Cmo

configurar

el

tnel

IPSec

en

Windows Server 2003

Puede utilizar seguridad IP (IPSec) en el modo de tnel para encapsular paquetes de protocolo Internet (IP) y, opcionalmente, cifrarlos. La razn principal para usar el modo de tnel IPSec (en ocasiones denominado "tnel IPSec puro") en Windows Server 2003 es para la interoperabilidad con enrutadores no sea de Microsoft o puertas de enlace que no son compatibles con la capa de protocolo de tnel 2 (L2TP) / tecnologa de tnel (VPN) de red privada virtual de IPSec o PPTP. volver al principio

Volver al principio | Enviar comentarios Windows Server 2003 admite tneles IPSec en situaciones donde ambos extremos del tnel tengan direcciones IP estticas.Esto es principalmente til en implementaciones de puerta de enlace a puerta de enlace. Sin embargo, tambin pueden funcionar para los escenarios de seguridad de red especializada entre una puerta de enlace o enrutador y un servidor. (Por ejemplo, un enrutador de Windows Server 2003 que enruta el trfico desde su interfaz externa a un equipo basado en Windows Server 2003 interno que asegura la ruta de acceso interna mediante el establecimiento de un tnel IPSec al servidor interno que proporciona servicios a los clientes externos). No se admiten tneles IPSec de Windows Server 2003 para clientes de acceso remoto VPN utilice porque el IPSec de Internet Engineering Task Force (IETF) solicitudes de comentarios (RFC) no proporcionan actualmente una solucin de acceso remoto en el protocolo de intercambio de claves de Internet (IKE) para las conexiones de cliente a puerta de enlace. IETF RFC 2661, Layer Two Tunneling Protocol "L2TP", fue desarrollado especficamente por Cisco, Microsoft y otros para proporcionar conexiones VPN de acceso remoto de cliente. En Windows Server 2003, las conexiones VPN de acceso remoto de clientes estn protegidas mediante una directiva IPSec generada automticamente que usa el modo de transporte IPSec (no el modo de tnel) cuando se selecciona el tipo de tnel L2TP. Tambin tneles IPSec de Windows Server 2003 no admite tneles especficos de un puerto y protocolos especficos. Aunque el complemento Microsoft Management Console (MMC) Directiva de IPSec es muy general y permite asociar cualquier tipo de filtro a un tnel, asegrese de usar slo la informacin de direccin de la especificacin de un filtro de una regla de tnel. Para obtener ms informacin acerca de cmo funcionan los protocolos IPSec e IKE, consulte el Kit de recursos de Microsoft Windows Server 2003. En este artculo se describe cmo configurar un tnel IPSec en una puerta de enlace de Windows Server 2003. Como el tnel IPSec asegura el nico trfico que se especifica en los filtros IPSec que

configura, este artculo tambin describe cmo configurar filtros en el servicio de enrutamiento y acceso remoto para evitar que el trfico de fuera del tnel que se reciba o se reenve. En este artculo se utiliza el siguiente escenario que sea fcil de seguir los pasos de configuracin:

RedA-Puerta de enlace Windows WIN2003intIP- Server 2003: -WIN2003extIP-

-no-puerta de enlace Internet- de Microsoft: -3rdExtIP-

-La RedB 3rdIntIP

NetA es el identificador de la red interna de puerta de enlace de Windows Server 2003. WIN2003intIP es la direccin IP que se asigna al adaptador de red interno de puerta de enlace de Windows Server 2003. WIN2003extIP es la direccin IP asignada al adaptador de red externa de la puerta de enlace de Windows Server 2003. 3rdExtIP es la direccin IP que se asigna al adaptador de red externa de puerta de enlace no son de Microsoft. 3rdIntIP es la direccin IP que se asigna al adaptador de red interno de puerta de enlace no son de Microsoft. NetB es el identificador de la red interna de la puerta de enlace no son de Microsoft. El objetivo es la puerta de enlace de Windows Server 2003 y la puerta de enlace no son de Microsoft para establecer un tnel IPSec cuando el trfico de la NetA debe enrutarse a NetB o cuando pueda debe enrutar el trfico de NetB a la NetA por lo que el trfico se enruta a travs de una sesin segura. Si desea configurar una directiva IPSec, debe crear dos filtros: un filtro para que coincida con los paquetes de la NetA a NetB(tnel 1) y un filtro para que coincida con los paquetes de NetB a la NetA (tnel 2). Debe configurar una accin de filtrado para especificar cmo se protege el tnel (un tnel se representa mediante una regla, por lo que se crean dos reglas). volver al principio

Crear directivas IPSec

Normalmente, una puerta de enlace de Windows Server 2003 no es un miembro de un dominio, por lo que se crea una directiva IPSec local. Si la puerta de enlace de Windows Server 2003 es un miembro de un dominio que tiene la directiva de IPSec que se aplican a todos los miembros del dominio de forma predeterminada, esto evita que la puerta de enlace de Windows Server 2003 de una directiva IPSec local. En este caso, puede crear una unidad organizativa en Active Directory, hacer la puerta de enlace de Windows Server 2003 que sea miembro de esta unidad organizativa y asignar la directiva IPSec para el objeto de directiva de grupo (GPO) de la unidad organizativa. Para

obtener ms informacin, consulte la Ayuda en pantalla de la seccin "Crear, modificar y asignar directivas IPSec" de Windows Server 2003. 1. Haga clic en Inicio, haga clic en Ejecutary, a continuacin, escriba secpol.msc para iniciar el complemento Administracin de directivas de seguridad IP. 2. Haga clic en Directivas de seguridad IP en equipo Localy, a continuacin, haga clic en Crear directiva de seguridad IP. 3. Haga clic en siguientey, a continuacin, escriba un nombre para la directiva (por ejemplo, Tnel IPSec con Gateway Microsoft). Haga clic en siguiente. Nota Tambin puede escribir informacin en el cuadro Descripcin .. Haga clic para desactivar la casilla de verificacin activar la regla de respuesta predeterminada y, a continuacin, haga clic en siguiente. 5. Haga clic en Finalizar (deje activada la casilla de verificacin Edicin ).). Nota La directiva IPSec se crea con la configuracin predeterminada para el modo principal de IKE. El tnel IPSec se compone de dos reglas. Cada regla especifica un extremo del tnel. Como hay dos extremos del tnel, hay dos reglas. Los filtros de cada regla deben representar las direcciones IP de origen y de destino de los paquetes IP que se envan a un extremo del tnel de dicha regla. 4. volver al principio

Crear la directiva IPSec

En Propiedades de la nueva directiva, haga clic para desactivar la casilla de verificacin Usar Asistente para agregar y, a continuacin, haga clic en Agregar para crear una nueva regla. 2. Haga clic en la ficha Lista de filtros IP y, a continuacin, haga clic en Agregar. 3. Escriba un nombre apropiado para la lista de filtros, haga clic para desactivar la casilla de verificacin Usar Asistente para agregar y, a continuacin, haga clic en Agregar. 4. En el cuadro direccin de origen , haga clic en Una subred IP especficay, a continuacin, escriba la Direccin IP y lamscara de subredde NetA. 5. En el cuadro de direccin de destino , haga clic en Una subred IP especficay, a continuacin, escriba la Direccin IP y la mscara de subred para NetB. 6. Haga clic para desactivar la casilla de verificacin reflejado .. 7. Haga clic en la ficha protocolo Asegrese de que el tipo de protocolo se establece a cualquier, porque los tneles IPSec no admiten filtros especficos de un puerto o protocolo. 8. Si desea escribir una descripcin para el filtro, haga clic en la ficha Descripcin . Generalmente es una buena idea dar al filtro el mismo nombre que utiliz para la lista de filtros. El nombre de filtro aparece en el monitor de IPSec cuando el tnel est activo. 9. Haga clic en Aceptar. volver al principio 1.

Crear una lista de filtros de la RedA a la RedB

1. 2. Haga clic en la ficha Lista de filtros IP y, a continuacin, haga clic en Agregar. Escriba un nombre apropiado para la lista de filtros, haga clic para desactivar la casilla de verificacin Usar Asistente para agregar y, a continuacin, haga clic en Agregar.

En el cuadro direccin de origen , haga clic en Una subred IP especficay, a continuacin, escriba la Direccin IP y lamscara de subred para NetB. 4. En el cuadro de direccin de destino , haga clic en Una subred IP especficay, a continuacin, escriba la Direccin IP y la mscara de subred para la NetA. 5. Haga clic para desactivar la casilla de verificacin reflejado .. 6. Si desea escribir una descripcin para el filtro, haga clic en la ficha Descripcin .. 7. Haga clic en Aceptar. volver al principio

3.

Crear una lista de filtros de la RedB a la RedA

1. 2. Haga clic en la ficha Lista de filtros IP y, a continuacin, haga clic para seleccionar la lista de filtros que ha creado. Haga clic en la ficha Configuracin de tnel , haga clic en el extremo del tnel se especifica mediante esta direccin IP y, a continuacin, escriba 3rdextip (donde 3rdextip es la direccin IP que se asigna al adaptador de red externa de puerta de enlace no son de Microsoft). Haga clic en la ficha Tipo de conexin , haga clic en todas las conexiones de red (o haga clic en la red de rea Local (LAN) si WIN2003extIP no es una ISDN (RDSI), PPP o conexin serie de conexin directa). Haga clic en la ficha Accin de filtrado , haga clic para desactivar la casilla de verificacin Usar Asistente para agregary, a continuacin, haga clic en Agregar para crear una nueva accin de filtrado, ya que las acciones predeterminadas permiten el trfico entrante en texto sin cifrar. Mantenga activada la opcin de negociar la seguridad y, a continuacin, haga clic para desactivar la casilla de verificacin Aceptar comunicacin no segura, pero responder siempre usando IPSec . Debe hacerlo para un funcionamiento seguro. Nota Ninguna de las casillas de verificacin en la parte inferior del cuadro de dilogo Accin de filtrado se seleccionan como configuracin inicial para una accin de filtrado que se aplica a reglas de tnel. Slo la casilla de verificacin utilizar confidencialidad directa perfecta (PFS) de clave de sesin es una opcin vlida para los tneles si el otro extremo del tnel tambin se configura para usar esta opcin. Haga clic en Agregary mantener seleccionada la opcin de integridad y cifrado (o puede seleccionar la opcinpersonalizada (para usuarios expertos) si desea definir algoritmos y la duracin de clave de sesin). Encapsulating Security Payload (ESP) es uno de los dos protocolos de IPSec. Haga clic en Aceptar. Haga clic en la ficha General , escriba un nombre para la nueva accin de filtrado (por ejemplo,tnel IPSec: ESP DES/MD5) y, a continuacin, haga clic en Aceptar. Haga clic para seleccionar la accin que acaba de crear. Haga clic en la ficha Mtodos de autenticacin , configure el mtodo de autenticacin que desee (usar la clave previamente compartida para las pruebas y en caso contrario, utilice certificados). Kerberos es tcnicamente posible si ambos extremos del tnel estn en dominios de confianza y cada direccin IP del dominio (direccin IP de un controlador de dominio) es accesible en la red por ambos

3.

4.

5.

6.

7.

8. 9.

extremos del tnel durante la negociacin de IKE del tnel (antes de que se establezca) de confianza. Pero esto es poco frecuente. 10. Haga clic en Cerrar. volver al principio

Configurar una regla para un tnel de la RedA a la RedB

En Propiedades de directiva IPSec, haga clic en Agregar para crear una nueva regla. Haga clic en la ficha Lista de filtros IP , haga clic para seleccionar la lista de filtros que cre (de NetB a la NetA). 3. Haga clic en la ficha Configuracin de tnel , haga clic en el extremo del tnel se especifica mediante esta direccin IP y, a continuacin, escriba WIN2003extIP (donde WIN2003extIP es la direccin IP asignada al adaptador de red externa de la puerta de enlace de Windows Server 2003). 4. Haga clic en la ficha Tipo de conexin , haga clic en todas las conexiones de red (o haga clic en la red de rea Local (LAN) si WIN2003extIP no es una ISDN (RDSI), PPP o conexin serie de conexin directa). Cualquier trfico saliente en el tipo de interfaz que coincida con los filtros intenta ser incluido en el tnel en el extremo del tnel se especifica en la regla. El trfico entrante que coincida con los filtros se descarta porque debe ser recibido segura por un tnel IPSec. 5. Haga clic en la ficha Accin de filtrado y, a continuacin, haga clic para seleccionar la accin que ha creado. 6. Haga clic en la ficha Mtodos de autenticacin y, a continuacin, configure el mismo mtodo que utiliz en la primera regla (debe utilizarse el mismo mtodo en ambas reglas). 7. Haga clic en Aceptar, asegrese de que las dos reglas que ha creado estn habilitadas en la directiva y, a continuacin, haga clic en Aceptar de nuevo.. volver al principio 1. 2.

Configurar una regla para un tnel de la RedB a la RedA

En las directivas de seguridad IP en el complemento de MMC equipo Local, haga clic en la nueva directiva y, a continuacin, haga clic en asignar. Aparece una flecha verde en el icono de carpeta junto a la directiva. Despus de asignar la directiva, tiene dos filtros activos adicionales (enrutamiento y acceso remoto crea automticamente filtros IPSec para el trfico L2TP). Para ver los filtros activos, escriba el comando siguiente en un smbolo del sistema: netdiag/test: IPSec /debug Opcionalmente, puede redirigir la salida de este comando a un archivo de texto para que pueda ver con un editor de texto (como el Bloc de notas) escribiendo el comando siguiente: netdiag/test: IPSec /debug > filename.txt El comando netdiag est disponible despus de instalar las herramientas de soporte de Microsoft Windows Server 2003. Para instalar las herramientas de soporte, busque la carpeta Support\Tools en el CD-ROM de Windows Server 2003, haga clic en el archivo Suptools.msi y, a continuacin, haga clic en instalar. Despus de la instalacin, tendr que ejecutar el comandonetdiag desde la carpeta de herramientas %SystemRoot%\Program Files\Support (donde %SystemRoot% es la unidad donde est instalado Windows Server 2003).

Los filtros de tnel un aspecto similares al siguiente ejemplo: Local IPSec Policy Active: 'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-} There are two filters From NetA to NetB Filter ID: {-long number-} Policy ID: {-long number-} IPSEC_POLICY PolicyId = {-long number-} Flags: 0x0 Tunnel Addr: 0.0.0.0 PHASE 2 OFFERS Count = 1 Offer #0: ESP[ DES MD5 HMAC] Rekey: 0 seconds / 0 bytes. AUTHENTICATION INFO Count = 1 Method = Preshared key: -actual keySrc Addr: NetA Src Mask: -subnet maskDest Addr: NetB Dest Mask: -subnet maskTunnel Addr: 3rdExtIP Src Port: 0 Dest Port: 0 Protocol: 0 TunnelFilter: Yes Flags : Outbound From NetB to NetA Filter ID: {-long number-} Policy ID: {-long number-} IPSEC_POLICY PolicyId = {-long number-} Flags: 0x0 Tunnel Addr: 0.0.0.0 PHASE 2 OFFERS Count = 1 Offer #0: ESP[ DES MD5 HMAC] Rekey: 0 seconds / 0 bytes. AUTHENTICATION INFO Count = 1 Method = Preshared key: -actual keySrc Addr: NetB Src Mask: -subnet maskDest Addr: NetA Dest Mask: -subnet maskTunnel Addr: W2KextIP Src Port: 0 Dest Port: 0 Protocol: 0 TunnelFilter: Yes Flags: Inbound volver al principio

Asignar la nueva directiva IPSec a la puerta de enlace de Windows Server 2003

Si desea evitar que el trfico que no tiene un origen o direccin de destino que coincide con la NetA o NetB, cree un filtro de salida para la interfaz externa en el enrutamiento y acceso remoto de MMC para que el filtro descarte todo el trfico excepto los paquetes de la NetA a NetB. Tambin puede crear un filtro de entrada para que el filtro de descartar todo el trfico excepto los paquetes de NetB a la NetA. Tambin debe permitir el trfico de WIN2003extIP y 3rdExtIP para permitir la negociacin de IKE cuando se est creando el tnel. Enrutamiento y filtrado de acceso remoto se

realiza a travs de IPSec. No es necesario que permitir especficamente el protocolo IPSec porque nunca llega a la capa de filtro de paquetes IP. El ejemplo siguiente es una representacin muy sencilla de la arquitectura TCP/IP de Windows Server 2003: Application layer Transport layer (TCP|UDP|ICMP|RAW) ---- Network layer start ---IP Packet Filter (where NAT/Routing and Remote Access filtering is done) IPSec (where IPSec filters are implemented) Fragmentation/Reassembly ---- Network layer end -----NDIS Interface Datalink layer Physical layer Para configurar los filtros en el servicio de enrutamiento y acceso remoto, cargue el enrutamiento y acceso remoto de MMC y siga estos pasos: 1. Expanda el rbol de su servidor en enrutamiento y acceso remoto, expanda el subrbol de Enrutamiento IP y, a continuacin, haga clic en General. 2. Haga clic en WIN2003extIPy, a continuacin, haga clic en Propiedades. 3. Haga clic en Filtros de saliday, a continuacin, haga clic en nuevo. 4. Haga clic para activar las casillas de verificacin de la red de origen y destino .. 5. En el cuadro de la red de origen , escriba la direccin IP y la mscara de subred para la NetA. 6. En el cuadro de la red de destino , escriba la direccin IP y la mscara de subred para NetB. 7. Mantenga el protocolo establecido a cualquieray, a continuacin, haga clic en Aceptar. 8. Haga clic en nuevoy, a continuacin, haga clic para activar las casillas de verificacin de la red de origen y destino .. 9. En el cuadro de la red de origen , escriba la direccin IP y la mscara de subred WIN2003extIP. 10. En el cuadro de la red de destino , escriba la direccin IP y la mscara de subred para 3rdExtIP (para uso de negociacin IKE una mscara de subred 255.255.255.255). 11. Mantenga el protocolo establecido a cualquieray, a continuacin, haga clic en Aceptar. 12. Haga clic para activar la casilla de verificacin Omitir todos los paquetes excepto aquellos que cumplan los siguientes criterios y, a continuacin, haga clic en Aceptar. 13. Haga clic en Filtros de entrada, haga clic en Agregary, a continuacin, haga clic para activar las casillas de verificacin de la red de origen y la red de destino .. 14. En el cuadro de la red de origen , escriba la direccin IP y la mscara de subred para NetB. 15. En el cuadro de la red de destino , escriba la direccin IP y la mscara de subred para la NetA. 16. Mantenga el protocolo establecido a cualquieray, a continuacin, haga clic en Aceptar. 17. Haga clic en nuevoy, a continuacin, haga clic para activar las casillas de verificacin de la red de origen y destino ..

18. En el cuadro de la red de origen , escriba la direccin IP y la mscara de subred 3rdExtIP. 19. En el cuadro de la red de destino , escriba la direccin IP y la mscara de subred para WIN2003extIP (para uso de negociacin IKE una mscara de subred 255.255.255.255). 20. Mantenga el protocolo establecido a cualquieray, a continuacin, haga clic en Aceptar. 21. Haga clic para activar la casilla de verificacin Omitir todos los paquetes excepto aquellos que cumplan los siguientes criterios y, a continuacin, haga clic en Aceptar dos veces. Nota Si el servidor de enrutamiento y acceso remoto tiene ms de una interfaz que est conectada a Internet, o si hay varios tneles IPSec, crear filtros exentos de enrutamiento y acceso remoto para cada tnel IPSec (cada subred IP origen y destino) para cada interfaz de Internet. volver al principio

Configurar enrutamiento y acceso remoto filtrado

La puerta de enlace de Windows Server 2003 debe tener una ruta en su tabla de rutas para NetB. Para configurar esta ruta, agregar una ruta esttica en el enrutamiento y acceso remoto de MMC. Si la puerta de enlace de Windows Server 2003 es de host mltiple con dos o ms adaptadores de red en la misma red externa (o dos o ms redes que pueden llegar a la IP de tnel de destino 3rdExtIP), existe el potencial para lo siguiente: El trfico del tnel saliente sale de una interfaz y el entrante se recibe en una interfaz diferente. Incluso si utiliza adaptadores de red IPSec de descarga, recepcin en una interfaz diferente (que se enva el trfico del tnel saliente) no permite al adaptador de red receptor procesar el cifrado en el hardware, porque slo la interfaz saliente puede descargar la asociacin de seguridad (SA). Trfico del tnel saliente sale de una interfaz en el que es diferente de la interfaz que tiene la direccin IP del extremo del tnel. La direccin IP de origen del paquete de tnel es la direccin IP de origen en la interfaz de salida. Si no es la direccin IP de origen que espera el otro extremo, el tnel no se establece (o el extremo remoto descarta los paquetes si ya se ha establecido el tnel). Para evitar el envo de trfico del tnel saliente en la interfaz equivocada, defina una ruta esttica para que se enlace el trfico a NetB con la interfaz externa apropiada: 1. En el enrutamiento y acceso remoto de MMC, expanda el rbol de su servidor, expanda el subrbol de Enrutamiento IP , haga clic en Rutas estticasy, a continuacin, haga clic en ruta esttica nueva. 2. En el cuadro de la interfaz , haga clic en WIN2003extIP (si se trata de la interfaz que desea usar siempre para el trfico del tnel saliente). 3. Escriba la red de destino y la mscara de red para NetB. 4. En el cuadro de la puerta de enlace , escriba 3rdextip . 5. Mantenga el valor de mtrica establecido a su valor predeterminado (1) y, a continuacin, haga clic en Aceptar. Nota Para solucionar el problema de recibir trfico de tnel entrante en la interfaz equivocada, no anuncian la direccin IP de la interfaz mediante el uso de un protocolo

de enrutamiento. Adems, puede configurar un filtro en el servicio de enrutamiento y acceso remoto para colocar los paquetes para la NetA o WIN2003extIP como se indica en la seccin "Configurar el enrutamiento y filtrado de acceso remoto" de este artculo. volver al principio

Configurar rutas estticas en Enrutamiento y acceso remoto

Puede iniciar el tnel si hace ping desde un equipo de la NetA a un equipo de NetB (o desde NetB a la NetA). Si ha creado los filtros correctamente y asignado la directiva correcta, las dos puertas de enlace establecen un tnel IPSec de forma que puedan enviar el trfico ICMP desde el comando ping en formato cifrado. Incluso si el comando ping funciona, compruebe que el trfico ICMP se envi en formato cifrado desde la puerta de enlace a la otra puerta de enlace. Puede utilizar las siguientes herramientas para ello. volver al principio

Probar un tnel IPSec

Registra los sucesos en el registro de seguridad. Esto le indica si se intent la negociacin de asociacin de seguridad IKE y si tuvo xito o no. 1. Mediante el complemento MMC de directiva de grupo, expanda Directiva de equipo Local, expanda Configuracin del equipo, expanda Configuracin de Windows, configuracin de Seguridad, expanda Directivas localesy, a continuacin, haga clic en Directiva de auditora. 2. Habilitar el xito y la auditora de errores para Auditar sucesos de inicio de sesin y Auditar acceso a objetos. Nota Si la puerta de enlace de Windows Server 2003 es un miembro de un dominio y est usando una directiva de dominio para la auditora, la directiva de dominio sobreescribe su directiva local. En este caso, modificar la directiva de dominio. volver al principio

Habilitar la auditora de sucesos de inicio de sesin y el acceso a objetos

La consola Monitor de seguridad IP muestra estadsticas de IPSec y las asociaciones de seguridad activas (SA). Despus de intentar establecer el tnel con el comando ping , puede ver si se ha creado una asociacin de seguridad (si la creacin del tnel es correcta, se muestra una asociacin de seguridad). Si el comando ping tiene xito pero no hay ninguna asociacin de seguridad, el trfico ICMP no estaba protegido por IPSec. Si ve una "asociacin dbil" que no exista antes, IPSec acord permitir que este trfico pasara "" (sin cifrado). Para obtener informacin adicional acerca de asociaciones"suave", haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base: 234580 Las "asociaciones dbiles" entre equipos habilitados para IPSec y no compatibles con IPSec

Nota En Microsoft Windows XP y la familia de Windows Server 2003, el Monitor de seguridad IP se

implementa como una consola de Microsoft Management Console (MMC). Para agregar el complemento Monitor de seguridad IP, siga estos pasos: 1. Haga clic en Inicio, haga clic en Ejecutar, escriba MMCy, a continuacin, haga clic en Aceptar. 2. Haga clic en archivo, haga clic en Agregar o quitar complementoy, a continuacin, haga clic en Agregar. 3. Haga clic en Monitor de seguridad IPy, a continuacin, haga clic en Agregar. 4. Haga clic en Cerrary, a continuacin, haga clic en Aceptar. volver al principio

Monitor de seguridad IP
Puede utilizar al Monitor de red para capturar el trfico que pasa a travs de la interfaz de WIN2003extIP mientras intenta hacer ping al equipo. Si puede ver paquetes ICMP en el archivo de captura que tienen origen y direcciones IP de destino que se corresponden con las direcciones IP del equipo que est haciendo ping de y el equipo que intenta hacer ping, IPSec no est protegiendo el trfico. Si no ve este trfico ICMP pero ve paquetes ISAKMP y ESP en su lugar, IPSec est protegiendo el trfico.Si est usando slo el protocolo IPSec encabezado de autenticacin (AH), ver el trfico de ISAKMP seguido de los paquetes de ICMP. Paquetes de ISAKMP indican que la negociacin de IKE real que se producen y los paquetes de ESP son los datos de carga cifrados por el protocolo IPSec. Para instalar al Monitor de red, siga estos pasos: 1. Haga clic en Inicio, haga clic en Panel de Control, haga clic en Agregar o quitar programasy, a continuacin, haga clic en Agregar o quitar componentes de Windows. 2. En el Asistente para componentes de Windows, haga clic en administracin y herramientas de supervisiny, a continuacin, haga clic en Detalles. 3. En Subcomponentes de administracin y herramientas de supervisin, haga clic para activar la casilla de verificacinHerramientas del Monitor de red y, a continuacin, haga clic en Aceptar. 4. Si se le solicitan archivos adicionales, inserte el CD de instalacin para su sistema operativo, o escriba una ruta de acceso de la ubicacin de los archivos en la red. volver al principio

Monitor de red
1. Antes de intentar ping desde un equipo de una subred para el otro ( NetA o NetB), escriba ipconfig en un smbolo del sistema. Se muestran las interfaces de red que se inicializan en la pila de TCP/IP. Inicie la herramienta Monitor de seguridad IP. Iniciar el Monitor de red y, a continuacin, en el men captura , haga clic en redes. Haga clic en la interfaz deWIN2003extIP y, a continuacin, haga clic en Aceptar. Intente hacer ping a la computadora. Los primeros paquetes de eco ICMP pueden agotar el tiempo mientras se est creando el tnel IPSec. Si el ping no es correcta, compruebe los registros de seguridad y del sistema.

2. 3.

4.

5.

6.

Si el ping se realiza correctamente, detenga la captura del Monitor de red y compruebe si el trfico ICMP estaba "limpio", o si slo ve los paquetes de protocolo ISAKMP e IPSec. Consulte Monitor de seguridad IP para ver si una asociacin de seguridad se ha creado con la NetA o filtro de NetB que ha creado. Compruebe tambin el registro de seguridad. Debera ver el ID de suceso 541 (asociacin de seguridad IKE establecida). Escriba ipconfig en el smbolo del sistema para comprobar que no hay ninguna otra interfaz TCP/IP mientras el tnel est en uso. Este comportamiento se produce porque IPSec protege el trfico que pasa por la interfaz fsica ( WIN2003extIP).

Si la puerta de enlace remota tambin es un nodo de Windows Server 2003, recuerde lo siguiente: o La puerta de enlace predeterminada para los clientes de la NetA es WIN2003extIP. La puerta de enlace predeterminada para los clientes de NetB es 3rdIntIP. o Un tnel IPSec no cambia la forma en que el trfico se enruta en la puerta de enlace de Windows Server 2003.(Esta puerta de enlace puede enrutar paquetes porque el enrutamiento est habilitado en Enrutamiento y acceso remoto. La mtrica de interfaz de LAN o WAN real se siguen utilizando.) volver al principio Volver al principio | Enviar comentarios

Referencias
Para obtener ms informacin acerca del servicio de enrutamiento y acceso remoto, consulte la Ayuda en pantalla de Windows Server 2003. Para ver el Kit de recursos de Windows Server 2003 y dems documentacin tcnica, visite el siguiente sitio Web de Microsoft: http://www.Microsoft.com/windowsserver2003/default.mspx Para obtener informacin de estndares IETF, visite los siguientes sitios: IPSec http://www.ietf.org/rfc/rfc2401.txt L2TP http://www.ietf.org/HTML.charters/pppext-charter.HTML FTP://FTP.isi.edu/in-Notes/rfc2661.txt http://www.ietf.org/HTML.charters/l2tpext-charter.HTML Microsoft proporciona informacin de contacto de otros proveedores para ayudarle a encontrar soporte tcnico. Esta informacin de contacto puede cambiar sin previo aviso. Microsoft no garantiza la exactitud de esta informacin de contacto de terceros.