No se recomienda IPSec NAT-T para equipos con Windows Server 2003 que están detrás de traductores de direcciones de red

Seleccione idioma Seleccione idioma
Id. de artículo: 885348 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

No se recomienda para implementaciones de Windows que contienen servidores VPN y que se encuentran detrás de traductores de direcciones de red dirección de red de protocolo Internet seguridad (IPSec) traducción (NAT) transversal (NAT-T). Cuando es un servidor detrás de un traductor de direcciones de red y el servidor usa IPSec NAT-T, pueden producirse efectos secundarios no deseados de la forma que los traductores de direcciones de red traducen el tráfico de red.

Además, ha cambiado el comportamiento predeterminado de Microsoft Windows XP con Service Pack 2 (SP2). Asociaciones de seguridad de IPSec NAT-T con servidores ubicados tras traductores de direcciones de red no se recomiendan para equipos basados en Windows XP SP2. Este cambio significa que un servidor de Microsoft Windows Server 2003 red privada virtual (VPN) que utiliza capa de protocolo de túnel con IPSec (L2TP/IPSec) no puede implementarse un traductor de red dirección sin ninguna configuración adicional para clientes VPN basados en Windows XP SP2.

Si requiere IPSec para comunicación, le recomendamos que utilice direcciones IP públicas para todos los servidores que puede conectar directamente desde Internet. Los equipos cliente basados en Windows que admiten NAT-T de IPSec pueden encontrarse detrás de un traductor de direcciones de red.

Más información

NAT es una tecnología ampliamente utiliza que permite más de un equipo compartir una única dirección IP pública. Traductores de direcciones de red asignan direcciones privadas que se utilizan en las siguientes redes privadas a direcciones IP públicas que se utilizan en Internet:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Si coloca un servidor detrás de un traductor de direcciones de red, puede experimentar problemas de conexión porque los clientes conectarse al servidor a través de Internet requieren una dirección IP pública. Para llegar a los servidores ubicados tras traductores de direcciones de red desde Internet, deben configurar asignaciones estáticas en el traductor de direcciones de red. Por ejemplo, para llegar a un equipo basado en Windows Server 2003 que está detrás de un traductor de direcciones de red desde Internet, configurar el traductor de direcciones de red con las siguientes asignaciones traductor de direcciones de red estática:
  • Público IP dirección y puerto UDP 500 para del servidor privado IP dirección o el puerto UDP 500.
  • Público IP dirección y puerto UDP 4500 para del servidor privado IP dirección o el puerto UDP 4500.
Estas asignaciones son necesarias para que traduce automáticamente tráfico todo intercambio de claves de Internet (IKE) e IPSec NAT-T que se envía a la dirección pública del traductor de direcciones de red y se reenvía al equipo basado en Windows Server 2003.

Sin embargo, si tiene un servidor VPN basado en Windows Server 2003, le recomendamos que asigne una dirección IP pública con el servidor VPN. Asignando una dirección IP pública con el servidor VPN, puede evitar situaciones donde se pierde o reenviar accidentalmente a la ubicación incorrecta debido de comportamiento de traductor de dirección de red típica los tráfico IP.

SP2 de Windows XP no admite el establecimiento de asociaciones de seguridad de IPSec NAT-T con servidores detrás de dispositivos NAT

Hemos cambiado el comportamiento predeterminado de IPSec NAT-T en Windows XP Service Pack 2 (SP2). SP2 de Windows XP no admite una asociación de seguridad de IPSec NAT-T en un servidor que se encuentra detrás de un dispositivo o componente que realiza la traducción de direcciones de red. Este cambio se realizó para evitar un riesgo de seguridad percibido en la situación siguiente:
  1. Traductor de direcciones de red está configurado para asignar el tráfico IKE e IPSec NAT-T a un servidor en una red configurada para NAT. (Este servidor es el Server 1.) Las asignaciones de traductor de direcciones de red son los que se recomienda en este artículo.
  2. Un cliente desde fuera de la red configurada para NAT utiliza IPSec NAT-T para establecer asociaciones de seguridad bidireccionales con el Server 1. (Este cliente es el cliente 1).
  3. Un cliente en la red configurada para NAT utiliza IPSec NAT-T para establecer asociaciones de seguridad bidireccionales con el cliente 1. (Este cliente es el cliente 2).
  4. Se produce una situación que hace que el cliente 1 restablecer las asociaciones de seguridad con el cliente 2 debido de red estática dirección traductor asignaciones que asignan el tráfico IKE e IPSec NAT-T a Server 1. Esta condición puede hacer que el tráfico de negociación de la asociación de seguridad de IPSec que envía el cliente 1 y que está destinado al cliente 2 ser mal enrutados al servidor 1.
Aunque esto es una situación infrecuente, el comportamiento predeterminado en equipos basados en Windows XP SP2 evita que las asociaciones de seguridad basada en IPSec NAT-T con servidores ubicados tras un traductor de direcciones de red para asegurarse de que esta situación se produce nunca.

Para habilitar asociaciones de seguridad de IPSec NAT-T con servidores ubicados tras un traductor de direcciones de red se puede cambiar el comportamiento predeterminado de Windows XP SP2. No se recomienda que cambie el comportamiento predeterminado.

Más información

Para obtener más información acerca de Windows XP SP2 y las asociaciones de seguridad basada en IPSec NAT-T, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
885407El comportamiento predeterminado de IPSec NAT transversal (NAT-T) ha cambiado en Windows XP Service Pack 2

Propiedades

Id. de artículo: 885348 - Última revisión: lunes, 30 de octubre de 2006 - Versión: 2.2
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Palabras clave: 
kbmt kbhowto kbinfo KB885348 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 885348

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com