Solución de problemas de una conexión de cliente de red privada virtual L2TP/IPSec de Microsoft
En este artículo se describe cómo solucionar problemas de conexión de red privada virtual (VPN) L2TP/IPSec.
Se aplica atodas las ediciones de Windows 10
Número KB original: 325034
Resumen
Debe tener una conexión a Internet para poder realizar una conexión VPN L2TP/IPSec. Si intenta realizar una conexión VPN antes de tener una conexión a Internet, puede experimentar un retraso largo, normalmente de 60 segundos y, a continuación, puede recibir un mensaje de error que indica que no hubo respuesta o que hay algún problema con el módem u otro dispositivo de comunicación.
Al solucionar problemas de conexiones L2TP/IPSec, resulta útil comprender cómo se lleva a cabo una conexión L2TP/IPSec. Al iniciar la conexión, se envía un paquete L2TP inicial al servidor, solicitando una conexión. Este paquete hace que la capa IPSec del equipo negocie con el servidor VPN para configurar una sesión protegida por IPSec (una asociación de seguridad). En función de muchos factores, incluida la velocidad de enlace, las negociaciones de IPSec pueden tardar entre unos segundos y unos dos minutos. Cuando se ha establecido una asociación de seguridad (SA) IPsec, se inicia la sesión L2TP. Al iniciarse, recibirá un mensaje que le pedirá que especifique su nombre y contraseña (a menos que la conexión se haya configurado para conectarse automáticamente en Windows Millennium Edition). Si el servidor VPN acepta el nombre y la contraseña, se completa la configuración de la sesión.
Un error de configuración común en una conexión L2TP/IPSec es un certificado mal configurado o que falta, o una clave previamente compartida mal configurada o que falta. Si la capa IPSec no puede establecer una sesión cifrada con el servidor VPN, se producirá un error sin mensajes. Como resultado, la capa L2TP no ve una respuesta a su solicitud de conexión. Habrá un retraso largo, normalmente de 60 segundos, y luego puede recibir un mensaje de error que indica que no hubo ninguna respuesta del servidor o que no hubo ninguna respuesta del módem o dispositivo de comunicación. Si recibe este mensaje de error antes de recibir el mensaje de nombre y contraseña, IPSec no estableció su sesión. Si esto ocurre, examine el certificado o la configuración de la clave previamente compartida, o envíe el registro isakmp al administrador de red.
Un segundo problema común que impide una sesión de IPSec correcta es el uso de una traducción de direcciones de red (NAT). Muchas redes pequeñas usan un enrutador con funcionalidad NAT para compartir una única dirección de Internet entre todos los equipos de la red. La versión original de IPSec quita una conexión que pasa por una NAT porque detecta la asignación de direcciones de NAT como una alteración de paquetes. Las redes domésticas usan con frecuencia una NAT. Esto bloquea el uso de L2TP/IPSec a menos que el cliente y la puerta de enlace de VPN admitan el estándar de NAT-Traversal (NAT-T) de IPSec emergente. Para obtener más información, consulte la sección "NAT Traversal".
Si se produce un error en la conexión después de recibir el mensaje de su nombre y contraseña, se ha establecido la sesión IPSec y probablemente haya algún problema con su nombre y contraseña. Otras configuraciones de servidor también pueden impedir una conexión L2TP correcta. En este caso, envíe el registro PPP al administrador.
NAT Traversal
Con la compatibilidad con NAT-T de IPSec en el cliente VPN L2TP/IPSec de Microsoft, las sesiones IPSec pueden pasar por una NAT cuando el servidor VPN también admite IPSec NAT-T. IPSec NAT-T es compatible con Windows Server 2003. IPSec NAT-T también es compatible con Windows 2000 Server con la actualización NAT-T L2TP/IPSec para Windows XP y Windows 2000.
Para servidores VPN y puertas de enlace de terceros, póngase en contacto con el administrador o con el proveedor de puerta de enlace VPN para comprobar que se admite IPSec NAT-T.
Más información
La utilidad de configuración también tiene una casilla que habilita el registro de IPSec. Si no se puede conectar y el administrador de red o el personal de soporte técnico le han pedido que le proporcione un registro de conexión, puede habilitar el registro de IPSec aquí. Al hacerlo, el registro (Isakmp.log) se crea en la carpeta C:\Program Files\Microsoft IPSec VPN. Al crear una conexión, habilite también el registro para el procesamiento PPP en L2TP. Para ello:
- Haga clic con el botón derecho en la carpeta Acceso telefónico de red y luego haga clic en Propiedades.
- Haga clic en la pestaña Redes y luego haga clic para seleccionar la casilla de verificación Registrar unª archivo de registro para esta conexión.
El archivo de registro PPP es C:\Windows\Ppplog.txt. Se encuentra en la carpeta C:\Program Files\Microsoft IPSec VPN.
Para obtener más información, consulte Configuración de cifrado predeterminado para el cliente de red privada virtual L2TP/IPSec de Microsoft.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de