El comportamiento predeterminado de IPsec NAT transversal (NAT-T) ha cambiado en Windows XP Service Pack 2

Seleccione idioma Seleccione idioma
Id. de artículo: 885407 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

INTRODUCCIÓN

Este artículo describe un cambio en el comportamiento predeterminado de protocolo Internet de seguridad (IPsec) red dirección de traducción (NAT) transversal (NAT-T) que se ha implementado en Microsoft Windows XP Service Pack 2 (SP2). Puede modificar este comportamiento predeterminado en Windows XP SP2 utilizando el valor del Registro siguiente:
AssumeUDPEncapsulationContextOnSendRule


No se ha realizado ningún cambio en la implementación de Microsoft Windows 2000 IPsec NAT-T.

Más información

importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows


De forma predeterminada, los equipos que ejecutan Windows XP con Service Pack 2 y que iniciar comunicaciones protegidas por IPsec (ahora en adelante denominadas iniciadores) ya no admiten el uso de NAT-T de IPsec para equipos remotos que responder a solicitudes de comunicación protegida por IPsec (ahora en adelante denominada contestadores) que se encuentran detrás de un traductor de direcciones de red. Esto es evitar posibles problemas de seguridad como se describe en el siguiente artículo de Microsoft Knowledge Base:
885348No se recomienda IPSec NAT-T para equipos con Windows Server 2003 que están detrás de traductores de direcciones de red

Por ejemplo, si su servidor de red privada virtual (VPN) que está ejecutando Microsoft Windows Server 2003 está detrás de un traductor de direcciones de red, de forma predeterminada, un cliente VPN basado en Windows XP SP2 no puede realizar un protocolo de túnel de capa con conexión de IPsec (L2TP/IPsec) con el servidor VPN.

Este comportamiento predeterminado también puede evitar que equipos que ejecutan Windows XP con SP2 realicen conexiones a Escritorio remoto que están protegidas mediante L2TP/IPsec o el modo de transporte IPsec cuando el equipo de destino se encuentra detrás de un traductor de direcciones de red.

Como consecuencia de la forma que NAT-T IPsec funciona en Windows XP sin service packs instalados y en Windows XP Service Pack 1 (SP1), puede experimentar resultados inesperados cuando coloca un servidor detrás de un traductor de direcciones de red y a continuación, utilice IPsec NAT-T. Por lo tanto, si requiere IPsec para la comunicación, recomendamos que utilice direcciones IP públicas para todos los servidores que puede conectar directamente desde Internet.

Nota Independientemente de estos cambios, los equipos que ejecutan Windows 2000, Windows XP o Windows Server 2003 admiten conexiones basada en IPsec NAT-T como iniciador cuando encuentra detrás de un traductor de direcciones de red. Por ejemplo, un equipo portátil de cliente de L2TP/IPsec VPN que se encuentra en una red privada hotel puede iniciar una conexión a un servidor VPN que está utilizando una dirección de Internet pública.

NAT es una tecnología ampliamente utilizado que permite más de un equipo compartir una única dirección IP pública. Traductores de direcciones de red asignan direcciones privadas (10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16) en el que se utilizan en redes privadas a direcciones IP públicas que se utilizan en Internet.
Para obtener más información sobre cómo colocar servidores detrás de traductores de direcciones de red, acerca de cómo configurar asignaciones de traducción de direcciones de red para servidores y las consecuencias para asociaciones de seguridad de IPsec NAT-T para una situación específica, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
885348No se recomienda IPSec NAT-T para equipos con Windows Server 2003 que están detrás de traductores de direcciones de red

Para permitir un iniciador IPsec NAT-T para conectarse a un contestador se encuentra tras un NAT, debe crear y establecer el valor de registro AssumeUDPEncapsulationContextOnSendRule en el iniciador.

Nota Antes de configurar este valor del registro, recomendamos que póngase en contacto con el Administrador de red o leer la directiva de seguridad corporativa.

Para crear y configurar el valor de AssumeUDPEncapsulationContextOnSendRule del registro, siga estos pasos:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba regedit y, a continuación, haga clic en Aceptar .
  2. Busque y haga clic en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. En el menú Edición , seleccione nuevo y, a continuación, haga clic en Valor DWORD .
  4. En el cuadro nuevo valor # 1 , escriba AssumeUDPEncapsulationContextOnSendRule y, a continuación, presione ENTRAR.

    importante Este nombre de valor es distingue entre mayúsculas y minúsculas.
  5. Haga clic con el botón secundario del mouse en AssumeUDPEncapsulationContextOnSendRule y, a continuación, haga clic en Modificar .
  6. En el cuadro datos del valor , escriba uno de los siguientes valores:
    • 0 (valor predeterminado)
      Un valor de 0 (cero) configura Windows XP SP2 para que no pueden iniciar comunicaciones protegidas por IPsec con contestadores ubicados tras traductores de direcciones de red.
    • 1
      Un valor de 1 configura Windows XP SP2 para que pueden iniciar comunicaciones protegidas por IPsec con contestadores ubicados tras traductores de direcciones de red.
    • 2
      Un valor de 2 configura Windows XP SP2 para que pueden iniciar comunicaciones protegidas por IPsec cuando los iniciadores y los contestadores se encuentran detrás de traductores de direcciones de red.

      Nota Este es el comportamiento de IPsec NAT-T en Windows XP sin service packs instalados y en Windows XP SP1.
  7. Haga clic en Aceptar y salga del Editor del registro.
  8. Reinicie el equipo.
Después de configurar AssumeUDPEncapsulationContextOnSendRule con un valor de 1 o un valor de 2, Windows XP SP2 puede conectarse a un contestador de que se encuentra detrás de un traductor de direcciones de red. Este comportamiento se aplica a las conexiones a un servidor VPN que ejecuta Windows Server 2003.

Propiedades

Id. de artículo: 885407 - Última revisión: miércoles, 11 de octubre de 2006 - Versión: 2.5
La información de este artículo se refiere a:
  • Microsoft Windows XP Professional SP2
Palabras clave: 
kbmt kbfirewall kbnat kbhowto kbinfo KB885407 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 885407

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com