Cómo configurar el túnel IPSec en Windows Server 2003

Para una versión de Microsoft Windows 2000 de este artículo, consulte 252735 .

Resumen

Puede utilizar seguridad IP (IPSec) en el modo de túnel para encapsular paquetes de protocolo Internet (IP) y, opcionalmente, cifrarlos. La razón principal para usar el modo de túnel IPSec (en ocasiones denominado "túnel IPSec puro") en Windows Server 2003 es conseguir interoperabilidad con enrutadores no sean de Microsoft o puertas de enlace que no admiten túnel protocolo de capa 2 (L2TP) o tecnología túnel (VPN) de red privada virtual IPSec o PPTP.

Volver al principio
Windows Server 2003 admite túneles IPSec en situaciones donde ambos extremos del túnel tengan direcciones IP estáticas. Esto es principalmente útil en implementaciones de puerta de enlace a puerta de enlace. Sin embargo, también pueden funcionar para escenarios de seguridad de red especializada entre una puerta de enlace o enrutador y un servidor. (Por ejemplo, un enrutador de Windows Server 2003 que enruta el tráfico desde su interfaz externa a un equipo basado en Windows Server 2003 interno que asegura la ruta de acceso interna mediante el establecimiento de un túnel IPSec al servidor interno que proporciona servicios a los clientes externos).

No se admiten túneles IPSec de Windows Server 2003 para el cliente de acceso remoto VPN porque el Internet Engineering Task Force (IETF) IPSec solicitudes de comentarios (RFC) no proporcionan actualmente una solución de acceso remoto en el protocolo de intercambio de claves de Internet (IKE) para conexiones de cliente a puerta de enlace. RFC 2661 de IETF, Layer Two Tunneling Protocol "L2TP", fue desarrollado específicamente por Cisco, Microsoft y otros para proporcionar conexiones VPN de acceso remoto de cliente. En Windows Server 2003, las conexiones VPN de acceso remoto de cliente están protegidas mediante una directiva IPSec generada automáticamente que usa el modo de transporte IPSec (no el modo de túnel) cuando se selecciona el tipo de túnel L2TP.

También túneles IPSec de Windows Server 2003 no admite túneles específicos de un puerto y protocolos específicos. Mientras que el complemento de directiva de IPSec de Microsoft Management Console (MMC) es muy general y permite asociar cualquier tipo de filtro a un túnel, asegúrese de usar sólo la información de dirección de la especificación de un filtro para una regla de túnel.

Para obtener más información acerca de cómo funcionan los protocolos IPSec e IKE, consulte el Kit de recursos de Microsoft Windows Server 2003.

Este artículo describe cómo configurar un túnel IPSec en una puerta de enlace de Windows Server 2003. Porque el túnel IPSec protege el tráfico sólo que se especifica en los filtros IPSec que configura, este artículo también describe cómo configurar filtros en el servicio de enrutamiento y acceso remoto para evitar que el tráfico de fuera del túnel que se reciba o se reenvíe. En este artículo se utiliza el siguiente escenario que sea fácil de seguir los pasos de configuración:

RedA-
WIN2003intIP-
-Gateway Windows Server 2003:
-WIN2003extIP-
-Internet--no-puerta de enlace de Microsoft:
-3rdExtIP-
-El RedB
-3rdIntIP

RedA es el identificador de la red interna de puerta de enlace de Windows Server 2003.

WIN2003intIP es la dirección IP que se asigna al adaptador de red interno de puerta de enlace de Windows Server 2003.

WIN2003extIP es la dirección IP que se asigna al adaptador de red externa de puerta de enlace de Windows Server 2003.

3rdExtIP es la dirección IP que se asigna al adaptador de red externa de puerta de enlace no son de Microsoft.

3rdIntIP es la dirección IP que se asigna al adaptador de red interno puerta de enlace no son de Microsoft.

RedB es el identificador de la red interna de la puerta de enlace no son de Microsoft.

El objetivo es que la puerta de enlace de Windows Server 2003 y la puerta de enlace no son de Microsoft para establecer un túnel IPSec cuando el tráfico de la RedA debe enrutarse a
RedB o cuando el tráfico de
Se debe distribuir el RedB a
RedA por lo que el tráfico se enruta a través de una sesión segura.

Si desea configurar una directiva IPSec, debe crear dos filtros: un filtro para que coincida con los paquetes de la RedA a
RedB (túnel 1) y un filtro para comparar los paquetes de
RedB a la RedA (túnel 2). Debe configurar una acción de filtrado para especificar cómo se protege el túnel (un túnel se representa mediante una regla, por lo que se crean dos reglas).

Volver al principio

Crear la directiva IPSec

Normalmente, una puerta de enlace de Windows Server 2003 no es un miembro de un dominio, por lo que se crea una directiva IPSec local. Si la puerta de enlace de Windows Server 2003 es un miembro de un dominio que tiene la directiva de IPSec que se aplican a todos los miembros del dominio de forma predeterminada, esto evita que la puerta de enlace de Windows Server 2003 de una directiva IPSec local. En este caso, puede crear una unidad organizativa en Active Directory, hacer que la puerta de enlace de Windows Server 2003 un miembro de esta unidad organizativa y asignar la directiva IPSec al objeto de directiva de grupo (GPO) de la unidad organizativa. Para obtener más información, consulte la Ayuda en pantalla de la sección "Crear, modificar y asignar directivas IPSec" del Windows Server 2003.
  1. Haga clic en Inicio, haga clic en Ejecutary, a continuación, escriba secpol.msc para iniciar el complemento Administración de directivas de seguridad IP.
  2. Haga clic en Directivas de seguridad IP en equipo Localy, a continuación, haga clic en Crear directiva de seguridad IP.
  3. Haga clic en siguientey, a continuación, escriba un nombre para la directiva (por ejemplo, Túnel IPSec con Gateway Microsoft). Haga clic en
    Siguiente.

    Nota: También puede escribir información en el
    Cuadro de Descripción .
  4. Haga clic para desactivar la casilla de verificación activar la regla de respuesta predeterminada y, a continuación, haga clic en siguiente.
  5. Haga clic en Finalizar (deje el
    Casilla de verificación Modificar seleccionada).
Nota: La directiva IPSec se crea con la configuración predeterminada para el modo principal de IKE. El túnel IPSec se compone de dos reglas. Cada regla especifica un extremo del túnel. Como hay dos extremos del túnel, hay dos reglas. Los filtros de cada regla deben representar las direcciones IP de origen y destino de los paquetes IP que se envían al extremo del túnel de la regla.

Volver al principio

Crear una lista de filtros de la RedA a la RedB

  1. En las propiedades de la nueva directiva, haga clic para desactivar la
    Casilla de verificación Usar Asistente para agregar y, a continuación, haga clic en Agregarpara crear una nueva regla.
  2. Haga clic en la ficha Lista de filtros IP y, a continuación, haga clic en
    Agregar.
  3. Escriba un nombre apropiado para la lista de filtros, haga clic para desactivar la casilla de verificación Usar Asistente para agregar y, a continuación, haga clic en
    Agregar.
  4. En el cuadro dirección de origen , haga clic en Subred IP específicay, a continuación, escriba la Dirección IPy máscara de subredpara la RedA.
  5. En el cuadro dirección de destino , haga clic en
    Subred IP específicay a continuación, escriba la Dirección IP y máscara de subred para el RedB.
  6. Haga clic para desactivar la casilla de verificación reflejado .
  7. Haga clic en la ficha protocolo que el
    tipo de protocolo se establece a cualquier, porque los túneles IPSec no admiten filtros específicos de un protocolo o puerto específico.
  8. Si desea escribir una descripción para el filtro, haga clic en la ficha Descripción . Generalmente es una buena idea dar al filtro el mismo nombre que utilizó para la lista de filtros. El nombre de filtro aparece en el monitor de IPSec cuando el túnel está activo.
  9. Haga clic en Aceptar.
Volver al principio

Crear una lista de filtros de la RedB a la RedA

  1. Haga clic en la ficha Lista de filtros IP y, a continuación, haga clic en Agregar.
  2. Escriba un nombre apropiado para la lista de filtros, haga clic para desactivar la casilla de verificación Usar Asistente para agregar y, a continuación, haga clic en
    Agregar.
  3. En el cuadro dirección de origen , haga clic en Subred IP específicay, a continuación, escriba la Dirección IPy máscara de subred para el RedB.
  4. En el cuadro dirección de destino , haga clic en
    Subred IP específicay a continuación, escriba la Dirección IP y máscara de subred para la RedA.
  5. Haga clic para desactivar la casilla de verificación reflejado .
  6. Si desea escribir una descripción para el filtro, haga clic en la ficha Descripción .
  7. Haga clic en Aceptar.
Volver al principio

Configurar una regla para un túnel de la RedA a la RedB

  1. Haga clic en la ficha Lista de filtros IP y, a continuación, haga clic para seleccionar la lista de filtros que creó.
  2. Haga clic en la ficha Configuración del túnel , haga clic en
    Cuadro el extremo del túnel se especifica mediante esta dirección IP y, a continuación, tipo 3rdextip (donde
    3rdextip es la dirección IP que se asigna al adaptador de red externa de puerta de enlace no es de Microsoft).
  3. Haga clic en la ficha Tipo de conexión , haga clic en
    Todas las conexiones de red (o haga clic en red de área Local (LAN) si no se encuentra WIN2003extIP una ISDN, PPP, o conexión directa serie).
  4. Haga clic en la ficha Acción de filtrado , haga clic para desactivar la casilla de verificación Usar Asistente para agregar y, a continuación, haga clic en
    Agregar para crear una nueva acción de filtrado, ya que las acciones predeterminadas permiten el tráfico entrante en texto sin cifrar.
  5. Mantenga activada la opción negociar la seguridad y, a continuación, haga clic para desactivar la casilla de verificación Aceptar comunicación no segura, pero responder siempre usando IPSec . Debe hacerlo para un funcionamiento seguro.

    Nota: Ninguna de las casillas de verificación en la parte inferior del cuadro de diálogo Acción de filtrado se seleccionan como configuración inicial para una acción de filtrado que se aplica a reglas de túnel. Sólo la casilla de verificación utilizar confidencialidad directa perfecta (PFS) de clave de sesión es una opción válida para los túneles si el otro extremo del túnel también se configura para usar esta opción.
  6. Haga clic en Agregary mantener seleccionada la opción de integridad y cifrado (o puede seleccionar la opción personalizada (para usuarios expertos) si desea definir algoritmos y duraciones de clave de sesión). Encapsulating Security Payload (ESP) es uno de los dos protocolos de IPSec.
  7. Haga clic en Aceptar. Haga clic en el
    Ficha General , escriba un nombre para la nueva acción de filtrado (por ejemplo, túnel IPSec: ESP DES/MD5) y, a continuación, haga clic en Aceptar.
  8. Haga clic para seleccionar la acción que acaba de crear.
  9. Haga clic en la ficha Métodos de autenticación , configure el método de autenticación que desee (usar clave previamente compartida para las pruebas y, en caso contrario, utilice certificados). Kerberos es técnicamente posible si ambos extremos del túnel están en dominios de confianza y cada dirección IP del dominio (dirección IP de un controlador de dominio) es accesible en la red por ambos extremos del túnel durante la negociación de IKE del túnel (antes de que se establezca) de confianza. Pero esto es poco frecuente.
  10. Haga clic en Cerrar.
Volver al principio

Configurar una regla para un túnel de la RedB a la RedA

  1. En las propiedades de directiva IPSec, haga clic en Agregar para crear una nueva regla.
  2. Haga clic en la ficha Lista de filtros IP , haga clic para seleccionar la lista de filtros que creó (de la RedB a
    RedA).
  3. Haga clic en la ficha Configuración del túnel , haga clic en
    El extremo del túnel se especifica mediante esta dirección IP y escriba WIN2003extIP (donde
    WIN2003extIP es la dirección IP que se asigna al adaptador de red externa de puerta de enlace de Windows Server 2003).
  4. Haga clic en la ficha Tipo de conexión , haga clic en
    Todas las conexiones de red (o haga clic en red de área Local (LAN) si no se encuentra WIN2003extIP una ISDN, PPP, o conexión directa serie). Cualquier tráfico saliente en el tipo de interfaz que coincida con los filtros intenta ser un túnel en el extremo del túnel se especifica en la regla. El tráfico entrante que coincida con los filtros se descarta porque debe ser recibido segura por un túnel IPSec.
  5. Haga clic en la ficha Acción de filtrado y, a continuación, haga clic para seleccionar la acción de filtrado que ha creado.
  6. Haga clic en la ficha Métodos de autenticación y, a continuación, configure el mismo método que utilizó en la primera regla (debe utilizarse el mismo método en ambas reglas).
  7. Haga clic en Aceptar, asegúrese de que las dos reglas que ha creado están habilitadas en la directiva y, a continuación, haga clic en Aceptar de nuevo.
Volver al principio

Asignar la nueva directiva IPSec a la puerta de enlace de Windows Server 2003

En las directivas de seguridad IP en el complemento de MMC equipo Local, haga clic en la nueva directiva y, a continuación, haga clic en asignar. Aparece una flecha verde en el icono de carpeta situado junto a la directiva.

Después de asignar la directiva, tiene dos filtros activos adicionales (enrutamiento y acceso remoto crea automáticamente filtros IPSec para el tráfico L2TP). Para ver los filtros activos, escriba el comando siguiente en un símbolo del sistema:
netdiag/test: IPSec /debug
Opcionalmente, puede redirigir la salida de este comando a un archivo de texto para que pueda ver con un editor de texto (como Bloc de notas) escribiendo el comando siguiente:
netdiag/test: IPSec /debug > nombre de archivo.txt
El comando netdiag está disponible después de instalar las herramientas de soporte de Microsoft Windows Server 2003. Para instalar las herramientas de soporte, busque la carpeta Support\Tools en el CD-ROM de Windows Server 2003, haga clic en el archivo Suptools.msi y, a continuación, haga clic en instalar. Después de la instalación, puede que tenga que ejecutar el
comando Netdiag desde la carpeta de % SystemRoot %\Program Files\Support Tools (donde % SystemRoot % es la unidad donde está instalado Windows Server 2003).

Los filtros de túnel son similares al siguiente ejemplo:
Local IPSec Policy Active: 'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-}

There are two filters
From NetA to NetB
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC]
Rekey: 0 seconds / 0 bytes.
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetA Src Mask: -subnet mask-
Dest Addr: NetB Dest Mask: -subnet mask-
Tunnel Addr: 3rdExtIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags : Outbound
From NetB to NetA
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC]
Rekey: 0 seconds / 0 bytes.
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetB Src Mask: -subnet mask-
Dest Addr: NetA Dest Mask: -subnet mask-
Tunnel Addr: W2KextIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags: Inbound
Volver al principio

Configurar enrutamiento y acceso remoto filtrado

Si desea impedir que el tráfico que no tenga una dirección de origen o de destino que coincida con la RedA o
El RedB, cree un filtro de salida para la interfaz externa en el enrutamiento y acceso remoto de MMC para que el filtro descarte todo el tráfico excepto los paquetes de la RedA a
RedB. También crea un filtro de entrada para que el filtro descarte todo el tráfico excepto los paquetes de la RedB a
RedA. También tiene que permitir el tráfico hacia y desde
WIN2003extIP y 3rdExtIP para permitir la negociación de IKE cuando se esté creando el túnel. Enrutamiento y acceso remoto filtrado se realiza a través de IPSec. No es necesario que permitir específicamente el protocolo IPSec porque nunca llega a la capa de filtro de paquetes IP. El ejemplo siguiente es una representación muy sencilla de la arquitectura de Windows Server 2003 TCP/IP:
Application layer 
Transport layer (TCP|UDP|ICMP|RAW)
---- Network layer start ----
IP Packet Filter (where NAT/Routing and Remote Access filtering is done)
IPSec (where IPSec filters are implemented)
Fragmentation/Reassembly
---- Network layer end ------
NDIS Interface
Datalink layer
Physical layer
Para configurar los filtros en el servicio de enrutamiento y acceso remoto, cargue el enrutamiento y acceso remoto de MMC y siga estos pasos:
  1. Expanda el árbol de su servidor en enrutamiento y acceso remoto, expanda el subárbol Enrutamiento IP y, a continuación, haga clic en
    General.
  2. Haga clic en WIN2003extIPy, a continuación, haga clic en Propiedades.
  3. Haga clic en Filtros salientesy, a continuación, haga clic en
    Nuevo.
  4. Haga clic para seleccionar la red de origen y
    Casillas de verificación red de destino .
  5. En el cuadro red de origen , escriba la
    Dirección IP y máscara de subred para la RedA.
  6. En el cuadro de la red de destino , escriba la dirección IP y máscara de subred para el RedB.
  7. Mantenga el protocolo establecido a cualquieray, a continuación, haga clic en Aceptar.
  8. Haga clic en nuevoy, a continuación, haga clic para seleccionar la
    Casillas de verificación red de origen y la red de destino .
  9. En el cuadro red de origen , escriba la
    Dirección IP y máscara de subred para
    WIN2003extIP.
  10. En el cuadro de la red de destino , escriba la dirección IP y máscara de subred para la 3rdExtIP (para el uso de la negociación de IKE una máscara de subred 255.255.255.255).
  11. Mantenga el protocolo establecido a cualquieray, a continuación, haga clic en Aceptar.
  12. Haga clic para activar la casilla de verificación Descartar todos los paquetes excepto aquellos que cumplan los siguientes criterios y, a continuación, haga clic en
    OK.
  13. Haga clic en Filtros de entrada, haga clic en
    Casillas de verificación de Agregary, a continuación, haga clic en para seleccionar la red de origen y la red de destino .
  14. En el cuadro red de origen , escriba la
    Dirección IP y máscara de subred para
    RedB.
  15. En el cuadro de la red de destino , escriba la dirección IP y máscara de subred para la RedA.
  16. Mantenga el protocolo establecido a cualquieray, a continuación, haga clic en Aceptar.
  17. Haga clic en nuevoy, a continuación, haga clic para seleccionar la
    Casillas de verificación red de origen y la red de destino .
  18. En el cuadro red de origen , escriba la
    Dirección IP y máscara de subred para la 3rdExtIP.
  19. En el cuadro de la red de destino , escriba la dirección IP y máscara de subred para la WIN2003extIP (para el uso de la negociación de IKE una máscara de subred 255.255.255.255).
  20. Mantenga el protocolo establecido a cualquieray, a continuación, haga clic en Aceptar.
  21. Haga clic para activar la casilla de verificación Descartar todos los paquetes excepto aquellos que cumplan los siguientes criterios y, a continuación, haga clic en
    Aceptar dos veces.

    Nota: Si el servidor de enrutamiento y acceso remoto tiene más de una interfaz que está conectada a Internet, o si hay varios túneles IPSec, crear filtros exentos de enrutamiento y acceso remoto para cada túnel IPSec (cada subred IP origen y destino) para todas las interfaces de Internet.
Volver al principio

Configurar rutas estáticas en Enrutamiento y acceso remoto

La puerta de enlace de Windows Server 2003 debe tener una ruta en su tabla de rutas para la RedB. Para configurar esta ruta, agregar una ruta estática en el enrutamiento y acceso remoto de MMC. Si la puerta de enlace de Windows Server 2003 es multitarjeta con dos o más adaptadores de red en la misma red externa (o dos o más redes que pueden llegar a la IP de túnel de destino
3rdExtIP), existe el potencial para lo siguiente:
  • Tráfico del túnel saliente sale de una interfaz, y el tráfico de túnel entrante se recibe en una interfaz diferente. Incluso si utiliza adaptadores de red IPSec de descarga, recepción en una interfaz diferente (que se envía el tráfico del túnel saliente) no permite al adaptador de red receptor procesar el cifrado en el hardware, porque sólo la interfaz saliente puede descargar la asociación de seguridad (SA).
  • Tráfico del túnel saliente sale de una interfaz que es diferente de la interfaz que tiene la dirección IP del extremo del túnel. La IP de origen del paquete de túnel es la dirección IP de origen en la interfaz saliente. Si no es la dirección IP de origen que espera el otro extremo, el túnel no se establece (o el extremo remoto descarta los paquetes si ya se ha establecido el túnel).
Para evitar el envío de tráfico del túnel saliente en la interfaz equivocada, defina una ruta estática para que se enlace el tráfico a
RedB con la interfaz externa apropiada:
  1. En el enrutamiento y acceso remoto de MMC, expanda el árbol de su servidor, expanda el subárbol Enrutamiento IP , haga clic en
    Las Rutas estáticasy, a continuación, haga clic en ruta estática nueva.
  2. En el cuadro de la interfaz , haga clic en
    WIN2003extIP (si esto es la interfaz que desea usar siempre para el tráfico del túnel saliente).
  3. Escriba la red de destino y la máscara de red para el RedB.
  4. En el cuadro puerta de enlace , escriba
    3rdextip.
  5. Mantenga el valor de métrica establecido a su valor predeterminado (1) y, a continuación, haga clic en Aceptar.

    Nota: Para solucionar el problema de recibir tráfico de túnel entrante en la interfaz equivocada, no anunciar dirección IP de la interfaz con un protocolo de enrutamiento. Además, configure un filtro en el servicio de enrutamiento y acceso remoto para descartar los paquetes para la RedA o
    WIN2003extIP como se indica en la sección "Configurar el enrutamiento y filtrado de acceso remoto" de este artículo.
Volver al principio

Probar un túnel IPSec

Puede iniciar el túnel si hace ping desde un equipo en
RedA a un equipo de
RedB (o de la RedB a
RedA). Si ha creado los filtros correctamente y asignado la directiva correcta, las dos puertas de enlace establecen un túnel IPSec de forma que puedan enviar el tráfico ICMP desde el comando ping en formato cifrado. Incluso si el comando ping funciona, compruebe que el tráfico ICMP se envió en formato cifrado de puerta de enlace a puerta de enlace. Puede utilizar las siguientes herramientas para ello.

Volver al principio

Habilitar la auditoría de sucesos de inicio de sesión y el acceso a objetos

Registra los sucesos en el registro de seguridad. Esto le indica si se intentó la negociación de asociación de seguridad IKE y si tuvo éxito o no.
  1. Con el complemento de MMC Directiva de grupo, expanda Directiva de equipo Local, expanda Configuración del equipo, expanda Configuración de Windows, expanda Configuración de seguridad, expanda Directivas localesy, a continuación, haga clic en
    Directiva de auditoría.
  2. Habilitar el éxito y la auditoría de errores para Auditar sucesos de inicio de sesión y Auditar acceso a objetos.

    Nota: Si la puerta de enlace de Windows Server 2003 es un miembro de un dominio y está usando una directiva de dominio para la auditoría, la directiva de dominio sobrescribe su directiva local. En este caso, modifique la directiva de dominio.
Volver al principio

Monitor de seguridad IP

La consola Monitor de seguridad IP muestra estadísticas de IPSec y las asociaciones de seguridad activas (SA). Después de intentar establecer el túnel mediante el
comando ping , puede ver si se ha creado una asociación de seguridad (si la creación del túnel es correcta, se muestra una asociación de seguridad). Si el comando ping es correcto pero no hay ninguna asociación de seguridad, el tráfico ICMP no se ha protegido por IPSec. Si ve una "asociación débil" que no existía antes, IPSec acordó permitir este tráfico "desactive" (sin cifrado). Para obtener información adicional acerca de "Asociaciones débiles", haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
234580 "Asociaciones transferibles" entre equipos habilitados para IPSec y no habilitados para IPSec


Nota: En Microsoft Windows XP y la familia Windows Server 2003, el Monitor de seguridad IP se implementa como una consola de Microsoft Management Console (MMC). Para agregar el complemento Monitor de seguridad IP, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba MMCy, a continuación, haga clic en Aceptar.
  2. Haga clic en archivo, haga clic en Agregar o quitar complementoy, a continuación, haga clic en Agregar.
  3. Haga clic en Monitor de seguridad IPy, a continuación, haga clic en
    Agregar.
  4. Haga clic en Cerrary, a continuación, haga clic en
    OK.
Volver al principio

Monitor de red

Puede utilizar Monitor de red para capturar el tráfico que pasa a través de la
Interfaz de WIN2003extIP mientras intenta hacer ping al equipo. Si puede ver paquetes ICMP en el archivo de captura que tienen origen y direcciones IP de destino que corresponden a las direcciones IP del equipo que está haciendo ping desde y el equipo que intenta hacer ping, IPSec no está protegiendo el tráfico. Si no ve este tráfico ICMP pero ve paquetes ISAKMP y ESP en su lugar, IPSec está protegiendo el tráfico. Si está usando sólo el protocolo IPSec encabezado de autenticación (AH), verá el tráfico ISAKMP seguido de los paquetes de ICMP. Paquetes de ISAKMP indican que la negociación de IKE real está produciendo y paquetes de ESP son los datos de carga cifrados por el protocolo IPSec.

Para instalar a Monitor de red, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Panel de Control, haga clic en Agregar o quitar programasy, a continuación, haga clic en
    Agregar o quitar componentes de Windows.
  2. En el Asistente para componentes de Windows, haga clic en Herramientas administración y supervisióny, a continuación, haga clic en Detalles.
  3. En Subcomponentes de administración y herramientas de supervisión, haga clic para activar la casilla de verificación Herramientas del Monitor de redy, a continuación, haga clic en Aceptar.
  4. Si le piden archivos adicionales, inserte el CD de instalación para su sistema operativo o escriba una ruta de acceso de la ubicación de los archivos en la red.
Volver al principio

Prueba real

  1. Antes de intentar ping desde un equipo de una subred en el otro (RedA o RedB), escriba ipconfig en un símbolo del sistema. Se muestran las interfaces de red que se inicializan en la pila de TCP/IP.
  2. Inicie la herramienta Monitor de seguridad IP.
  3. Iniciar Monitor de red y, a continuación, en el
    Menú captura , haga clic en redes. Haga clic en el
    Interfaz de WIN2003extIP y, a continuación, haga clic en
    OK.
  4. Intente hacer ping a la computadora. Los primeros paquetes de eco ICMP pueden agotar el tiempo mientras se está creando el túnel IPSec. Si el ping no es correcta, compruebe los registros de seguridad y del sistema.
  5. Si el ping se realiza correctamente, detenga la captura de Monitor de red y observe si el tráfico ICMP estaba "sin cifrar" o si sólo ve paquetes de protocolo ISAKMP e IPSec. Compruebe el Monitor de seguridad IP para ver si una asociación de seguridad se creó utilizando el filtro de RedA o RedBque creó. Además, compruebe el registro de seguridad. Debería ver el Id. de suceso 541 (asociación de seguridad IKE establecida).
  6. Escriba ipconfig en el símbolo del sistema para comprobar que no hay ninguna otra interfaz TCP/IP mientras el túnel está en uso. Este comportamiento se produce debido a que IPSec está protegiendo el tráfico que pasa por la interfaz física (WIN2003extIP).

    Si la puerta de enlace remota también es un nodo de Windows Server 2003, recuerde lo siguiente:
    • La puerta de enlace predeterminada para los clientes en
      RedA es WIN2003extIP. La puerta de enlace predeterminada para los clientes de la RedB
      3rdIntIP.
    • Un túnel IPSec no cambia la forma en que el tráfico se enruta en la puerta de enlace de Windows Server 2003. (Esta puerta de enlace puede enrutar paquetes porque el enrutamiento está habilitado en Enrutamiento y acceso remoto. Todavía se utiliza la métrica de interfaz de LAN o WAN real.)
Volver al principio

Referencias

Para obtener más información acerca del servicio de enrutamiento y acceso remoto, consulte la Ayuda en pantalla de Windows Server 2003.

Para ver el Kit de recursos de Windows Server 2003 y demás documentación técnica, visite el siguiente sitio Web de Microsoft:Para obtener información de estándares IETF, visite los siguientes sitios:Microsoft proporciona información de contacto de terceros para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no garantiza la exactitud de esta información de contacto de terceros.
Propiedades

Id. de artículo: 816514 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios