Cómo configurar un servidor L2TP/IPsec detrás de un dispositivo NAT-T en Windows Vista y Windows Server 2008


INTRODUCCIÓN


Importante En esta sección, método o tarea se incluyen pasos que le permitirán modificar el Registro. Sin embargo, se pueden producir problemas graves si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para mayor protección, realice una copia de seguridad del Registro antes de modificarlo. De esta manera podrá restaurar el Registro en caso de que se produzca un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows
De forma predeterminada, Windows Vista y el sistema operativo Windows Server 2008 no admiten asociaciones de seguridad de la traducción de direcciones de red (NAT) de seguridad de protocolo de Internet (IPsec) (NAT), que se encuentran detrás de un dispositivo NAT. Por lo tanto, si el servidor de red privada virtual (VPN) se encuentra detrás de un dispositivo NAT, un equipo cliente VPN basado en Windows Vista o un cliente VPN basado en Windows Server 2008 no pueden hacer una conexión/IPsec del Protocolo de túnel de capa 2 (L2TP) al servidor VPN. Este escenario incluye servidores VPN que ejecutan Windows Server 2008 y Microsoft Windows Server 2003.Debido a la forma en que los dispositivos NAT traducen el tráfico de red, puede experimentar resultados inesperados al poner un servidor detrás de un dispositivo NAT y, a continuación, usar un entorno NAT-T de IPsec. Por consiguiente, si necesita tener IPsec para la comunicación, le recomendamos que use direcciones IP públicas para todos los servidores a los que se pueda conectar desde Internet. Sin embargo, si tiene que poner un servidor detrás de un dispositivo NAT y, a continuación, usar un entorno NAT-T de IPsec, puede habilitar la comunicación modificando un valor del registro en el equipo cliente VPN y en el servidor VPN.Para crear y configurar el valor de registro AssumeUDPEncapsulationContextOnSendRule , siga estos pasos:
  1. Inicie sesión en el equipo cliente Windows Vista como un usuario que es miembro del grupo administradores.
  2. Haga clic en Inicio
    Botón Inicio de Windows
    , seleccione todos los programas, haga clic en accesorios, en Ejecutar, escriba regedity, a continuación, haga clic en Aceptar. Si el cuadro de diálogo control de cuentas de usuario se muestra en la pantalla y le pide que eleve el token de administrador, haga clic en continuar.
  3. Busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
    Nota: También puede aplicar el valor AssumeUDPEncapsulationContextOnSendRule DWORD a un equipo cliente VPN basado en Microsoft Windows XP Service Pack 2 (SP2). Para ello, busque la siguiente subclave del registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
  4. En el menú Edición, seleccione Nuevo y haga clic en Valor de DWORD (32 bits).
  5. Escriba AssumeUDPEncapsulationContextOnSendRuley, a continuación, presione Entrar.
  6. Haga clic con el botón derecho en AssumeUDPEncapsulationContextOnSendRuley luego en modificar.
  7. En el cuadro datos del valor , escriba uno de los valores siguientes:
    • 0 Un valor de 0 (cero) configura Windows de modo que no pueda establecer asociaciones de seguridad con servidores ubicados tras dispositivos NAT. Este es el valor predeterminado.
    • 1 Un valor de 1 configura Windows para que pueda establecer asociaciones de seguridad con servidores ubicados tras dispositivos NAT.
    • 2 Un valor de 2 configura Windows de modo que pueda establecer asociaciones de seguridad cuando el equipo cliente VPN basado en Windows Vista o en Windows Server 2008 está detrás de dispositivos NAT.  
  8. Haga clic en Aceptary salga del editor del registro.
  9. Reinicie el equipo.

Más información


Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
818043 Actualización de L2TP/IPsec NAT-T para Windows XP y Windows 2000
885348 IPSec NAT-T no se recomienda para equipos con Windows Server 2003 que estén detrás de los traductores de direcciones de red.