado punto a punto de Microsoft.
  • Protocolo de túnel de capa 2 (L2TP): proporciona cifrado de datos, autenticación e integridad mediante IPSec.
La conexión a Internet debe utilizar una línea dedicada como T1, T1 fraccional o Frame Relay. El adaptador WAN debe estar configurado con la dirección IP y la máscara de subred asignadas al dominio o proporcionadas por un proveedor de servicios Internet (ISP). El adaptador WAN también debe estar configurado como puerta de enlace predeterminada del enrutador del ISP.

NOTA: para activar la VPN, debe haber iniciado sesión con una cuenta que tenga derechos administrativos.

Cómo instalar y activar un servidor VPN

Para instalar y activar un servidor VPN, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
  2. Haga clic en el icono de servidor correspondiente al nombre del servidor local en el panel izquierdo de la consola. Si el icono tiene un círculo de color rojo en la esquina inferior izquierda, el servicio Enrutamiento y acceso remoto no está activado. Si el icono tiene una flecha de color verde que señala hacia arriba en la esquina inferior izquierda, el servicio Enrutamiento y acceso remoto está activado. Si el servicio Enrutamiento y acceso remoto se activó previamente, quizás desee volver a configurar el servidor. Para reconfigurar el servidor:
    1. Haga clic con el botón secundario del mouse (ratón) en el objeto servidor y, después, haga clic en Deshabilitar el enrutamiento y el acceso remoto. Haga clic en para continuar cuando aparezca un mensaje informativo.
    2. Haga clic con el botón secundario del mouse en el icono del servidor y, después, haga clic en Configurar y habilitar Enrutamiento y acceso remoto para iniciar el Asistente para instalación del servidor de enrutamiento y acceso remoto. Haga clic en Siguiente para continuar.
    3. Haga clic en Acceso remoto (acceso telefónico o red privada virtual) para activar los equipos remotos de forma que puedan marcar o conectarse a esta red a través de Internet. Haga clic en Siguiente para continuar.
  3. Active VPN o Acceso telefónico, dependiendo de la función que vaya a asignar a este servidor.
  4. En la ventana Conexión VPN, haga clic en la interfaz de red conectada a Internet y, después, haga clic en Siguiente.
  5. En la ventana Asignación de direcciones IP, haga clic en Automáticamente si se va a utilizar un servidor DHCP para asignar direcciones a clientes remotos o haga clic en De un intervalo de direcciones especificado si los clientes remotos sólo deben recibir direcciones de un conjunto predefinido. En la mayoría de los casos, la opción DHCP es más fácil de administrar. Sin embargo, si DHCP no está disponible, debe especificar un intervalo de direcciones estáticas. Haga clic en Siguiente para continuar.
  6. Si hizo clic en De un intervalo de direcciones especificado, se abrirá el cuadro de diálogo Asignación de intervalo de direcciones. Haga clic en Nuevo. Escriba la primera dirección IP del intervalo de direcciones que desee utilizar en el cuadro Dirección IP inicial. Escriba la última dirección IP del intervalo en el cuadro Dirección IP final. Windows calcula automáticamente el número de direcciones. Haga clic en Aceptar para volver a la ventana Asignación de intervalo de direcciones. Haga clic en Siguiente para continuar.
  7. Acepte la opción predeterminada No, usar Enrutamiento y acceso remoto para autenticar las solicitudes de conexión y haga clic en Siguiente para continuar. Haga clic en Finalizar para activar el servicio Enrutamiento y acceso remoto, y para configurar el servidor como servidor de acceso remoto.

Cómo configurar el servidor VPN

Para seguir configurando el servidor VPN como sea necesario, siga estos pasos.

Cómo configurar el servidor de acceso remoto como enrutador

Para que el servidor de acceso remoto reenvíe el tráfico correctamente dentro de la red, debe configurarlo como un enrutador con rutas estáticas o con protocolos de enrutamiento de forma que se pueda llegar a todas las ubicaciones de la intranet desde él.

Para configurar el servidor como un enrutador:
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
  2. Haga clic con el botón secundario del mouse en el nombre del servidor y, a continuación, haga clic en Propiedades.
  3. Haga clic en la ficha General y, a continuación, active Enrutador bajo Habilitar este equipo como.
  4. Haga clic en Enrutamiento LAN y de marcado a petición y, después, haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.

Cómo modificar el número de conexiones simultáneas

El número de conexiones de módem de acceso telefónico depende del número de módems que se instalan en el servidor. Por ejemplo, si sólo hay un módem instalado en el servidor, sólo se dispone de una conexión por módem cada vez.

El número de conexiones VPN de acceso telefónico depende del número de usuarios simultáneos que desee permitir. De manera predeterminada, al ejecutar el procedimiento descrito en este artículo se permiten 128 conexiones. Para cambiar el número de conexiones simultáneas, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
  2. Haga doble clic en el objeto de servidor, haga clic con el botón secundario del mouse en Puertos y, después, haga clic en Propiedades.
  3. En el cuadro de diálogo Propiedades de Puertos, haga clic en Minipuerto WAN (PPTP) y, después, haga clic en Configurar.
  4. En el cuadro Número máximo de puertos, escriba el número de conexiones VPN que desea permitir.
  5. Haga clic en Aceptar, haga clic de nuevo en Aceptar, y cierre Enrutamiento y acceso remoto.

Cómo administrar direcciones y servidores de nombres

El servidor VPN debe tener disponibles las direcciones IP que asignará a la interfaz del servidor virtual VPN y a los clientes VPN durante la fase de negociación del proceso de conexión del Protocolo de control de IP (IPCP). La dirección IP asignada al cliente VPN se asigna a la interfaz virtual del mismo.

Para los servidores VPN basados en Windows Server 2003, las direcciones IP asignadas a clientes VPN se obtienen de manera predeterminada mediante DHPC. Asimismo, puede configurar un conjunto de direcciones IP estáticas. El servidor VPN también debe estar configurado con servidores de resolución de nombres, generalmente direcciones de servidores DNS y WINS, para asignar al cliente VPN durante la negociación de IPCP.

Cómo administrar el acceso

Configure las propiedades de acceso telefónico en las cuentas de usuario y en las directivas de acceso remoto para administrar el acceso a las conexiones de acceso telefónico y a las conexiones VPN.

NOTA: de manera predeterminada, se deniega a los usuarios el acceso telefónico a redes.

Acceso mediante cuentas de usuario

Para conceder acceso telefónico a una cuenta de usuario si está administrando el acceso remoto de cada uno de los usuarios, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory.
  2. Haga clic con el botón secundario del mouse en la cuenta del usuario y, a continuación, haga clic en Propiedades.
  3. Haga clic en la ficha Marcado.
  4. Haga clic en Permitir acceso para conceder al usuario permiso de marcado. Haga clic en Aceptar.

Acceso mediante la pertenencia a grupos

Si administra el acceso remoto basándose en grupos, siga estos pasos:
  1. Cree un grupo que contenga los miembros a los que se les permite crear conexiones VPN.
  2. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
  3. En el árbol de consola, expanda Enrutamiento y acceso remoto, expanda el nombre del servidor y haga clic en Directivas de acceso remoto.
  4. Haga clic con el botón secundario del mouse en cualquier lugar del panel de la derecha, seleccione Nuevo y haga clic en Directiva de acceso remoto.
  5. Haga clic en Siguiente, escriba el nombre de la directiva y haga clic en Siguiente.
  6. Haga clic en VPN para el método de acceso a una red privada virtual o en Marcado para el acceso telefónico y, después, haga clic en Siguiente.
  7. Haga clic en Agregar, escriba el nombre del grupo que ha creado en el paso 1 y haga clic en Siguiente.
  8. Siga las instrucciones que aparecerán en la pantalla para finalizar el asistente.


Si el servidor VPN ya permite los servicios de acceso telefónico a redes remoto, no elimine la directiva predeterminada. En lugar de ello, muévala de forma que sea la última directiva en evaluarse.

Cómo configurar una conexión VPN desde un equipo cliente

Para configurar una conexión con una VPN, siga estos pasos. Para configurar un cliente para acceso a una red privada virtual, siga estos pasos en la estación de trabajo cliente:

NOTA: para poder seguir estos pasos, debe haber iniciado sesión como miembro del grupo Administradores.

NOTA: como hay varias versiones de Microsoft Windows, los pasos siguientes pueden ser diferentes en su equipo. Si es así, consulte la documentación del producto para completarlos.
  1. En el equipo cliente, confirme que la conexión a Internet está configurada correctamente.
  2. Haga clic sucesivamente en Inicio, Panel de control y Conexiones de red. En Tareas de red, haga clic en Crear una conexión nueva y, a continuación, haga clic en Siguiente.
  3. Haga clic en Conectarse a la red de mi lugar de trabajo para crear la conexión de acceso telefónico. Haga clic en Siguiente para continuar.
  4. Haga clic en Conexión de red privada virtual y, después, haga clic en Siguiente.
  5. Escriba un nombre descriptivo para esta conexión en el cuadro de diálogo Nombre de la organización y haga clic en Siguiente.
  6. Si el equipo está conectado a Internet de forma permanente, haga clic en No usar la conexión inicial. Si el equipo se conecta a Internet a través de un proveedor de servicios Internet (ISP), haga clic en Usar automáticamente esta conexión inicial y, después, haga clic en el nombre de la conexión con el ISP. Haga clic en Siguiente.
  7. Escriba la dirección IP o el nombre de host del equipo servidor VPN (por ejemplo, ServidorVPN.DominioDeEjemplo.com).
  8. Si desea permitir que cualquier usuario que inicie sesión en la estación de trabajo tenga acceso a esta conexión telefónica, haga clic en El uso de cualquier persona. Si desea que la conexión sólo esté disponible para el usuario que ha iniciado sesión actualmente, haga clic en Sólo para mi uso. Haga clic en Siguiente.
  9. Haga clic en Finalizar para guardar la conexión.
  10. Haga clic sucesivamente en Inicio, Panel de control y Conexiones de red.
  11. Haga doble clic en la nueva conexión.
  12. Haga clic en Propiedades para seguir configurando opciones para la conexión. Para seguir configurando opciones para la conexión, siga estos pasos:
    • Si se va a conectar a un dominio, haga clic en la ficha Opciones y active la casilla de verificación Incluir el dominio de inicio de sesión de Windows para especificar si se va a solicitar información de dominio de inicio de sesión de Windows Server 2003 antes de intentar la conexión.
    • Si desea que se vuelva a marcar en caso de que la conexión se interrumpa, haga clic en la ficha Opciones y active la casilla de verificación Volver a marcar si se interrumpe la línea.
Para utilizar la conexión, siga estos pasos:
  1. Haga clic en Inicio, seleccione Conectar a y haga clic en la nueva conexión.
  2. Si actualmente no está conectado a Internet, Windows le ofrece la posibilidad de conectarse.
  3. Una vez realizada la conexión a Internet, el servidor VPN le pide su nombre de usuario y su contraseña. Escriba su nombre de usuario y su contraseña; a continuación, haga clic en Conectar.
    Sus recursos de red deben estar disponibles de la misma manera que cuando se conecta directamente a la red.NOTA: para desconectarse de la VPN, haga clic con el botón secundario del mouse en el icono de la conexión y, a continuación, haga clic en Desconectar.

Solucionar problemas

Solucionar problemas de VPN de acceso remoto

No se puede establecer una conexión VPN de acceso remoto
  • Causa: el nombre del equipo cliente es igual que el nombre de otro equipo de la red.

    Solución: compruebe que todos los equipos de la red y los equipos que se conectan a la red utilizan nombres de equipo únicos.
  • Causa: el servicio Enrutamiento y acceso remoto no se inició en el servidor VPN.

    Solución: compruebe el estado del servicio Enrutamiento y acceso remoto en el servidor VPN.

    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo controlar el servicio Enrutamiento y acceso remoto, y cómo iniciar y detener dicho servicio. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: el acceso remoto no está activado en el servidor VPN.

    Solución: active el acceso remoto en el servidor VPN.

    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo activar el servidor de acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: los puertos PPTP o L2TP no están activados para las solicitudes entrantes de acceso remoto.

    Solución: active los puertos PPTP, L2TP o ambos, para las solicitudes entrantes de acceso remoto.

    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo configurar los puertos para acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: los protocolos LAN que utilizan los clientes VPN no están activados para el acceso remoto en el servidor VPN.

    Solución: active los protocolos LAN que utilizan los clientes VPN para el acceso remoto en el servidor VPN.

    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo ver las propiedades del servidor de acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: todos los puertos PPTP o L2TP del servidor VPN ya están siendo utilizados por clientes de acceso remoto conectados o por enrutadores de marcado a petición.

    Solución: compruebe que todos los puertos PPTP o L2TP del servidor VPN ya se están utilizando. Para ello, haga clic en Puertos en Enrutamiento y acceso remoto. Si el número de puertos PPTP o L2TP permitidos no es suficientemente alto, cámbielo para permitir más conexiones simultáneas.

    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo agregar puertos PPTP o L2TP. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: el servidor VPN no admite el protocolo de túnel del cliente VPN.

    De manera predeterminada, los clientes VPN de acceso remoto de Windows Server 2003 utilizan la opción de tipo de servidor Automático, lo que significa que intentarán establecer primero una conexión VPN basada en L2TP sobre IPSec y, a continuación, intentarán una conexión VPN basada en PPTP. Si los clientes VPN utilizan la opción de tipo de servidor Protocolo de túnel punto a punto (PPTP) o Protocolo de túnel de capa 2 (L2TP), compruebe que el servidor VPN admite el protocolo de túnel seleccionado.

    De manera predeterminada, un equipo que ejecute Windows Server 2003 y el servicio Enrutamiento y acceso remoto es un servidor PPTP y L2TP con cinco puertos L2TP y cinco puertos PPTP. Para crear un servidor que sea sólo PPTP, establezca el número de puertos L2TP en cero. Para crear un servidor que sea sólo L2TP, establezca el número de puertos PPTP en cero.

    Solución: compruebe que se ha configurado el número apropiado de puertos PPTP o L2TP.

    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo agregar puertos PPTP o L2TP. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: el cliente VPN y el servidor VPN junto con una directiva de acceso remoto no están configurados para utilizar al menos un método de autenticación común.

    Solución: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para utilizar al menos un método de autenticación común.

    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo configurar la autenticación. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: el cliente VPN y el servidor VPN junto con una directiva de acceso remoto no están configurados para utilizar al menos un método de cifrado común.

    Solución: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para utilizar al menos un método de cifrado común.

    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo configurar el cifrado. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: la conexión VPN no tiene los permisos apropiados mediante las propiedades de acceso telefónico de la cuenta de usuario y las directivas de acceso remoto.

    Solución: compruebe que la conexión VPN tiene los permisos apropiados a través de las propiedades de acceso telefónico de la cuenta de usuario y las directivas de acceso remoto. Para que se establezca la conexión, la configuración del intento de conexión debe:
    • Cumplir todas las condiciones de al menos una directiva de acceso remoto.
    • Obtener el permiso de acceso remoto a través de la cuenta de usuario (establecido como Permitir acceso) o a través de la cuenta de usuario (establecido como Controlar acceso a través de la directiva de acceso remoto) y el permiso de acceso remoto de la directiva de acceso remoto coincidente (establecido como Conceder permiso de acceso remoto).
    • Coincidir con todas las opciones de configuración del perfil.
    • Coincidir con la configuración de las propiedades de acceso telefónico de la cuenta de usuario.
    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener una introducción a las directivas de acceso remoto y más información acerca de cómo aceptar un intento de conexión. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: la configuración del perfil de la directiva de acceso remoto entra en conflicto con las propiedades del servidor VPN.

    Las propiedades del perfil de la directiva de acceso remoto y las propiedades del servidor VNP contienen opciones de configuración para:
    • Multivínculo.
    • Protocolo de asignación de ancho de banda (BAP).
    • Protocolos de autenticación.
    Si la configuración del perfil de la directiva de acceso remoto coincidente entra en conflicto con la configuración del servidor VPN, se rechaza el intento de conexión. Por ejemplo, si el perfil de directiva de acceso remoto coincidente especifica que debe utilizarse el Protocolo de autenticación extensible Seguridad de nivel de transporte (EAP-TLS, Extensible Authentication Protocol - Transport Level Security) y EAP no está habilitado en el servidor VPN, se rechaza el intento de conexión.

    Solución: compruebe que la configuración del perfil de la directiva de acceso remoto no entra en conflicto con las propiedades del servidor VPN.

    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca del multivínculo, BAP y los protocolos de autenticación. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: el enrutador de respuesta no puede validar las credenciales del enrutador de llamada (nombre de usuario, contraseña y nombre de dominio).

    Solución: compruebe que las credenciales del cliente VPN (nombre de usuario, contraseña y nombre de dominio) son correctas y pueden ser validadas por el servidor VPN.
  • Causa: no hay suficientes direcciones en el conjunto de direcciones IP estáticas.

    Solución: si el servidor VPN está configurado con un conjunto de direcciones IP estáticas, compruebe que hay suficientes direcciones en el conjunto. Si todas las direcciones del conjunto estático se han asignado a clientes VPN conectados, el servidor VPN no puede asignar una dirección IP y el intento de conexión se rechaza. Si se han asignado todas las direcciones del conjunto estático, modifique el conjunto. Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de TCP/IP y el acceso remoto, y acerca de cómo crear un conjunto de direcciones IP estáticas. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: el cliente VPN está configurado para solicitar su propio número de nodo IPX y el servidor VPN no está configurado para permitir que los clientes IPX soliciten su propio número de nodo IPX.

    Solución: configure el servidor VPN para permitir que los clientes IPX soliciten su propio número de nodo IPX.

    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de IPX y el acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: el servidor VPN está configurado con un intervalo de números de red IPX que se están utilizando en otro lugar de la red IPX.

    Solución: configure el servidor VPN con un intervalo de números de red IPX que sea único en la red IPX.

    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de IPX y el acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: el proveedor de autenticación del servidor VNP no está configurado correctamente.

    Solución: compruebe la configuración del proveedor de autenticación. Puede configurar el servidor VPN para utilizar Windows Server 2003 o el Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) para autenticar las credenciales del cliente VPN.

    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de los proveedores de autenticación y de cuentas, y acerca de cómo utilizar la autenticación RADIUS. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: el servidor VPN no puede tener acceso a Active Directory.


    Solución: en el caso de un servidor VPN que sea servidor miembro de un dominio de Windows Server 2003 en modo mixto o en modo nativo que esté configurado para la autenticación de Windows Server 2003, compruebe lo siguiente:
    • Existe el grupo de seguridad Servidores RAS e IAS. Si no existe, cree el grupo y establezca su tipo como Seguridad y su ámbito como Dominio local.
    • El grupo de seguridad Servidores RAS e IAS tiene permiso de lectura para el objeto Comprobación de acceso a servidores RAS e IAS.
    • La cuenta del equipo servidor VPN es miembro del grupo de seguridad Servidores RAS e IAS. Puede usar el comando netsh ras show registeredserver para ver el registro actual. Utilice el comando netsh ras add registeredserver para registrar el servidor en un dominio específico.

      Si agrega el equipo servidor VPN al grupo de seguridad Servidores RAS e IAS o lo quita, el cambio no surtirá efecto inmediatamente (debido a la manera en la que Windows Server 2003 almacena en caché la información de Active Directory). Para que el cambio surta efecto inmediatamente, reinicie el equipo servidor VPN.
    • El servidor VPN es miembro del dominio.
    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo agregar un grupo, cómo comprobar los permisos para el grupo de seguridad RAS e IAS y acerca de los comandos netsh para acceso remoto. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: un servidor VPN basado en Windows NT 4.0 no puede validar las solicitudes de conexión.

    Solución: si los clientes VPN llaman a un servidor VPN con Windows NT 4.0 que es miembro de un dominio en modo mixto de Windows Server 2003, compruebe que el grupo Todos se ha agregado al grupo Acceso compatible con versiones anteriores de Windows 2000 mediante el comando siguiente:
    "net localgroup "Acceso compatible con versiones anteriores de Windows 2000""
    Si no se ha agregado, escriba el comando siguiente en el símbolo del sistema de un equipo controlador de dominio y reinicie el equipo controlador de dominio:
    net localgroup "Acceso compatible con versiones anteriores de Windows 2000" everyone /add
    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca del servidor de acceso remoto de Windows NT 4.0 en un dominio de Windows Server 2003. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: el servidor VPN no puede comunicar con el servidor RADIUS configurado.

    Solución: si sólo puede llegar al servidor RADIUS a través de la interfaz de Internet, siga uno de estos procedimientos:
    • Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1812 (basado en RFC 2138, "Servicio de usuario de acceso telefónico de autenticación remota (RADIUS)"). O bien
    • Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1645 (en el caso de servidores RADIUS antiguos), para autenticación RADIUS y el puerto UDP 1813 (basado en RFC 2139, "Administración de cuentas RADIUS"). O bien

    • Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1646 (en el caso de servidores RADIUS antiguos) para la administración de cuentas RADIUS.
    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo agregar un filtro de paquetes. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: no se puede conectar con el servidor VPN a través de Internet mediante la utilidad Ping.exe.

    Solución: debido al filtrado de paquetes de PPTP y L2TP sobre IPSec configurado en la interfaz de Internet del servidor VPN, se filtran los paquetes del Protocolo de mensajes de control de Internet (ICMP) utilizados por el comando ping. Para activar el servidor VPN de forma que responda a los paquetes ICMP (ping), agregue un filtro de entrada y un filtro de salida que permitan el tráfico para el protocolo IP 1 (tráfico ICMP).

    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo agregar un filtro de paquetes. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
No se puede enviar o recibir datos
  • Causa: no se ha agregado la interfaz de marcado a petición apropiada al protocolo que se está enrutando.

    Solución: agregue la interfaz de marcado a petición apropiada al protocolo que se está enrutando.

    Consulte el Centro de ayuda y soporte técnico de Windows Server 2003 para obtener más información acerca de cómo agregar una interfaz de enrutamiento. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: no existen rutas en ninguno de los dos lados de la conexión VPN de enrutador a enrutador que permitan el intercambio de tráfico en los dos sentidos.

    Solución: a diferencia de las conexiones VPN de acceso remoto, una conexión VPN de enrutador a enrutador no crea automáticamente una ruta predeterminada. Debe crear rutas en ambos lados de la conexión VPN de enrutador a enrutador para que se pueda enrutar el tráfico hacia y desde el otro lado de la conexión VPN de enrutador a enrutador.

    Puede agregar rutas estáticas a la tabla de enrutamiento manualmente o puede agregarlas mediante protocolos de enrutamiento. Para conexiones VPN persistentes, puede activar Abrir primero la ruta de acceso más corta (OSPF, Open Shortest Path First o el Protocolo de información de enrutamiento (RIP, Routing Information Protocol) en la conexión VPN. En el caso de las conexiones VPN a petición, puede actualizar las rutas automáticamente mediante una actualización RIP autoestática. Vea la Ayuda en pantalla de Windows Server 2003 para obtener más información acerca de cómo agregar un protocolo de enrutamiento IP, cómo agregar una ruta estática y cómo realizar actualizaciones autoestáticas. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: el enrutador que responde, que se ha iniciado en dos sentidos como conexión de acceso remoto, está interpretando una conexión VPN de enrutador a enrutador.

    Solución: si el nombre de usuario de las credenciales del enrutador que llama aparece bajo Clientes de marcado en Enrutamiento y acceso remoto, el enrutador que responde puede interpretar que el enrutador que llama es un cliente de acceso remoto. Compruebe que el nombre de usuario de las credenciales del enrutador que llama coincide con el nombre de una interfaz de marcado a petición del enrutador que responde. Si el elemento que realiza la llamada entrante es un enrutador, el puerto en el que se recibió la llamada muestra el estado Activo y la interfaz de marcado a petición correspondiente tiene el estado Conectado.

    Vea la Ayuda en pantalla de Windows Server 2003 para obtener más información acerca de cómo comprobar el estado del puerto en el enrutador que responde y de la interfaz de marcado a petición. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: los filtros de paquetes de las interfaces de marcado a petición del enrutador que llama y del que responde impiden el flujo de tráfico.

    Solución: compruebe que en las interfaces de marcado a petición del enrutador que llama y del que responde no hay filtros de paquetes que impidan enviar o recibir tráfico. Puede configurar cada interfaz de marcado a petición con filtros de entrada y de salida IP e IPX para controlar la naturaleza exacta del tráfico TCP/IP e IPX al que se permite entrar y salir de la interfaz de marcado a petición.

    Vea la Ayuda en pantalla de Windows Server 2003 para obtener más información acerca de cómo administrar los filtros de paquetes. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.
  • Causa: los filtros de paquetes del perfil de la directiva de acceso remoto impiden el flujo del tráfico IP.

    Solución: compruebe que no hay filtros de paquetes TCP/IP configurados en las propiedades del perfil de las directivas de acceso remoto en el servidor VPN (o el servidor RADIUS si se usa el Servicio de autenticación Internet) que impidan el envío o la recepción del trafico TCP/IP. Puede utilizar directivas de acceso remoto para configurar filtros de paquetes TCP/IP de entrada y salida que controlen la naturaleza exacta del tráfico TCPIP permitido en la conexión VPN. Compruebe que los filtros de paquetes TCP/IP del perfil no impiden el flujo de tráfico.

    Vea la Ayuda en pantalla de Windows Server 2003 para obtener más información acerca de cómo configurar las opciones IP. Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte técnico de Windows Server 2003.



Propiedades

Id. de artículo: 323441 - Última revisión: lunes, 03 de diciembre de 2007 - Versión: 8.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palabras clave: 
kbhowtomaster kbnetwork kbpubtypekc KB323441

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com