Cómo configurar un túnel de IPSec en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 816514 - Ver los productos a los que se aplica este artículo
Para obtener una versión de Microsoft Windows 2000 de este artículo, consulte 252735.
Expandir todo | Contraer todo

En esta página

Resumen

Puede usar Seguridad IP (IPSec) en el modo de túnel para encapsular paquetes de Protocolo Internet (IP, <i>Internet Protocol</i>) y, si lo desea, cifrarlos. La razón principal para utilizar el modo de túnel IPSec (a veces denominado "túnel IPSec puro") en Windows Server 2003 es conseguir interoperabilidad con enrutadores que no sean de Microsoft o puertas de enlace que no admiten, o protocolo de túnel 2 (L2TP) de capa / IPSec o PPTP privadas virtuales (VPN) de tecnología de túneles de red.

back to the top
Windows Server 2003 admite túneles IPSec para situaciones donde ambos extremos del túnel tengan direcciones IP estáticas. Esto es principalmente útil en implementaciones de puerta de enlace a puerta de enlace. Sin embargo, también puede funcionar para escenarios de seguridad de red especializada entre una puerta de enlace o enrutador y un servidor. (Por ejemplo, un enrutador de Windows Server 2003 enruta el tráfico desde su interfaz externa a un equipo basado en Windows Server 2003 interno que asegura la ruta de acceso interna mediante el establecimiento de un túnel IPSec al servidor interno proporciona servicios a los clientes externos).

Los túneles IPSec de Windows Server 2003 no se admiten para el acceso de cliente remoto VPN utilice porque las solicitudes de IPSec de Internet Engineering Task Force (IETF) de comentarios (RFC) actualmente no proporcionan una solución de acceso remoto en intercambio de claves de Internet (IKE) protocolo para conexiones de cliente a puerta de enlace. RFC 2661 de IETF, Protocolo de túnel de capa 2 "L2TP", fue desarrollado específicamente por Cisco, Microsoft y otros para proporcionar conexiones VPN de acceso remoto de cliente. En Windows Server 2003, estas conexiones VPN de acceso remoto de clientes se protegen con una directiva IPSec generada automáticamente que usa el modo de transporte de IPSec (no modo de túnel) cuando se selecciona el tipo de túnel L2TP.

Túnel IPSec de Windows Server 2003 también no admite túneles de puerto específicas y específicas de protocolo. Aunque el complemento Directiva de IPSec de Microsoft Management Console (MMC) es muy general y le permite asociar cualquier tipo de filtro con un túnel, asegúrese de que utiliza sólo información de dirección en la especificación de un filtro para una regla de túnel.

Para obtener más información acerca de cómo funcionan los protocolos IPSec e IKE, consulte el Kit de recursos de Windows Server 2003 .

En este artículo describe cómo configurar una IPSec túnel en una puerta de enlace de Windows Server 2003. Como el túnel IPSec asegura el tráfico sólo que se especifica en el IPSec filtros que configure, en este artículo también describe cómo configurar filtros en el servicio Enrutamiento y acceso remoto para evitar que el tráfico fuera del túnel se recibe o se reenvíe. En este artículo se utiliza el siguiente escenario para fáciles de seguir los pasos de configuración:

Contraer esta tablaAmpliar esta tabla
RedA-
WIN2003intIP-
-Windows Server 2003 puerta de enlace-
-WIN2003extIP-
-Internet--no - Microsoft-puerta de enlace
-IP3rExt-
-RedB
-IP3rInt

NetAes el identificador de red de la red interna puerta de enlace de Windows Server 2003.

WIN2003intIPes la dirección IP que está asignada el adaptador de red interno puerta de enlace de Windows Server 2003.

WIN2003extIPes la dirección IP que está asignada el adaptador de red externo puerta de enlace de Windows Server 2003.

3rdExtIPes la dirección IP que está asignada el adaptador de red externo puerta de enlace que no sean de Microsoft.

3rdIntIPes la dirección IP que está asignada el adaptador de red interno puerta de enlace que no sean de Microsoft.

NetBes el identificador de red de la red interna de puerta de enlace que no sean de Microsoft.

El objetivo es la puerta de enlace de Windows Server 2003 y de la puerta de enlace que no sean de Microsoft para establecer un túnel IPSec cuando se debe enrutar el tráfico de la NetA a NetB o cuando se debe enrutar el tráfico de la NetB a la NetA para que tráfico se enruta a través de una sesión segura.

Si desea configurar una directiva IPSec, debe crear dos filtros: un filtro para hacer coincidir los paquetes que va de la NetA a NetB (túnel 1) y un filtro hacer coincidir los paquetes va de la NetB a NetA (túnel 2). Debe configurar una acción de filtro para especificar cómo se protege el túnel (un túnel se representa por una regla, por lo que se crean dos reglas).

back to the top

Crear directivas IPSec

Normalmente, una puerta de enlace de Windows Server 2003 no es un miembro de un dominio, por tanto, se crea una directiva IPSec local. Si la puerta de enlace de Windows Server 2003 es un miembro de un dominio que tiene la directiva de IPSec aplicada a todos los miembros del dominio de forma predeterminada, esto impide que la puerta de enlace Windows Server 2003 de tener una directiva IPSec local. En este caso, puede crear una unidad organizativa en Active Directory, hacer que la puerta de enlace Windows Server 2003 un miembro de esta unidad organizativa y asignar la directiva IPSec al objeto de directiva de grupo (GPO) de la unidad organizativa. Para obtener más información, vea la sección "Crear, modificar y asignar directivas IPSec" de Windows Server 2003 ayuda en pantalla.
  1. Haga clic en Inicio , haga clic en Ejecutar y, a continuación, escriba secpol.msc para iniciar el complemento Administración de directivas de seguridad IP.
  2. Haga clic con el botón secundario en Directivas de seguridad IP en el equipo local y, a continuación, haga clic en Crear directiva de seguridad de IP .
  3. Haga clic en siguiente y, a continuación, escriba un nombre para la directiva (por ejemplo, Túnel IPSec con gateway no Microsoft ). Haga clic en siguiente .

    Nota También puede escribir información en el cuadro Descripción .
  4. Desactive la casilla de verificación activar la regla de respuesta predeterminada y, a continuación, haga clic en siguiente .
  5. Haga clic en Finalizar (deje activada la casilla de verificación Edición ).
Nota La directiva IPSec se crea con configuración predeterminada para el IKE de modo principal. El túnel IPSec se compone de dos reglas. Cada regla especifica un extremo del túnel. Como hay dos extremos en el túnel, hay dos reglas. Los filtros de cada regla deben representar las direcciones IP de origen y de destino de los paquetes IP que se envían a ese extremo del túnel de la regla.

back to the top

Generar una lista de filtros desde RedA a RedB

  1. En las propiedades de directiva nueva, haga clic en para desactivar la casilla de verificación Usar Asistente para agregar y, a continuación, haga clic en Agregar para crear una nueva regla.
  2. Haga clic en la ficha de Lista de filtros IP y, a continuación, haga clic en Agregar .
  3. Escriba un nombre apropiado para la lista de filtros, haga clic en para desactivar la casilla de verificación Usar Asistente para agregar y, a continuación, haga clic en Agregar .
  4. En el cuadro dirección de origen , haga clic en Subred IP específica y, a continuación, escriba la Dirección IP y máscara de subred a para la NetA.
  5. En el cuadro dirección de destino , haga clic en Subred IP específica y, a continuación, escriba la Dirección IP y máscara de subred para la NetB.
  6. Haga clic para desactivar la casilla de verificación reflejado .
  7. Haga clic en la ficha protocolo Asegúrese que el tipo de protocolo se establece a todos , porque los túneles IPSec no admiten filtros específicos de protocolo o puerto específico.
  8. Si desea escribir una descripción para el filtro, haga clic en la ficha Descripción . Generalmente es una buena idea dar al filtro el mismo nombre que utilizó para la lista de filtros. El nombre del filtro aparece en el monitor de IPSec cuando el túnel está activo.
  9. Haga clic en Aceptar .
back to the top

Generar una lista de filtros desde la RedB a RedA

  1. Haga clic en la ficha de Lista de filtros IP y, a continuación, haga clic en Agregar .
  2. Escriba un nombre apropiado para la lista de filtros, haga clic en para desactivar la casilla de verificación Usar Asistente para agregar y, a continuación, haga clic en Agregar .
  3. En el cuadro dirección de origen , haga clic en Subred IP específica y, a continuación, escriba la Dirección IP y máscara de subred para la NetB.
  4. En el cuadro dirección de destino , haga clic en Subred IP específica y, a continuación, escriba la Dirección IP y máscara de subred para la NetA.
  5. Haga clic para desactivar la casilla de verificación reflejado .
  6. Si desea escribir una descripción para el filtro, haga clic en la ficha Descripción .
  7. Haga clic en Aceptar .
back to the top

Configurar una regla para un túnel de RedA a RedB

  1. Haga clic en la ficha Lista de filtros IP y, a continuación, haga clic en para seleccionar la lista de filtros que ha creado.
  2. Haga clic en la ficha Configuración de túnel , haga clic en el extremo del túnel se especifica mediante esta dirección IP y, a continuación, escriba 3rdextip (donde 3rdextip es la dirección IP que se asigna al adaptador de red externa de puerta de enlace que no sean de Microsoft).
  3. Haga clic en la ficha Tipo de conexión , haga clic en todas las conexiones de red (o haga clic en red de área Local (LAN) si WIN2003extIP no es un ISDN (RDSI), PPP, o conexión directa serie).
  4. Haga clic en la ficha Acción de filtrado , desactive la casilla de verificación Usar Asistente para agregar y a continuación, haga clic en Agregar para crear una nueva acción de filtro, ya que las acciones predeterminadas permiten el tráfico entrante en texto sin cifrar.
  5. Mantenga activada la opción negociar la seguridad y, a continuación, haga clic en para desactivar la casilla de verificación Aceptar comunicación no segura, pero responder siempre usando IPSec . Debe hacerlo para operación segura.

    Nota Ninguna de las casillas de verificación de la parte inferior del cuadro de diálogo Acción de filtrado está activada como configuración inicial para una acción de filtro que se aplica a las reglas de túnel. Sólo la confidencialidad directa perfecta de clave de sesión (PFS) casilla de verificación Usar es una opción válida para los túneles si el otro extremo del túnel también se configura para usar esta opción.
  6. Haga clic en Agregar y mantenga seleccionada la opción de integridad y cifrado (o puede seleccionar la opción personalizada (para usuarios expertos) si desea definir algoritmos y la duración clave de sesión). Carga de seguridad encapsuladora (ESP, <i>Encapsulating Security Payload</i>) es uno de los dos protocolos de IPSec.
  7. Haga clic en Aceptar . Haga clic en la ficha General , escriba un nombre para la nueva acción de filtro (por ejemplo, túnel IPSec: ESP DES/MD5 ) y, a continuación, haga clic en Aceptar .
  8. Haga clic para seleccionar la acción de filtro que acaba de crear.
  9. Haga clic en la ficha Métodos de autenticación , configure el método de autenticación que desee (usar clave previamente compartida para probar y usar certificados de lo contrario). Kerberos es técnicamente posible si ambos extremos del túnel están en dominios de confianza, y cada uno de confianza dirección IP del dominio (dirección IP de un controlador de dominio) es accesible en la red por ambos extremos del túnel durante la negociación IKE del túnel (antes de que se establezca). Pero es poco frecuente.
  10. Haga clic en Cerrar .
back to the top

Configurar una regla para un túnel de la RedB a RedA

  1. En las propiedades de la directiva de IPSec, haga clic en Agregar para crear una nueva regla.
  2. Haga clic en la ficha de Lista de filtros IP , haga clic en para seleccionar la lista de filtros que creó (de la NetB a NetA).
  3. Haga clic en la ficha Configuración de túnel , haga clic en el extremo del túnel se especifica mediante esta dirección IP y, a continuación, escriba WIN2003extIP (donde WIN2003extIP es la dirección IP que se asigna al adaptador de red externa de puerta de enlace de Windows Server 2003).
  4. Haga clic en la ficha Tipo de conexión , haga clic en todas las conexiones de red (o haga clic en red de área Local (LAN) si WIN2003extIP no es un ISDN (RDSI), PPP, o conexión directa serie). Todo el tráfico saliente en el tipo de interfaz que coincida con los filtros intenta ser túnel al extremo de túnel se especifica en la regla. El tráfico entrante que coincida con los filtros se descarta porque debe ser recibido protegida por un túnel IPSec.
  5. Haga clic en la ficha Acción de filtrado y, a continuación, haga clic en para seleccionar la acción de filtro que ha creado.
  6. Haga clic en la ficha Métodos de autenticación y, a continuación configure el mismo método que utilizó en la primera regla (el mismo método debe utilizarse en ambas reglas).
  7. Haga clic en Aceptar , asegúrese de las dos reglas que ha creado están habilitadas en la directiva y, a continuación, vuelva a hacer clic en Aceptar .
back to the top

Asignar la directiva IPSec nueva a un gateway de Windows Server 2003

En directivas de seguridad IP en el complemento de MMC equipo local, haga clic con el botón secundario en la nueva directiva y, a continuación, haga clic en asignar . Aparece una flecha de color verde en el icono de carpeta situado junto a la directiva.

Después de que se asigna la directiva, tiene dos filtros activos adicionales (enrutamiento y acceso remoto crea automáticamente filtros IPSec para tráfico L2TP). Para ver los filtros activos, escriba el comando siguiente en el símbolo del sistema:
netdiag/test: IPSec /debug
Si lo desea, puede redirigir la salida de este comando a un archivo de texto de forma que pueda verlo con un procesador de textos, como Bloc de notas, si escribe el comando siguiente:
netdiag/test: IPSec /debug >filename .txt
El comando netdiag está disponible después de instalar las herramientas de soporte técnico de Microsoft Windows Server 2003. Para instalar las herramientas de soporte, busque la carpeta Support\Tools del CD-ROM de Windows Server 2003, haga clic con el botón secundario en el archivo Suptools.msi y, a continuación, haga clic en instalar . Después de la instalación, quizás tenga que ejecutar el comando netdiag desde la carpeta de herramientas %SystemRoot% \Archivos de programa\Support (donde %SystemRoot% es la unidad donde está instalado Windows Server 2003).

Los filtros de túnel aspecto similares al ejemplo siguiente se:
Local IPSec Policy Active: 'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-} 

There are two filters
From NetA to NetB
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetA Src Mask: -subnet mask-
Dest Addr: NetB Dest Mask: -subnet mask-
Tunnel Addr: 3rdExtIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags : Outbound
From NetB to NetA
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetB Src Mask: -subnet mask-
Dest Addr: NetA Dest Mask: -subnet mask-
Tunnel Addr: W2KextIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags: Inbound
back to the top

Configurar el enrutamiento y acceso remoto filtrado

Si desea impedir que el tráfico que no tiene un origen o dirección de destino coincide con la NetA o NetB, cree un filtro de salida para la interfaz externa de enrutamiento y acceso remoto de MMC para que el filtro descarte todo el tráfico excepto los paquetes de la NetA a NetB. También debe crear un filtro de entrada para que el filtro descarte todo el tráfico excepto los paquetes de la NetB a NetA. También debe permitir el tráfico hacia y desde WIN2003extIP y 3rdExtIP para permitir la negociación de IKE cuando se crea el túnel. Enrutamiento y acceso remoto filtrado se realiza a través de IPSec. No es necesario que permitir específicamente el IPSec porque nunca llega a la capa del filtro de paquetes IP de protocolo. En el siguiente ejemplo es una representación muy simple de TCP/IP de Windows Server 2003 arquitectura:
Application layer 
Transport layer (TCP|UDP|ICMP|RAW) 
---- Network layer start ---- 
IP Packet Filter (where NAT/Routing and Remote Access filtering is done) 
IPSec (where IPSec filters are implemented) 
Fragmentation/Reassembly 
---- Network layer end ------ 
NDIS Interface 
Datalink layer 
Physical layer 
para configurar los filtros en el servicio Enrutamiento y acceso remoto, cargar el enrutamiento y acceso remoto de MMC y siga estos pasos:
  1. Expanda el árbol de su servidor en enrutamiento y acceso remoto , expanda el subárbol Enrutamiento IP y, a continuación, haga clic en General .
  2. Haga clic con el botón secundario del mouse en WIN2003extIP y, a continuación, haga clic en Propiedades .
  3. Haga clic en Filtros salientes y, a continuación, haga clic en nuevo .
  4. Haga clic para seleccionar las casillas de verificación red de origen y red de destino .
  5. En el cuadro red de origen , escriba la dirección IP y máscara de subred para la NetA.
  6. En el cuadro de la red de destino , escriba la dirección IP y máscara de subred para la NetB.
  7. Mantenga el protocolo establecido a todos y, a continuación, haga clic en Aceptar .
  8. Haga clic en nuevo y, a continuación, active las casillas de verificación red de origen y de red de destino .
  9. En el cuadro de la red de origen , escriba la dirección IP y máscara de subred para WIN2003extIP.
  10. En el cuadro de la red de destino , escriba la dirección IP y máscara de subred para 3rdExtIP (para uso de negociación de IKE una máscara de subred 255.255.255.255).
  11. Mantenga el protocolo establecido a todos y, a continuación, haga clic en Aceptar .
  12. Haga clic en casilla de verificación Descartar todos los paquetes excepto aquellos que cumplen el criterio especificado abajo y, a continuación, haga clic en Aceptar .
  13. Haga clic en Filtros de entrada , haga clic en Agregar y haga clic para seleccionar las casillas de verificación red de origen y red de destino .
  14. En el cuadro de la red de origen , escriba la dirección IP y máscara de subred para la NetB.
  15. En el cuadro red de destino , escriba la dirección IP y máscara de subred para la NetA.
  16. Mantenga el protocolo establecido a todos y, a continuación, haga clic en Aceptar .
  17. Haga clic en nuevo y, a continuación, active las casillas de verificación red de origen y de red de destino .
  18. En el cuadro de la red de origen , escriba la dirección IP y máscara de subred para 3rdExtIP.
  19. En el cuadro de la red de destino , escriba la dirección IP y máscara de subred para WIN2003extIP (para uso de negociación de IKE una máscara de subred 255.255.255.255).
  20. Mantenga el protocolo establecido a todos y, a continuación, haga clic en Aceptar .
  21. Haga clic en casilla de verificación Descartar todos los paquetes excepto aquellos que cumplen el criterio especificado abajo y, a continuación, haga clic en Aceptar dos veces.

    Nota Si el servidor de enrutamiento y acceso remoto tiene más de una interfaz está conectada a Internet, o si hay varios túneles IPSec, crear filtros de exención de enrutamiento y acceso remoto para cada túnel IPSec (cada subred IP de origen y destino) para cada interfaz de Internet.
back to the top

Configurar rutas estáticas en Enrutamiento y acceso remoto

La puerta de enlace de Windows Server 2003 debe tener una ruta en su tabla de rutas para la NetB. Para configurar esta ruta, agregue una ruta estática en el enrutamiento y acceso remoto de MMC. Si la puerta de enlace de 2003 de Windows Server es multitarjeta con dos o más adaptadores de red en la misma red externa (o dos o más redes que pueden alcanzar el destino de túnel IP 3rdExtIP), existe la posibilidad de los siguientes:
  • El tráfico del túnel saliente puede salir de una interfaz y el entrante se puede recibir en una interfaz diferente. Incluso si usa adaptadores de red de descarga de IPSec, recibir en una interfaz diferente (que se envía el tráfico del túnel saliente) no permite al adaptador de red receptor procesar el cifrado en el hardware, porque sólo la interfaz saliente puede descargar la asociación de seguridad (SA).
  • Tráfico del túnel saliente sale de una interfaz que es diferente de la interfaz que tiene la dirección IP del extremo del túnel. La dirección IP de origen del paquete que se envía por el túnel es la de la interfaz saliente. Si no es la dirección IP de origen que espera el otro extremo, el túnel no se establece o el extremo remoto descarta los paquetes si el túnel ya se ha establecido.
Para evitar enviar el tráfico del túnel saliente en la interfaz equivocada, defina una ruta estática que se enlace el tráfico a la NetB a la interfaz externa apropiada:
  1. En el enrutamiento y acceso remoto de MMC, expanda el árbol de servidor, expanda el subárbol Enrutamiento IP , haga clic con el botón secundario en Rutas estáticas y haga clic en nueva ruta estática .
  2. En el cuadro de interfaz , haga clic en WIN2003extIP (si ésta es la interfaz que desea utilizar siempre para el tráfico del túnel saliente).
  3. Escriba la red de destino y máscara de red para la NetB.
  4. En el cuadro puerta de enlace , escriba 3rdextip.
  5. Mantenga el valor de métrica establecido a su valor predeterminado ( 1 ) y, a continuación, haga clic en Aceptar .

    Nota Para solucionar el problema de recibir tráfico de túnel entrante en la interfaz equivocada, no anunciar dirección IP de la interfaz con un protocolo de enrutamiento. Además, configurar un filtro en el servicio Enrutamiento y acceso remoto para eliminar paquetes a la NetA o WIN2003extIP como se indica en la sección "Configure Routing and Remote Access Filtering" de este artículo.
back to the top

Probar el túnel IPSec

Puede iniciar el túnel haciendo ping desde un equipo de NetA a un equipo de la NetB (o de la NetB a NetA). Si ha creado los filtros correctamente y asigna la directiva correcta, las dos puertas de enlace establecen un túnel IPSec de forma que puedan enviar el tráfico ICMP desde el comando ping en formato cifrado. Incluso si el comando ping funciona, compruebe que el ICMP tráfico se envió de formato cifrado de las puertas. Puede utilizar las siguientes herramientas para ello.

back to the top

Habilitar la auditoría de los sucesos de inicio de sesión y el acceso a objetos

Registra los sucesos en el registro de seguridad. Esto le indica si IKE se intentó una negociación de asociación de seguridad y si tuvo éxito o no.
  1. Mediante el complemento de MMC Directiva de grupo, expanda Directiva de equipo local , expanda Configuración del equipo , expanda Configuración de Windows , expanda Configuración de seguridad , expanda Directivas locales y, a continuación, haga clic en Directiva de auditoría .
  2. Habilitar correcto y Error de auditoría para Auditar sucesos de inicio de sesión y Auditar el acceso a objetos .

    Nota Si la puerta de enlace de Windows Server 2003 es un miembro de un dominio y si está usando una directiva de dominio para la auditoría, la directiva de dominio sobrescribe su directiva local. En este caso, modifique la directiva de dominio.
back to the top

Monitor de seguridad IP

La consola Monitor de seguridad IP muestra estadísticas de IPSec y asociaciones de seguridad activas (SA). Después de intentar establecer el túnel mediante el comando ping , puede ver si se ha creado una asociación de seguridad (si la creación del túnel es correcta, se muestra una asociación de seguridad). Si el comando ping es correcto pero no hay ninguna asociación de seguridad, el tráfico ICMP no se ha protegido por IPSec. Si ve una "asociación transferible" que no existía previamente, IPSec acordó permitir este tráfico ir "on desactive" (sin cifrado).Para obtener información adicional acerca de "Asociaciones transferibles", haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
234580"Asociaciones transferibles" entre equipos de IPSec no-IPSec-habilitados y


Nota En Microsoft Windows XP y la familia de Windows Server 2003, seguridad IP Monitor se implementa como una consola Microsoft Management Console (MMC). Para agregar el complemento Monitor de seguridad IP, siga estos pasos:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba MMC y, a continuación, haga clic en Aceptar .
  2. Haga clic en archivo , haga clic en Agregar o quitar complemento y, a continuación, haga clic en Agregar .
  3. Haga clic en Monitor de seguridad IP y, a continuación, haga clic en Agregar .
  4. Haga clic en Cerrar y, a continuación, haga clic en Aceptar .
back to the top

Monitor de red

Puede utilizar a Monitor de red para capturar el tráfico a través de la interfaz WIN2003extIP mientras intenta hacer ping al equipo. Si puede ver los paquetes ICMP en el archivo de captura que tiene el origen y direcciones IP de destino que corresponden a las direcciones IP del equipo que está haciendo ping desde y el equipo que está intentando hacer ping, IPSec no está protegiendo el tráfico. Si no ve este tráfico ICMP pero ¿ver paquetes ISAKMP y ESP en su lugar, IPSec está protegiendo el tráfico. Si utiliza sólo el protocolo IPSec encabezado de autenticación (AH, Authentication Header), verá el tráfico ISAKMP seguido de los paquetes ICMP. Paquetes ISAKMP que la negociación de IKE real se produzca, mientras que paquetes ESP son los datos de carga cifrados por la IPSec protocolo.

Para instalar a Monitor de red, siga estos pasos:
  1. Haga clic en Inicio , haga clic en Panel de control , haga clic en Agregar o quitar programas y, a continuación, haga clic en Agregar o quitar componentes de Windows .
  2. En el Asistente para componentes de Windows, haga clic en Herramientas de supervisión de administración y y, a continuación, haga clic en Detalles .
  3. En Herramientas de subcomponentes de administración y supervisión , haga clic en casilla de verificación Herramientas de Monitor de red y, a continuación, haga clic en Aceptar .
  4. Si le piden archivos adicionales, inserte el CD de instalación para su sistema operativo o escriba una ruta de acceso de la ubicación de los archivos en la red.
back to the top

Prueba real

  1. Antes intenta ping desde un equipo en una subred para el otro (NetA o NetB), escriba ipconfig en el símbolo del sistema. Se muestran las interfaces de red que se inicializan en la pila TCP/IP.
  2. Inicie la herramienta Monitor de seguridad IP.
  3. Iniciar a Monitor de red y, a continuación, en el menú captura , haga clic en redes . Haga clic en la interfaz WIN2003extIP y, a continuación, haga clic en Aceptar .
  4. Intente ping del equipo. Los primeros paquetes de eco de ICMP puede tiempo de espera mientras se está creando el túnel IPSec. Si el ping no es correcta, compruebe los registros de seguridad y sistema.
  5. Si el ping es correcta, detenga la captura de Monitor de red y compruebe si el tráfico ICMP estaba "desactive" o si sólo ve paquetes de protocolo ISAKMP e IPSec. Compruebe el Monitor de seguridad IP para ver si se ha creado una asociación de seguridad mediante la NetA a NetB filtro que ha creado. Revise también el registro de seguridad. Debería ver sucesos ID 541 (asociación de seguridad IKE establecida).
  6. Escriba ipconfig en un símbolo del sistema nuevo para comprobar que no hay ninguna interfaz TCP/IP adicional mientras el túnel está en uso. Este comportamiento se produce porque IPSec está protegiendo el tráfico que se va a través de la interfaz física (WIN2003extIP).

    Si la puerta de enlace remota también es un nodo de Windows Server 2003, recuerde lo siguiente:
    • La puerta de enlace predeterminada para los clientes de la NetA es WIN2003extIP. La puerta de enlace predeterminada para los clientes de la NetB es 3rdIntIP.
    • Un túnel IPSec no cambia la forma en que el tráfico se enruta en la puerta de enlace de Windows Server 2003. (Esta puerta de enlace puede enrutar paquetes porque el enrutamiento está habilitado en Enrutamiento y acceso remoto. La métrica de interfaz de LAN o WAN real se siguen utilizando.)
back to the top

Referencias

Para obtener más información acerca del servicio de enrutamiento y acceso remoto, vea Ayuda en pantalla de Windows Server 2003.

Para ver el Kit de recursos de Windows Server 2003 y otra documentación técnica, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/windowsserver2003/default.mspx
Para información de estándares IETF, visite los siguientes sitios:Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garantía con respecto a la exactitud de esta información de contacto con otros proveedores.

Propiedades

Id. de artículo: 816514 - Última revisión: lunes, 03 de diciembre de 2007 - Versión: 6.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palabras clave: 
kbmt kbhowtomaster KB816514 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 816514

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com