Red Privada Virtual PDF

IBM
iSeries
Red privada virtual
IBM
iSeries
Red privada virtual
Copyright International Business Machines Corporation 1998, 2001. Reservados todos los derechos.
Contenido
Red privada virtual . . . . . . . . . . . . . . . . . . . . . . . . . .
Novedades de la V5R1 . . . . . . . . . . . . . . . . . . . . . . . . .
Imprimir este tema . . . . . . . . . . . . . . . . . . . . . . . . . .
Migrar desde un release anterior . . . . . . . . . . . . . . . . . . . . .
Escenarios de VPN . . . . . . . . . . . . . . . . . . . . . . . . . .
Escenario VPN: conexin entre sucursales . . . . . . . . . . . . . . . .
Escenario VPN: conexin de empresa a empresa . . . . . . . . . . . . .
Escenario de VPN: tnel voluntario L2TP protegido por VPN . . . . . . . . .
Protocolos y conceptos de VPN . . . . . . . . . . . . . . . . . . . . .
Protocolos IPSec (IP Security). . . . . . . . . . . . . . . . . . . . .
Protocolo de intercambio de claves de Internet . . . . . . . . . . . . . .
Layer 2 Tunnel Protocol (L2TP) . . . . . . . . . . . . . . . . . . . .
Conversin de direcciones de red para VPN . . . . . . . . . . . . . . .
Compresin IP (IPComp) . . . . . . . . . . . . . . . . . . . . . .
Requisitos de configuracin de OS/400 VPN . . . . . . . . . . . . . . . .
Planificacin de VPN . . . . . . . . . . . . . . . . . . . . . . . . .
Determinar qu tipo de VPN se va a crear . . . . . . . . . . . . . . . .
Completar las hojas de trabajo de planificacin VPN . . . . . . . . . . . .
Configuracin de VPN. . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de las conexiones con el asistente Conexin VPN . . . . . . . .
Configuracin de las polticas de seguridad VPN . . . . . . . . . . . . . .
Configuracin de la conexin VPN segura . . . . . . . . . . . . . . . .
Configuracin de una conexin manual . . . . . . . . . . . . . . . . .
Configuracin de las reglas de paquetes VPN . . . . . . . . . . . . . . .
Inicio de una conexin VPN . . . . . . . . . . . . . . . . . . . . .
Gestin de OS/400 VPN con Operations Navigator . . . . . . . . . . . . . .
Establecimiento de los atributos por omisin de las conexiones . . . . . . . .
Restablecimiento de las conexiones en estado de error . . . . . . . . . . .
Visualizacin de la informacin de error . . . . . . . . . . . . . . . . .
Visualizacin de los atributos de las conexiones activas . . . . . . . . . . .
Utilizacin del rastreo del servidor VPN . . . . . . . . . . . . . . . . .
Visualizacin de las anotaciones de trabajo del servidor VPN . . . . . . . . .
Detencin de una conexin VPN . . . . . . . . . . . . . . . . . . . .
Visualizacin de los atributos de las SA (asociaciones de seguridad) . . . . . .
Supresin de los objetos de configuracin de VPN . . . . . . . . . . . . .
Solucin de problemas de OS/400 VPN . . . . . . . . . . . . . . . . . .
Cmo empezar a solucionar los problemas de OS/400 VPN. . . . . . . . . .
Errores de configuracin habituales de OS/400 VPN y cmo solucionarlos . . . .
Solucin de problemas de OS/400 VPN con el diario QIPFILTER . . . . . . . .
Solucin de problemas de OS/400 VPN con el diario QVPN. . . . . . . . . .
Solucin de problemas de las anotaciones de trabajo VPN de OS/400 VPN . . . .
Solucin de problemas de OS/400 VPN con el rastreo de comunicaciones de OS/400
Otra informacin VPN . . . . . . . . . . . . . . . . . . . . . . . . .
Copyright IBM Corp. 1998, 2001
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
1
2
3
3
4
5
11
15
22
23
26
27
28
29
29
29
30
30
34
36
36
37
38
39
44
44
45
45
45
45
46
46
46
46
47
47
47
49
55
58
61
67
69
iii
iv
iSeries: Red privada virtual
Red privada virtual

Una red privada virtual (VPN) permite a su empresa ampliar de forma segura la intranet privada a travs
de la infraestructura existente de una red pblica como Internet. Con VPN, su empresa puede controlar el
trfico de la red a la vez que proporciona caractersticas de seguridad importantes, como por ejemplo la
autenticacin y la privacidad de datos.
OS/400 VPN es un componente cuya instalacin es opcional de Operations Navigator, la interfaz de
usuario grfica (GUI) para OS/400. Permite crear un camino de extremo a extremo entre cualquier
combinacin de sistema principal y pasarela. OS/400 VPN utiliza mtodos de autenticacin, algoritmos de
cifrado y otras precauciones para asegurar que los datos enviados entre ambos puntos finales de
conexin estn protegidos.
OS/400 VPN se ejecuta bajo la capa de red del modelo de pila de comunicaciones en capa TCP/IP. En
particular, OS/400 VPN utiliza la infraestructura abierta IPSec (IP Security Architecture). IPSec ofrece
funciones de seguridad de base para Internet y asimismo, facilita bloques de construccin flexibles, a
partir de los cuales puede crear redes privadas virtuales seguras y robustas.
OS/400 VPN tambin soporta las soluciones VPN de L2TP (Layer 2 Tunnel Protocol). Las conexiones
L2TP, tambin denominadas lneas virtuales, ofrecen acceso a los usuarios remotos a bajo precio, al
permitir que un servidor de red de la empresa gestione las direcciones IP asignadas a sus usuarios
remotos. Adems, las conexiones L2TP ofrecen un acceso seguro a su sistema o red cuando los proteja
con IPSec.
Es importante que sea consciente del impacto que una VPN tendr en toda su red. Es esencial realizar
una buena planificacin e implementacin para que los resultados sean satisfactorios. Deber revisar
estos temas para asegurar que sabe cmo funcionan las VPN y cmo debe utilizarlas:
Novedades de la V5R1
En este tema se describe qu informacin es nueva o ha cambiado significativamente en este
release.
Imprimir este tema
Si prefiere disponer de una copia impresa de esta informacin, dirjase aqu para imprimir el archivo
PDF.
Migrar desde una versin anterior de OS/400 VPN
Si tiene alguna duda sobre la migracin a OS/400 VPN desde una versin anterior, en este tema se
describen las cuestiones principales que necesita saber para asegurar una fcil actualizacin.
Escenarios de VPN
Revise estos escenarios para estar familiarizado con los tipos de VPN bsicos y los pasos que debe
seguir para configurarlos.
Protocolos y conceptos VPN
Es importante que tenga al menos un conocimiento bsico de las tecnologas VPN estndares. Este
tema le ofrece informacin conceptual sobre los protocolos que OS/400 VPN utiliza en su
implementacin.
Requisitos de configuracin de OS/400 VPN
Antes de empezar, asegrese de que cumple los requisitos mnimos para crear una VPN.
Planificacin de VPN
Tras haber determinado que cumple los requisitos mnimos de configuracin, puede empezar a
configurar la VPN. El primer paso es la planificacin. Debe determinar qu tipo de VPN se ajusta
Copyright IBM Corp. 1998, 2001
mejor a las necesidades especficas de su empresa y, a continuacin, utilizar el asesor de

planificacin VPN para generar una hoja de trabajo que estar personalizada segn sus
especificaciones.
Configuracin de una VPN
Despus de haber planificado la VPN, puede empezar a configurarla. Este tema le ofrece una visin
general de lo que puede hacer con OS/400 VPN y cmo llevarlo a cabo.
Gestin de VPN
En este tema se describen varias tareas que puede llevar a cabo para gestionar las conexiones VPN
activas, incluyendo cmo modificarlas, cmo supervisarlas y cmo eliminarlas.
Solucin de problemas de OS/400 VPN
Consulte este tema cuando tenga problemas con las conexiones VPN.
Otra informacin sobre VPN
Dirjase aqu para obtener enlaces a otras fuentes de informacin de VPN y temas relacionados.
Novedades de la V5R1
Los cambios de la Versin 5 Release 1 (V5R1) para el tema de redes privadas virtuales incluyen:
v Mejora de los escenarios de la configuracin bsica con respecto al release anterior.
v Actualizacin del asesor de planificacin VPN que le ayuda a determinar qu tipo de VPN debe crear
para orientar sus necesidades comerciales especficas. El asesor tambin le aconseja los pasos que
debe seguir para configurar su VPN.
v Ms informacin sobre la solucin de problemas incluyendo una tabla que lista los mensajes de error,
cdigos de resultado e informacin de recuperacin.
v Informacin sobre migrar desde un release anterior del sistema operativo.
Las mejoras al funcionamiento de OS/400 VPN V5R1 comprenden:
v La incorporacin del soporte para la firma digital para la autenticacin de fase 1 de IKE (intercambio de
claves de Internet) (Consulte 26). En releases anteriores, OS/400 VPN slo soportaba las claves
precompartidas como mtodo de autenticacin para las negociaciones de fase 1.
v Soporte para conexiones bajo demanda. La conexin bajo demanda se inicia slo despus de que los
datagramas IP que estn destinados a una conexin VPN especfica intenten fluir. En otras palabras, la
conexin slo se habilita cuando se necesita. Para las conexiones bajo demanda es necesario que el
filtro de polticas est cargado, que el servidor VPN est ejecutndose y que la interfaz adecuada est
activa en el sistema. Despus de un perodo de inactividad en la conexin, la conexin VPN quedar
inactiva a la espera del envo de ms datagramas IP.
v Una poltica IKE de contestador de sistema que lista qu algoritmos aceptar su sistema cuando
conteste a una peticin IKE.
v La GUI (interfaz grfica de usuario) VPN puede generar automticamente las reglas de filtrado de
polticas. Sin embargo, si ha creado las conexiones VPN en releases anteriores del sistema operativo
(V4R4 o V4R5) y tiene la intencin de configurar nuevas conexiones en V5R1, deber leer este
artculo: Antes de empezar a configurar las reglas de paquetes VPN. En l se describen algunos
aspectos que deber considerar para asegurar que todas sus reglas de filtrado se cargan
correctamente y funcionan de la forma que necesita.
v Soporte adicional de NAT (conversin de direcciones de red) para VPN.
v Soporte para el protocolo IPComp (Compresin IP). IPComp reduce el tamao de un datagrama IP
mediante la compresin para aumentar el rendimiento de la comunicacin entre dos VPN asociadas.
v Ahora, es posible aplicar las conexiones VPN a las interfaces *OPC (OptiConnect).
Imprimir este tema

Puede visualizar o bajar una versin PDF de este documento para visualizarla o imprimirla. Debe tener
instalado Adobe Acrobat Reader para poder visualizar los archivos PDF. Puede bajarse una copia desde
http://www.adobe.com/prodindex/acrobat/readstep.html
Para visualizar o bajar la versin PDF, seleccione VPN (red privada virtual) (cerca de 95 pginas o 509
KB).
Para guardar un archivo PDF en su estacin de trabajo para visualizarlo o imprimirlo:
1.
2.
3.
4.
5.
Abra el archivo PDF con su navegador (pulse el enlace anterior).

En el men de su navegador, pulse Archivo.
Pulse Guardar como...
Desplcese al directorio en el cual desee guardar el archivo PDF.
Pulse Guardar.
Migrar desde un release anterior

Al actualizar a V5R1 desde las versiones V4R4 o V4R5 del sistema operativo, todas sus configuraciones
existentes y los objetos de la base de datos VPN, que se encuentran en la biblioteca QUSRSYS,
migrarn automticamente al formato de la nueva versin. Sin embargo, sea consciente de que el nuevo
formato de la base de datos de polticas VPN imposibilita restaurar una versin anterior una vez se ha
instalado V5R1.
En la siguiente tabla se lista cada uno de los objetos VPN por su release. Necesitar conocer esta
informacin cuando realice una copia de seguridad de sus configuraciones VPN. Siempre resulta
apropiado guardar una copia actualizada de su Poltica VPN. Adems, deber siempre realizar una copia
de seguridad de su Poltica VPN antes de migrar.
Los objetos en negrita sealan aquellos objetos que se han sustituido o aadido en este release.
Objetos de la base de datos VPN de V4R4 y V4R5
Objetos de la base de datos VPN de V5R1
Red privada virtual
QATOVDCDEF
QATOVDDFLT
QATOVDDSEL
QATOVDESP
QATOVDIID
QATOVDIPAD
QATOVDLID
QATOVMCOL
QATOVDNATP
QATOVDN1
QATOVDPKEY
QATOVDRGRP
QATOVDR1
QATOVDSRVR
QATOVDUCP
QATOVD1PRP
QATOVD1SP
QATOVD1TRN
QATOVD2LST
QATOVD2PRP
QATOVD2SP
QATOVD2TRN
QATOVDVPKEY
QATOVDVSKEY
QATOVDC1
QATOVDCDEF
QATOVDDFLT
QATOVDDSEL
QATOVDESP
QATOVDIID
QATOVDIPAD
QATOVDLID
QATOVMCOL
QATOVDN2
QATOVDN3
QATOVDNATP
QATOVDN1
QATOVDPKEY
QATOVDRGRP
QATOVDR1
QATOVDSRVR
QATOVDUCP
QATOVD1PRP
QATOVD1SP
QATOVD1TRN
QATOVD2LST
QATOVD2PRP
QATOVD2SP
QATOVD2TRN
QATOVDVPKEY
QATOVDVSKEY
QATOVDT1
Informacin relacionada
En V5R1, ahora OS/400 VPN puede crear reglas de paquetes VPN de forma automtica. Si dispone de
reglas de filtrado de polticas (reglas con un tipo de accin de IPSec) que cre con V4R4 o V4R5 y desea
utilizar las mismas reglas en V5R1, pero tambin tiene pensado crear nuevas conexiones, hay varios
puntos que deber considerar. Revise este tema, Antes de empezar a configurar las reglas de paquetes
VPN para obtener detalles.
Escenarios de VPN
Revise los escenarios siguientes para familiarizarse con los detalles tcnicos y de configuracin
relacionados con cada uno de estos tipos de conexin bsica:
v Escenario de VPN: conexin entre sucursales
En este escenario, su empresa desea establecer una VPN entre las subredes de dos departamentos
remotos a travs de un par de sistemas iSeries 400 que actan como pasarelas VPN.
v Escenario de VPN: conexin de empresa a empresa
En este escenario, su empresa desea establecer una VPN entre una estacin de trabajo cliente de la
divisin de fabricacin y una estacin de trabajo cliente del departamento de suministros de un socio
comercial.
v Escenario de VPN: tnel voluntario L2TP protegido por una VPN
Este escenario ilustra una conexin entre el sistema principal de una sucursal y una oficina central que
utiliza L2TP protegido por IPSec. La sucursal tiene una direccin IP asignada dinmicamente, mientras
que la oficina central tiene una direccin IP esttica direccionable globalmente.
Ms escenarios de VPN
Para obtener ms escenarios de VPN, consulte estos otros recursos de informacin VPN:
v Acceso remoto a AS/400 con clientes VPN de Windows 2000, REDP0036
Este libro rojo describe cmo implementar conexiones seguras para empleados que viajan y empleados
de oficinas virtuales que necesitan acceso a la oficina central. Los usuarios remotos acceden al sistema
AS/400 de la oficina central por medio de un PC con Windows 2000. La conexin se asegura con una
VPN (tnel L2TP protegido por IPSec).
v AS/400 Internet Security: Implementing AS/400 Virtual Private Networks, SG24-5404-00
Este libro rojo explora los conceptos VPN y describe su implementacin utilizando IPSec (IP Security) y
L2TP (Layer 2 Tunneling Protocol) en OS/400.
v AS/400 Internet Security Scenarios: A Practical Approach, SG24-5954-00
Este libro rojo explora todas las funciones de seguridad nativas disponibles en el sistema AS/400, como
pueden ser filtros IP, NAT, VPN, servidor proxy HTTP, SSL, DNS, retransmisin de correo, auditora y
anotaciones. Describe su utilizacin a travs de ejemplos prcticos.
v Configurar una VPN (red privada virtual) para gestionar de forma segura su AS/400 a travs de
Internet
En este tema de Technical Studio, configurar una red privada virtual (VPN) que utiliza un protocolo
IPSec (IP Security) y L2TP (Layer 2 Tunneling Protocol) para proteger y ocultar informacin delicada
contra los hackers y ladrones que merodean por Internet.
Escenario VPN: conexin entre sucursales

Supongamos que su empresa desea minimizar los costes de comunicacin entre sus propias sucursales.
Actualmente, su empresa utiliza frame relay o lneas alquiladas, pero desea explorar otras posibilidades
de transmisin de datos confidenciales internos que resulte menos costosa, ms segura y globalmente
accesible. Sacando partido a Internet, puede establecer fcilmente una red privada virtual (VPN) que
satisfaga las necesidades de su empresa.
Su empresa y su sucursal precisan de una proteccin VPN en Internet, pero no en sus respectivas
intranets. Debido a que considera fiables las intranets, la mejor solucin es crear una VPN de pasarela a
pasarela. En este caso, ambas pasarelas estn conectadas directamente a la red de intervencin. En
otras palabras, son sistemas de frontera o borde, que no estn protegidos mediante un cortafuegos. Este
ejemplo sirve como introduccin til a los pasos que conlleva establecer una configuracin de VPN
bsica. Cuando el escenario hace referencia al trmino Internet, alude a la red de intervencin existente
entre dos pasarelas VPN, que podra ser la propia red privada de la empresa o la Internet pblica.
Nota importante:
Este escenario muestra las pasarelas de seguridad de iSeries conectadas directamente a Internet.
Se ha prescindido de un cortafuegos para simplificar el escenario. Esto no implica que el empleo de
un cortafuegos sea innecesario. De hecho, deber considerar los riesgos de seguridad que supone
cualquier conexin a Internet. Revise el libro rojo AS/400 Internet Security Scenarios: A Practical
Approach, SG24-5954-00
reducir estos riesgos.
, para obtener una descripcin detallada de varios mtodos para
Ventajas del escenario
Este escenario comporta las siguientes ventajas:

v La utilizacin de Internet o una intranet existente reduce el coste de las lneas privadas entre subredes
remotas.
Red privada virtual
v La utilizacin de Internet o una intranet existente reduce la complejidad que comporta la instalacin y
mantenimiento de lneas privadas y el equipo asociado.
v La utilizacin de Internet permite conectar las ubicaciones remotas prcticamente a cualquier otro lugar
del mundo.
v La utilizacin de la VPN ofrece a los usuarios acceso a todos los servidores y recursos de ambos lados
de la conexin de la misma forma que si estuvieran utilizando una lnea alquilada o una conexin WAN
(red de rea amplia).
v La utilizacin de un cifrado estndar y de mtodos de autenticacin asegura una proteccin de la
informacin delicada que pasa de una ubicacin a otra.
v El intercambio de las claves cifradas de forma dinmica y regular simplifica la configuracin y minimiza
el riesgo de que stas puedan descodificarse y que pueda violarse la seguridad.
v La utilizacin de direcciones IP privadas en cada subred remota hace innecesario asignar a cada
cliente valiosas direcciones pblicas de Internet.
Objetivos del escenario
En este escenario, MyCo, Inc. desea establecer una VPN entre las subredes de sus departamentos de
Recursos Humanos y Finanzas mediante un par de servidores iSeries. Ambos servidores actuarn como
pasarelas de VPN. En trminos de configuraciones de VPN, una pasarela realiza la gestin de claves y
aplica IPSec a los datos que fluyen por el tnel. Las pasarelas no son los puntos finales de datos de la
conexin.
Los objetivos de este escenario son los siguientes:
v La VPN debe proteger todo el trfico de datos entre la subred del departamento de Recursos Humanos
y la subred del departamento de Finanzas.
v El trfico de datos no necesita proteccin VPN una vez ha llegado a la subred de alguno de los
departamentos.
v Todos los clientes y sistemas principales de cada red tienen acceso total a la red de los dems,
incluyendo todas las aplicaciones.
v Los servidores de la pasarela pueden comunicarse entre s y acceder a las aplicaciones del otro.
Detalles del escenario
La siguiente ilustracin muestra las caractersticas de la red de MyCo.
Departamento de Recursos Humanos

v iSeries-A se ejecuta bajo OS/400 Versin 5 Release 1 (V5R1) y acta como la pasarela VPN del
Departamento de Recursos Humanos.
v La subred es 10.6.0.0 con la mscara 255.255.0.0. Esta subred representa el punto final de datos a
travs del tnel de la VPN del sitio de MyCo en Rochester.
v iSeries-A se conecta con Internet mediante la direccin IP 204.146.18.227. Este es el punto final de
conexin. Es decir, iSeries-A realiza la gestin de claves y aplica IPSec a los datagramas IP entrantes
y salientes.
v iSeries-A se conecta a la subred con la direccin IP 10.6.11.1.
v iSeries-B es un servidor de produccin de la subred de Recursos Humanos que ejecuta aplicaciones
TCP/IP estndares.
Departamento de Finanzas
v iSeries-C se ejecuta bajo OS/400 Versin 5 Release 1 (V5R1) y acta como la pasarela VPN del
Departamento de Finanzas.
v La subred es 10.196.8.0 con la mscara 255.255.255.0. Esta subred representa el punto final de datos
a travs del tnel de la VPN del sitio de MyCo en Endicott.
v iSeries-C se conecta con Internet mediante la direccin IP 208.222.150.250. Este es el punto final de
conexin. Es decir, iSeries-C realiza la gestin de claves y aplica IPSec a los datagramas IP entrantes
y salientes.
v iSeries-C se conecta a la subred con la direccin IP 10.196.8.5.
Paso 1: configurar la conexin
Debe completar cada una de estas tareas para configurar la conexin entre sucursales que se ha descrito
en este escenario:
1. Verificar el direccionamiento de TCP/IP para asegurar que los servidores de ambas pasarelas pueden
comunicarse entre s a travs de Internet. Con esto se asegura de que los sistemas principales de
cada subred efecten el direccionamiento correctamente hacia las pasarelas respectivas para poder
acceder a la subred remota.
Nota: el direccionamiento no entra dentro del mbito de este tema. Si tiene dudas, por favor consulte
Direccionamiento y equilibrio de la carga de trabajo TCP/IP en Information Center.
2. Completar7 las hojas de trabajo de planificacin y las listas de comprobacin de ambos sistemas.
3.
4.
5.
6.
Configurar (Consulte 8) la VPN en la pasarela VPN de Recursos Humanos (iSeries-A).

Configurar (Consulte 9) la VPN en la pasarela VPN de Finanzas (iSeries-C).
Activar (Consulte 10) las reglas de filtrado en ambos servidores.
Iniciar la conexin desde iSeries-A.
7. Probar las comunicaciones entre ambas subredes remotas.
Conexin de sucursal: detalles de configuracin

Tras haber completado el primer paso, verificando que el direccionamiento de TCP/IP funciona
correctamente y que los servidores de pasarela pueden comunicarse, ya est preparado para empezar a
configurar la VPN.
Paso 2: completar las hojas de trabajo de planificacin
Las siguientes listas de comprobacin de planificacin ilustran el tipo de informacin que necesita para
empezar a configurar la VPN. Todas las respuestas de la lista de comprobaciones de los prerrequisitos
deben ser S antes de poder proseguir con la configuracin de la VPN.
Red privada virtual
Nota: estas hojas de trabajo son aplicables a iSeries-A; para iSeries-C, repita el proceso invirtiendo las
direcciones IP de la forma necesaria.
Lista de comprobacin de los prerrequisitos
Respuestas
Su OS/400 es V5R1 (5722-SS1) o posterior?
Se encuentra instalada la opcin de Digital Certificate Manager (5722-SS1 Opcin

34)?
Est instalado Cryptographic Access Provider (5722-AC2 o AC3)?
Est instalado Client Access Express (5722-XE1)?
Est instalado OS/400 Operations Navigator?
Est instalado el subcomponente de red de Operations Navigator?
Est instalado TCP/IP Connectivity Utilities para OS/400 (5722-TC1)?
Ha establecido en 1 el valor del sistema de retener datos de seguridad del servidor

(QRETSVRSEC *SEC)?
Est configurado TCP/IP en el iSeries 400 (incluyendo las interfaces IP rutas IP, el
nombre del sistema principal local IP y el nombre de dominio local IP)?
Se ha establecido la comunicacin normal TCP/IP entre los puntos finales?
Ha aplicado los ltimos arreglos temporales de programa (PTF)?
Si el tnel de la VPN atraviesa los cortafuegos o direccionadores que implementan el S

filtrado de paquetes IP, soportan las reglas de filtrado del cortafuegos o direccionador
los protocolos AH y ESP?
Estn configurados los cortafuegos o los direccionadores para permitir los protocolos S
IKE (UDP puerto 500), AH y ESP?
Estn configurados los cortafuegos para habilitar el reenvo de IP?
Necesita esta informacin para configurar la VPN
Respuestas
Qu tipo de conexin est creando?
de pasarela a pasarela
Cmo se denominar el grupo de claves dinmicas?
HRgw2FINgw
Qu tipo de seguridad y rendimiento del sistema necesita para proteger las claves?
equilibrado
Utiliza certificados para autenticar la conexin?

Si no es as, cul es la clave precompartida?
No
topsecretstuff
Cul es el identificador del servidor de claves local?
Direccin IP: 204.146.18.227
Cul es el identificador del punto final de datos local?
Subred: 10.6.0.0
Mscara: 255.255.0.0
Cul es el identificador del servidor de claves remoto?
Direccin IP:
208.222.150.250
Cul es el identificador del punto final de datos remoto?
Subred: 10.196.8.0
Mscara: 255.255.255.0
Qu puertos y protocolos desea permitir fluir a travs de la conexin?
Cualquiera
Qu tipo de seguridad y rendimiento del sistema necesita para proteger sus datos?
equilibrado
A qu interfaces se aplica la conexin?
TRLINE
Paso 3: configurar la VPN en iSeries-A
Utilice la informacin de sus hojas de trabajo para configurar la VPN en iSeries-A de la forma siguiente:
1. En Operations Navigator, expanda iSeries-A >Red >Polticas IP.

2. Pulse con el botn derecho del ratn Red privada virtual y seleccione Nueva conexin para iniciar
el Asistente de conexin.
3. Revise la pgina de Bienvenida para obtener informacin acerca de los objetos que crea el
asistente.
4. Pulse Siguiente para ir a la pgina Nombre de la conexin.
5. En el campo Nombre, especifique HRgw2FINgw.
6. (opcional) Especifique una descripcin para este grupo de conexin.
7. Pulse Siguiente para ir a la pgina Escenario de la conexin.
8. Seleccione Conectar su pasarela a otra pasarela.
9. Pulse Siguiente para ir a la pgina Poltica de intercambio de claves de Internet.
10. Seleccione Crear una nueva poltica y, a continuacin, seleccione Equilibrar seguridad y
rendimiento.
11.
12.
13.
14.
15.
16.
Pulse Siguiente para ir a la pgina Certificado para punto final de conexin local.
Seleccione No para indicar que no utilizar certificados para autenticar la conexin.
Pulse Siguiente para ir a la pgina Servidor de claves local.
Seleccione Direccin IP de Versin 4 en el campo Tipo de identificador.
Seleccione 204.146.18.227 en el campo Direccin IP.
Pulse Siguiente para ir a la pgina Servidor de claves remoto.
17. Seleccione Direccin IP de Versin 4 en el campo Tipo de identificador.

18. Especifique 208.222.150.250 en el campo Identificador.
19. Especifique topsecretstuff en el campo Clave precompartida.
20.
21.
22.
23.
Pulse Siguiente para ir a la pgina Punto final de datos local.

Seleccione Subred IP versin 4 en el campo Tipo de identificador.
Especifique 10.6.0.0 en el campo Identificador.
Especifique 255.255.0.0 en el campo Mscara de subred.
24.
25.
26.
27.
28.
29.
Pulse Siguiente para ir a la pgina Punto final de datos remoto.

Seleccione Subred IP versin 4 en el campo Tipo de identificador.
Especifique 255.255.255.0 en el campo Mscara de subred.
Pulse Siguiente para ir a la pgina Servicios de datos.
Acepte los valores por omisin y, a continuacin, pulse Siguiente para ir a la pgina Poltica de
datos.
Seleccione Crear una nueva poltica y, a continuacin, seleccione Equilibrar seguridad y
rendimiento. Seleccione Utilizar el algoritmo de cifrado RC4.
Pulse Siguiente para ir a la pgina Interfaces aplicables.
Seleccione TRLINE en la tabla Lnea.
Pulse Siguiente para ir a la pgina Resumen. Revise los objetos que crear el asistente para
asegurar que son correctos.
Pulse Finalizar para completar la configuracin.
30.
31.
32.
33.
34.
35. Cuando aparezca el dilogo Activar filtros de polticas, seleccione No, las reglas de paquetes se
activarn ms tarde y, a continuacin, pulse Aceptar.
Ahora ha finalizado la configuracin de VPN en iSeries-A. El siguiente paso es configurar la VPN en la
pasarela VPN (iSeries-C) del Departamento de Finanzas.
Paso 4: configurar la VPN en iSeries-C
Red privada virtual
Siga los mismos pasos que para configurar iSeries-A, invirtiendo las direcciones IP de la forma apropiada.
Utilice las hojas de trabajo de planificacin como gua. Cuando termine de configurar la pasarela del
Departamento de Finanzas, debe activar las reglas de filtrado que el Asistente de conexin cre en cada
servidor.
Paso 5: activar las reglas de paquete
El asistente crea automticamente las reglas de paquetes que la conexin requiere para funcionar
adecuadamente. Sin embargo, deber activarlas en ambos sistemas antes de poder iniciar la conexin
VPN. Para hacer esto en iSeries-A, siga estos pasos:
1. En Operations Navigator, expanda iSeries-A>Red >Polticas IP.
2. Pulse con el botn derecho del ratn Reglas de paquetes y seleccione Configuracin. Se visualizar
la interfaz de reglas de paquetes.
3. Desde el men Archivo, seleccione Nuevo archivo.
4. Desde el men Archivo, seleccione Activar. Se abrir un dilogo que le permitir especificar si desea
activar las reglas en una interfaz determinada o en todas las interfaces. Se recomienda activar
siempre las reglas en todas las interfaces.
5. Pulse Aceptar en el dilogo para confirmar que desea verificar y activar las reglas en la interfaz o
interfaces que ha especificado. Tras haberse completado el proceso de verificacin, se visualizar un
mensaje de anotacin en la parte inferior de la ventana. El sistema activa las reglas si ha podido
verificar que no presentan errores. Si hay errores, debe resolverlos antes de intentar reactivar las
reglas.
6. Repita estos pasos para activar las reglas de paquetes en iSeries-C.
Paso 6: iniciar la conexin
Siga estos pasos para configurar la VPN HRgw2FINgw desde iSeries-A:

1. En Operations Navigator, expanda iSeries-A iSeries-A>Red >Polticas IP.
2. Si el servidor VPN no est iniciado, pulse con el botn derecho del ratn Red privada virtual y
seleccione Iniciar. De esta forma, se iniciar el servidor VPN.
3. Expanda Red privada virtual >Conexiones de seguridad.
4. Pulse Todas las conexiones para visualizar una lista de conexiones en el panel derecho.
5. Pulse con el botn derecho del ratn HRgw2FINgw y seleccione Iniciar.
6. Desde el men Visualizar, seleccione Renovar. Si la conexin se inicia satisfactoriamente, el estado
debe cambiar de Desocupado a Habilitado. La conexin tardar unos minutos en iniciarse, por lo
tanto, renueve peridicamente la visualizacin hasta que el estado cambie a Habilitado.
Paso 7: probar la conexin
Tras haber finalizado la configuracin de ambos servidores y haber iniciado satisfactoriamente la

conexin, deber probar la conectividad para asegurar que las subredes remotas pueden comunicarse
entre s. Para hacer esto, siga estos pasos:
1. En Operations Navigator, expanda iSeries-A >Red.
2. Pulse dos veces Configuracin TCP/IP y seleccione Utilidades y, a continuacin, seleccione PING.
3. Desde el dilogo Realizar PING desde, especifique iSeries-C en el campo PING.
4. Pulse Realizar PING ahora para verificar la conectividad de iSeries-A con iSeries-C.
5. Pulse Aceptar cuando haya finalizado.
10
Escenario VPN: conexin de empresa a empresa

Muchas empresas utilizan frame relay o lneas alquiladas para suministrar conexiones seguras a sus
socios comerciales, sucursales y proveedores. Por desgracia, estas soluciones suelen ser caras y
limitadas geogrficamente. OS/400 VPN ofrece una alternativa para las empresas que deseen disponer
de una comunicacin privada y a un bajo coste.
Suponga que es el principal proveedor de un fabricante. Puesto que es decisivo que disponga de los
componentes y cantidades especficos en el preciso momento en que la empresa fabricante los necesite,
tendr que conocer siempre el estado del inventario del fabricante y de planificacin de la produccin. Es
posible actualmente que lleve a cabo esta interaccin de forma manual y considere que resulta lenta,
costosa e incluso inexacta. Desea encontrar una forma ms fcil, rpida y efectiva para comunicarse con
su empresa fabricante. Sin embargo, debido a la confidencialidad y a la naturaleza sensible en el tiempo
de la informacin que intercambia, el fabricante no desea publicarla en el sitio Web de su empresa o
distribuirlo mensualmente en un informe externo. Sacando partido a Internet, puede establecer fcilmente
una red privada virtual (VPN) que satisfaga las necesidades de ambas empresas.
En este escenario, MyCo desea establecer una VPN entre un sistema principal de su divisin de
componentes y un sistema principal del departamento de manufactura de uno de sus socios comerciales,
TheirCo.
Debido a que la informacin que comparten ambas empresas es altamente confidencial, sta debe
protegerse mientras circula por Internet. Adems, los datos no deben fluir como texto legible dentro de las
redes de las dos empresas ya que cada una de ellas no considera a la otra de confianza. En otras
palabras, ambas empresas necesitan autenticacin, integridad y cifrado de extremo a extremo.
Nota importante:
La intencin de este escenario es introducir, mediante ejemplos, una configuracin de VPN simple de sistema
principal a sistema principal. En un entorno de red habitual, tambin necesitar considerar la configuracin de un
cortafuegos, los requisitos para la obtencin de direcciones IP y el direccionamiento, entre otros.
La siguiente ilustracin muestra las caractersticas de la red de MyCo y TheirCo:
Red de suministro de MyCo

Red privada virtual
11
v iSeries-A se ejecuta bajo OS/400 Versin 5 Release 1 (V5R1).

v iSeries-A tiene una direccin IP de 10.6.1.1. Este es el punto final de conexin, as como el punto final
de datos. Es decir, iSeries-A realiza negociaciones IKE y aplica IPsec a los datagramas IP entrantes y
salientes y, asimismo, es el origen y destino de los datos que fluyen por la VPN.
v iSeries-A se encuentra en la subred 10.6.0.0 con la mscara 255.255.0.0
v Slo iSeries-A puede iniciar la conexin con iSeries-C.
red de manufactura de TheirCo
v iSeries-C se ejecuta bajo OS/400 Versin 5 Release 1 (V5R1).
v iSeries-C tiene una direccin IP de 10.196.8.6. Este es el punto final de conexin, as como el punto
final de datos. Es decir, iSeries-A realiza negociaciones IKE y aplica IPsec a los datagramas IP
entrantes y salientes y, asimismo, es el origen y destino de los datos que fluyen por la VPN.
v iSeries-C se encuentra en la subred 10.196.8.0 con la mscara 255.255.255.0
Configurar la conexin
Debe completar cada una de estas tareas para configurar la conexin de empresa a empresa descrita en
este escenario:
1. Verificar el direccionamiento de TCP/IP para asegurar que iSeries-A y iSeries-C pueden comunicarse
entre s a travs de Internet. Con esto se asegura de que los sistemas principales de cada subred
efecten el direccionamiento correctamente hacia las pasarelas respectivas para poder acceder a la
subred remota. Deber ser consciente de que, para este escenario, necesitar considerar el
direccionamiento de direcciones privadas que puede no haber sido necesario con anterioridad.
Nota: el direccionamiento no entra dentro del mbito de este tema. Si tiene dudas, por favor consulte
Direccionamiento y equilibrio de la carga de trabajo TCP/IP en Information Center.
2.
3.
4.
5.
6.
7.
Completar12 las hojas de trabajo de planificacin y las listas de comprobacin de ambos sistemas.
Configurar (Consulte 13) la VPN en iSeries-A en la red de suministro de MyCo.
Configurar (Consulte 14) la VPN en iSeries-C en la red de manufactura de TheirCo.
Activar (Consulte 15) las reglas de filtrado en ambos servidores.
Iniciar la conexin desde iSeries-A.
Probar las comunicaciones entre ambas subredes remotas.
Conexin de empresa a empresa: detalles de configuracin

Tras haber completado el primer paso, verificando que el direccionamiento de TCP/IP funciona
correctamente y que los servidores pueden comunicarse, ya est preparado para empezar a configurar la
VPN.
Paso 2: completar las hojas de trabajo de planificacin
Las siguientes listas de comprobacin de planificacin ilustran el tipo de informacin que necesita para
empezar a configurar la VPN. Todas las respuestas de la lista de comprobaciones de los prerrequisitos
deben ser S antes de poder proseguir con la configuracin de la VPN.
Nota: estas hojas de trabajo son aplicables a iSeries-A, repita el proceso para iSeries-C, invirtiendo las
direcciones IP de la forma necesaria.
Respuestas
12

34)?
Ha establecido en 1 el valor del sistema de retener datos de seguridad del

servidor(QRETSVRSEC *SEC)?
Si el tnel de la VPN atraviesa los cortafuegos o direccionadores que implementan el S

Estn configurados los cortafuegos o los direccionadores para permitir los protocolos S
Necesita esta informacin para configurar la VPN
Respuestas
de sistema principal a
sistema principal
MyCo2TheirCo
mxima

Direccin IP: 10.6.1.1
Qu puertos y protocolos desea permitir fluir a travs de la conexin?
Cualquiera
mxima
A qu interfaces se aplica la conexin?
TRLINE
Utilice la informacin de sus hojas de trabajo para configurar la VPN en iSeries-A de la forma siguiente:
1. En Operations Navigator, expanda el servidor >Red >Polticas IP.
el Asistente de conexin.
3. Revise la pgina de Bienvenida para obtener informacin acerca de los objetos que crea el
asistente.
4. Pulse Siguiente para ir a la pgina Nombre de la conexin.
Red privada virtual
13
5. En el campo Nombre, especifique MyCo2TheirCo.

6. (opcional) Especifique una descripcin para este grupo de conexin.
7. Pulse Siguiente para ir a la pgina Escenario de la conexin.
8. Seleccione Conectar su sistema principal a otro sistema principal.
9. Pulse Siguiente para ir a la pgina Poltica de intercambio de claves de Internet.
10. Seleccione Crear una nueva poltica y, a continuacin, seleccione Mxima seguridad, mnimo
rendimiento.
11. Pulse Siguiente para ir a la pgina Certificado para punto final de conexin local.
12. Seleccione S para indicar que utilizar certificados para autenticar la conexin. A continuacin,
seleccione el certificado que representa iSeries-A.
Nota: Si desea utilizar un certificado para autenticar el punto final de conexin local, debe, en primer
lugar crear el certificado en Digital Certificate Manager (DCM).
13. Pulse Siguiente para ir a la pgina Identificador de punto final de conexin local.
14. Seleccione Direccin IP versin 4 como tipo de identificador. La direccin IP asociada deber ser
10.6.1.1. De nuevo, esta informacin se define en el certificado que cree en el DCM.
15. Pulse Siguiente para ir a la pgina Servidor de claves remoto.
16.
17.
18.
19.
Seleccione Direccin IP de Versin 4 en el campo Tipo de identificador.

Pulse Siguiente para ir a la pgina Servicios de datos.
Acepte los valores por omisin y, a continuacin, pulse Siguiente para ir a la pgina Poltica de
datos.
20. Seleccione Crear una nueva poltica y, a continuacin, seleccione Mxima seguridad, mnimo
rendimiento. Seleccione Utilizar el algoritmo de cifrado RC4.
21. Pulse Siguiente para ir a la pgina Interfaces aplicables.
22. Seleccione TRLINE.
23. Pulse Siguiente para ir a la pgina Resumen. Revise los objetos que crear el asistente para
asegurar que son correctos.
24. Pulse Finalizar para completar la configuracin.
25. Cuando aparezca el dilogo Activar filtros de polticas, seleccione No, las reglas de paquetes se
activarn ms tarde y, a continuacin, pulse Aceptar.
El siguiente paso es especificar que nicamente iSeries-A puede iniciar esta conexin. Para ello,
personalice las propiedades del grupo de claves dinmicas, MyCo2TheirCo, que el asistente ha creado:
1. Pulse Por grupo en el panel izquierdo de la interfaz VPN; el nuevo grupo de claves dinmicas,
MyCo2TheirCo, se visualizar en el panel derecho. Plselo con el botn derecho del ratn y
seleccione Propiedades.
2. Vaya a la pgina Poltica y seleccione la opcin El sistema local inicia la conexin.
3. Pulse Aceptar para guardar los cambios.
Ahora ha finalizado la configuracin de VPN en iSeries-A. El siguiente paso es configurar la VPN en
iSeries-C en la red de manufactura de TheirCo.
Paso 4: configurar la VPN en iSeries-C
Siga los mismos pasos que para configurar iSeries-A, invirtiendo las direcciones IP de la forma apropiada.
Utilice las hojas de trabajo de planificacin como gua. Cuando termine de configurar iSeries-C, deber
activar las reglas de filtrado que el Asistente de conexin cre en cada servidor.
14
Paso 5: activar las reglas de paquete
El asistente crea automticamente las reglas de paquetes que la conexin requiere para funcionar
siempre las reglas de filtrado en todas las interfaces.
reglas.
6. Repita estos pasos para activar las reglas de paquetes en iSeries-C.
Siga estos pasos para configurar la VPN MyCo2TheirCo desde iSeries-A:

3. Expanda Red privada virtual >Conexiones de seguridad.
5. Pulse con el botn derecho del ratn MyCo2TheirCo y seleccione Iniciar.
6. Desde el men Visualizar, seleccione Renovar. Si la conexin se inicia satisfactoriamente, el estado
debe cambiar de Desocupado a Habilitado. La conexin tardar unos minutos en iniciarse, por lo
tanto, renueve peridicamente la visualizacin hasta que el estado cambie a Habilitado.
Paso 7: probar la conexin
Tras haber finalizado la configuracin de ambos servidores y haber iniciado satisfactoriamente la

conexin, deber probar la conectividad para asegurar que los sistemas principales remotos pueden
comunicarse entre s. Para hacer esto, siga estos pasos:
1. En Operations Navigator, expanda iSeries-A >Red.
2. Pulse dos veces Configuracin TCP/IP y seleccione Utilidades y, a continuacin, seleccione PING.
3. Desde el dilogo Realizar PING desde, especifique iSeries-C en el campo PING.
4. Pulse Realizar PING ahora para verificar la conectividad de iSeries-A con iSeries-C.
5. Pulse Aceptar cuando haya finalizado.
Escenario de VPN: tnel voluntario L2TP protegido por VPN

Suponga que su empresa tiene una pequea sucursal en otro estado. En todo da laboral, la sucursal
necesitar tener acceso a informacin confidencial en un iSeries 400 dentro de la intranet de su empresa.
Su empresa actualmente utiliza una costosa lnea alquilada para proporcionar a la sucursal el acceso a la
Red privada virtual
15
red de la empresa. A pesar de que su empresa desea seguir suministrando un acceso seguro a su
intranet, desea reducir los gastos relacionados con la lnea alquilada. Esto es posible creando un tnel
voluntario L2TP (Layer 2 Tunnel Protocol) que extienda su red de empresa, de forma que la sucursal
parezca parte de la subred de su empresa. VPN protege el trfico de datos a travs del tnel L2TP.
Mediante un tnel voluntario L2TP, la sucursal remota establece un tnel directamente con el servidor de
red L2TP (LNS) de la red de empresa. La funcionalidad del concentrador de acceso L2TP (LAC) reside en
el cliente. El tnel es transparente para el suministrador de servicios de Internet (ISP) del cliente, o sea
que ya no se necesita el ISP para soportar L2TP. Si desea leer ms sobre los conceptos de L2TP,
consulte Layer 2 Tunnel Protocol (L2TP).
Nota importante:
Este escenario muestra las pasarelas de seguridad de iSeries conectadas directamente a Internet.
Se ha prescindido de un cortafuegos para simplificar el escenario. Esto no implica que el empleo de
un cortafuegos sea innecesario. De hecho, deber considerar los riesgos de seguridad que supone
cualquier conexin a Internet. Revise el libro rojo AS/400 Internet Security Scenarios: A Practical
Approach, SG24-5954-00
reducir estos riesgos.
, para obtener una descripcin detallada de varios mtodos para
En este escenario, el iSeries 400 de una sucursal conecta con su red de empresa mediante una pasarela
iSeries con un tnel L2TP protegido por VPN.
Los objetivos principales de este escenario son los siguientes:
v El sistema de la sucursal siempre inicia la conexin con la oficina central.
v El sistema de la sucursal es el nico sistema de la red de la sucursal que necesita acceso a la red de
la empresa. En otras palabras, su rol en la red de la sucursal es de sistema principal, no de pasarela.
v El sistema de la oficina central es un sistema principal en la red de la empresa.
La siguiente ilustracin muestra las caractersticas de la red de este escenario:
iSeries-A
v Debe tener acceso a las aplicaciones TCP/IP de todos los sistemas de la red de empresa.
v Recibe las direcciones IP asignadas dinmicamente a travs de su ISP.
v Debe estar configurado para que soporte L2TP.
iSeries-B
16
v Debe tener acceso a las aplicaciones TCP/IP de iSeries-A.

v La subred es 10.6.0.0 con la mscara 255.255.0.0. Esta subred representa el punto final de
datos a travs del tnel de la VPN en el sitio de la empresa.
v Se conecta con Internet mediante la direccin IP 205.13.237.6. Este es el punto final de conexin.
Es decir, iSeries-B realiza la gestin de claves y aplica IPSec a los datagramas IP entrantes y
salientes. iSeries-B se conecta a la subred con la direccin IP 10.6.11.1.
En trminos de L2TP, iSeries-A acta como iniciador de L2TP, mientras que iSeries-B acta como
terminador de L2TP.
Configurar la conexin
Presuponiendo que la configuracin TCP/IP ya existe y funciona, debe completar las siguientes tareas:
1. Configurar la VPN (Consulte 17) en iSeries-A.
2. Configurar un PPP perfil de conexin y una lnea virtual (Consulte 19)para iSeries-A.
3. Aplicar el grupo de claves dinmicas al perfil PPP.
4. Configurar VPN en iSeries-B.
5. Configurar un PPP perfil de conexin y una lnea virtual para iSeries-B.
6. Activar las reglas de paquetes en iSeries-A e iSeries-B.
7. Iniciar la conexin desde iSeries-A.
Tnel voluntario L2TP protegido por VPN: detalles de configuracin

Tras haber verificado que los TPC/IP funcionan correctamente y los servidores iSeries pueden
comunicarse, ya est preparado para empezar a configurar la VPN.
Siga estos pasos para configurar la VPN en iSeries-A:

1. Configurar la poltica de intercambio de claves de Internet
a. En Operations Navigator, expanda iSeries-A > Red> Polticas IP> Red privada virtual>
Polticas de seguridad IP.
b. Pulse con el botn derecho del ratn Polticas de intercambio de claves de Internet y
seleccione Nueva poltica de intercambio de claves de Internet
c. En la pgina Servidor remoto, seleccione Direccin IP versin 4 como tipo de identificador y, a
continuacin, especifique 205.13.237.6 en el campo Direccin IP.
d. En la pgina Asociaciones, seleccione Clave precompartida para indicar que esta conexin
utiliza una clave precompartida para autenticar esta poltica.
e. Especifique la clave precompartida en el campo Clave. Debe tratar la clave precompartida como
si fuera una contrasea.
f. Seleccione el Identificador de clave para el tipo de identificador del servidor de claves local y, a
continuacin, especifique el identificador de clave en el campo Identificador. Por ejemplo,
thisisthekeyid. Recuerde que el servidor de claves local tiene una direccin IP asignada
dinmicamente que es imposible de conocer de antemano. iSeries-B utiliza este identificador para
idenfitificar iSeries-A cuando ste inicia una conexin.
g. En la pgina Transformaciones, pulse Aadir para aadir las transformaciones que iSeries-A
propone a iSeries-B para proteger las claves y especificar si la poltica IKE utiliza la proteccin de
identidad al iniciar las negociaciones de fase 1.
h. En la pgina Transformacin de poltica IKE, seleccione Clave precompartida para su mtodo
de autenticacin, SHA para el algoritmo hash y 3DES-CBC para el algoritmo de cifrado. Haga
caducar las claves IKE y despus acepte los valores del grupo Diffie-Hellman.
Red privada virtual
17
i. Pulse Aceptar para volver a la pgina Transformaciones.

j. Seleccione Negociacin de modalidad agresiva de IKE (sin proteccin de identidad)
k. Pulse Aceptar para guardar los cambios.
2. Configurar la poltica de datos
a. Desde la interfaz VPN, pulse con el botn derecho del ratn Polticas de datos y seleccione
Nueva poltica de datos.
b. En la pgina General, especifique el nombre de la poltica de datos. Por ejemplo,
l2tpremoteuser.
c. Vaya a la pgina Proposiciones. Una proposicin es una coleccin de protocolos que utilizan los
servidores de claves iniciadores y contestadores para establecer una conexin dinmica entre
dos puntos finales. Puede utilizar una sola poltica de datos en varios objetos de conexin. Sin
embargo, no todos los servidores de claves VPN remotos deben tener necesariamente las
mismas propiedades de poltica de datos. Por lo tanto, puede aadir varias propuestas a una
poltica de datos. Para establecer una conexin VPN con un servidor de claves remoto, debe
haber como mnimo una propuesta que coincida en la poltica de datos del iniciador y del
contestador.
d.
e.
f.
g.
Pulse Aadir para aadir una transformacin de poltica de datos.

Seleccione Transportar para la modalidad de encapsulado.
Especifique un valor de caducidad para la clave
Pulse Aceptar para volver a la pgina Transformaciones.
h. Pulse Aceptar para guardar la nueva poltica de datos.

3. Configurar el grupo de claves dinmicas
4.
a. Desde la interfaz VPN, expanda Conexiones de seguridad.
b. Pulse con el botn derecho del ratn Por grupo y seleccione Nuevo grupo de claves
dinmicas.
c. En la pgina General, especifique un nombre para el grupo. Por ejemplo, l2tptocorp.
d. Seleccione Protege un tnel L2TP iniciado localmente.
e. Para el rol del sistema, seleccione Ambos sistemas son sistemas principales.
f. Vaya a la pgina Poltica. Seleccione la poltica de datos que cre en el paso 2, l2tpremoteuser,
en la lista desplegable Poltica de datos.
g. Seleccione El sistema local inicia la conexin para indicar que slo iSeries-A puedeiniciar las
conexiones con iSeries-B.
h. Vaya a la pgina Conexiones. Seleccione Generar la siguiente regla de filtro de polticas
para este grupo. Pulse Editar para definir los parmetros del filtro de polticas.
i. En la pgina Filtro de polticas - Direcciones locales, seleccione el Identificador de clave para
el tipo de identificador.
j. Para el identificador, seleccione el identificador de clave thisisthekeyid, que ha definido en la
poltica IKE.
k. Vaya a la pgina Filtro de polticas - Direcciones remotas. Seleccione Direccin IP versin 4
en la lista desplegable Tipo de identificador .
l. Especifique 205.13.237.6 en el campo Identificador.
m. Vaya a la pgina Filtro de polticas - Servicios. Especifique 1701 en los campos Puerto local y
Puerto remoto. El puerto 1701 es el puerto conocido pblicamente de L2TP.
n. Seleccione UDP en la lista desplegable Protocolo.
o. Pulse Aceptar para volver a la pgina Conexiones.
18
p. Vaya a la pgina Interfaces. Seleccione todas las lneas o perfiles PPP a las que se aplicar
este grupo. An no ha creado el perfil PPP para este grupo. Despus, necesitar editar las
propiedades de este grupo de forma que el grupo se aplique al perfil PPP que crear en el
prximo paso.
q. Pulse Aceptar para crear el grupo de claves dinmicas, 12ptocorp.
Ahora, necesitar aadir una conexin al grupo que acaba de crear.
5. Configurar la conexin de claves dinmicas
a. Desde la interfaz VPN, expanda Por grupo. De esta forma se visualizar una lista de todos los
grupos de claves dinmicas que ha configurado en iSeries-A.
b. Pulse con el botn derecho del ratn l2tptocorp y seleccione Nueva conexin de clave
dinmica.
c. En la pgina General, especifique una descripcin opcional para la conexin.
d. Para el servidor de claves remotas, seleccione Direccin IP versin 4 para el tipo de
identificador.
e. Seleccione 205.13.237.6 en la lista desplegable Direccin IP.
f. Deseleccione Iniciar bajo peticin.
g. Vaya a la pgina Direcciones locales. Seleccione Identificador de clave para el tipo de
identificador y, a continuacin, seleccione thisisthekeyid en la lista desplegable Identificador.
h. Vaya a la pgina Direcciones remotas. Seleccione Direccin IP versin 4 para el tipo de
identificador.
i. Especifique 205.13.237.6 en el campo Identificador.
j. Vaya a la pgina Servicios. Especifique 1701 en los campos Puerto local y Puerto remoto. El
puerto 1701 es el puerto conocido pblicamente de L2TP.
k. Seleccione UDP en la lista desplegable Protocolo.
l. Pulse Aceptar para crear la conexin de claves dinmicas.
Ahora ha finalizado la configuracin de VPN en iSeries-A. El siguiente paso es configurar un perfil PPP
para iSeries-A.
Paso 2: Configurar un perfil de conexin PPP y una lnea virtual en iSeries-A
En esta seccin se describen los pasos que debe seguir para crear el perfil PPP para iSeries-A. El perfil
PPP no tiene ninguna lnea fsica asociada; en su lugar, utiliza una lnea virtual. Esto se debe a que el
trfico PPP atraviesa el tnel L2TP, mientras la VPN protege el tnel L2TP.
Siga estos pasos para crear un perfil de conexin PPP para iSeries-A:
1. En Operations Navigator, expanda iSeries-A >Red >Servicios de acceso remoto.
2. Pulse con el botn derecho del ratn Perfiles de conexin de originador y seleccione Nuevo
perfil.
3. En la pgina Configuracin, seleccione PPP para el tipo de protocolo.
4. Para la modalidad, seleccione L2TP (lnea virtual).
5. Seleccione Iniciador bajo peticin (tnel voluntario) en la lista desplegable Modalidad operativa.
6. Pulse Aceptar para ir a las pginas de propiedades de los perfiles PPP.
7. En la pgina General, especifique un nombre que identifique el tipo y el destino de la conexin. En
ese caso, especifique toCORP. El nombre que especifique debe ser de 10 caracteres como mximo.
8. (opcional) Especifique una descripcin para el perfil.
9. Vaya a la pgina Conexin.
10. En el campo Nombre de lnea virtual, seleccione tocorp en la lista desplegable. Recuerde que esta
lnea no tiene ninguna interfaz fsica asociada. La lnea virtual describe varias caractersticas de este
Red privada virtual
19
11.
12.
13.
14.
15.
16.
perfil PPP; por ejemplo, tamao mximo de trama, informacin de autenticacin, el nombre de
sistema principal local, etc. Se abrir el dilogo Propiedades de lnea L2TP.
En la pgina General, especifique una descripcin para la lnea virtual.
Vaya a la pgina Autenticacin.
En el campo Nombre de sistema principal local, especifique el nombre del sistema principal del
servidor de claves local, iSeriesA.
Pulse Aceptar para guardar la nueva descripcin de lnea virtual y volver a la pgina Conexin.
Especifique la direccin del punto final del tnel remoto, 205.13.237.6, en el campo Direccin del
punto final del tnel remoto.
Seleccione Requiere proteccin IPSec y seleccione el grupo de claves dinmicas que ha creado en
el paso 1, l2tptocorp, en la lista desplegable Nombre de grupo de conexin.
17. Vaya a la pgina Valores TCP/IP.

18. En la seccin Direccin IP local, seleccione Asignada por sistema remoto.
19. En la seccin Direccin IP remota, seleccione Utilizar direccin IP fija. Especifique 10.6.11.1, que
es la direccin IP del sistema remoto en su subred.
20. En la seccin de direccionamiento, seleccione Definir las rutas estticas adicionales y pulse
Rutas. Si el perfil PPP no proporciona informacin de direccionamiento que ofrezca el perfil PPP,
iSeries-A slo podr alcanzar el punto final del tnel pero ningn otro sistema de la subred 10.6.0.0.
21. Pulse Aadir para aadir una entrada de direccionamiento esttico.
22. Especifique la subred 10.6.0.0 y la mscara de subred, 255.255.0.0, para direccionar todo el trfico
10.6.*.* a travs del tnel L2TP.
23. Pulse Aceptar para aadir la ruta esttica.
24. Pulse Aceptar para cerrar el dilogo Direccionamiento.
25. Vaya a la pgina Autenticacin para establecer el nombre y la contrasea de usuario para este
perfil PPP.
26. En la seccin de identificacin del sistema local, seleccione Permitir que el sistema remoto
verifique la identidad de este sistema.
27. Bajo Protocolode autenticacin a utilizar, seleccione Se requiere contrasea cifrada
(CHAP-MD5)
28. Especifique el nombre de usuario, iSeriesA y una contrasea.
29. Pulse Aceptar para guardar el perfil PPP.
Paso 3: aplicar el grupo de claves dinmicas l2tptocorp al perfil PPP toCorp
Tras haber configurado su perfil de conexin PPP, necesitar volver al grupo de claves dinmicas,
l2tptocorp, que ha creado y asociarlo con el perfil PPP. Para hacer esto, siga estos pasos:
1. Vaya a la interfaz VPN, expanda Conexiones de seguridad>Por grupo.
2. Pulse con el botn derecho del ratn el grupo de claves dinmicas, l2tptocorp y seleccione
Propiedades.
3. Vaya a la pgina Interfaces y seleccione Aplicar este grupo para el perfil PPP que cre en el paso
2, toCorp.
4. Pulse Aceptar para aplicar l2tptocorp al perfil PPP, toCorp.
Paso 4: configurar la VPN en iSeries-B
Siga los mismos pasos que para configurar iSeries-A, invirtiendo las direcciones IP y los identificadores de
la forma apropiada. Considere estos otros aspectos antes de empezar:
v La identificacin del servidor de claves remoto mediante el identificador de clave que especific para el
servidor de claves local en iSeries-A. Por ejemplo, thisisthekeyid.
20
v Utilice exactamente la misma clave precompartida.

v Asegrese de que sus transformaciones coinciden con las que ha configurado en iSeries-A o las
conexiones fallarn.
v No especifique Protege un tnel L2TP iniciado localmente en la pgina General del grupo de claves
dinmicas.
v El sistema remoto inicia la conexin.
v Especifique que la conexin deber iniciarse bajo peticin.
Paso 5: Configurar un perfil de conexin PPP y una lnea virtual en iSeries-B
Siga estos pasos para crear un perfil de conexin PPP para iSeries-B:
1. En Operations Navigator, expanda iSeries-B >Red >Servicios de acceso remoto.
2. Pulse con el botn derecho del ratn Perfiles de conexin de contestador y seleccione Nuevo
perfil.
3. En la pgina Configuracin, seleccione PPP para el tipo de protocolo.
4. Para la modalidad, seleccione L2TP (lnea virtual).
5. Seleccione Terminador (servidor de red) en la lista desplegable Modalidad operativa.
6. Pulse Aceptar en las pginas de propiedades de los perfiles PPP.
7. En la pgina General, especifique un nombre que identifique el tipo y el destino de la conexin. En
ese caso, especifique tobranch. El nombre que especifique debe ser de 10 caracteres como mximo.
8. (opcional) Especifique una descripcin para el perfil.
9. Vaya a la pgina Conexin.
10. Seleccione la direccin IP del punto final del tnel local, 205.13.237.6.
11. En el campo Nombre de lnea virtual, seleccione tobranch en la lista desplegable. Recuerde que
esta lnea no tiene ninguna interfaz fsica asociada. La lnea virtual describe varias caractersticas de
este perfil PPP; por ejemplo, tamao mximo de trama, informacin de autenticacin, el nombre de
sistema principal local, etc. Se abrir el dilogo Propiedades de lnea L2TP.
12. En la pgina General, especifique una descripcin para la lnea virtual.
13. Vaya a la pgina Autenticacin.
14. En el campo Nombre de sistema principal local, especifique el nombre del sistema principal del
servidor de claves local, iSeriesB.
15.
16.
17.
18.
Pulse Aceptar para guardar la nueva descripcin de lnea virtual y volver a la pgina Conexin.
Vaya a la pgina Valores TCP/IP.
En la seccin Direccin IP local, seleccione la direccin IP fija del sistema local, 10.6.11.1.
En la seccin Direccin IP remota, seleccione Agrupacin de direcciones como mtodo para
asignar direcciones. Especifique una direccin de inicio y, a continuacin, especifique el nmero de
direcciones que pueden asignarse al sistema remoto.
19. Seleccione Permitir que el sistema remoto acceda a otras redes (reenvo IP).
20. Vaya a la pgina Autenticacin para establecer el nombre y la contrasea de usuario para este
perfil PPP.
21. En la seccin de identificacin del sistema local, seleccione Permitir que el sistema remoto
verifique la identidad de este sistema. De esta forma, se abrir el dilogo Identificacin del
sistema local.
22. Bajo Protocolode autenticacin a utilizar, seleccione Se requiere contrasea cifrada
(CHAP-MD5)
23. Especifique el nombre de usuario, iSeriesB y una contrasea.
24. Pulse Aceptar para guardar el perfil PPP.
Red privada virtual
21
Paso 6: activar reglas de paquete
OS/400 VPN crea automticamente las reglas de paquetes que la conexin requiere para funcionar
1. En Operations Navigator, expanda el servidor iSeries-A> Red> Polticas IP.
siempre las reglas en todas las interfaces.
reglas.
6. Repita estos pasos para activar las reglas de paquetes en iSeries-B.
El ltimo paso consiste en iniciar la conexin. Para poder iniciar una conexin L2TP, debe habilitar el
terminador L2TP para que responda a las peticiones del iniciador. Tras asegurarse de que todos los
servicios necesarios se han iniciado, inicie la conexin PPP en el extremo del terminador. Los siguientes
pasos describen cmo iniciar la conexin PPP en iSeries-B:
1. En Operations Navigator, expanda iSeries-B >Red >Servicios de acceso remoto.
2. Pulse Perfiles de conexin del contestador para visualizar una lista de los perfiles del contestador
en el panel derecho.
3. Pulse con el botn derecho del ratn tobranch y seleccione Iniciar. Despus de que se haya iniciado
el perfil de la conexin, la ventana se renueva y muestra la conexin como En espera de peticiones
de conexin. Ahora, iSeries-A puede contestar a las peticiones de conexin L2TP desde iSeries-B.
Siga estos pasos para iniciar la conexin L2TP en iSeries-A:
1. En Operations Navigator, expanda iSeries-A >Red >Servicios de acceso remoto.
2. Pulse Perfiles de conexin del originador para visualizar una lista de perfiles de originador en el
panel derecho.
3. Pulse con el botn derecho del ratn toCORP y seleccione Iniciar. Despus de que se haya iniciado
el perfil de la conexin, la ventana se renueva y muestra la conexin como Estableciendo tnel
L2TP.
4. Pulse F5 para renovar la pantalla. Si el tnel L2TP se ha iniciado satisfactoriamente, el estado de la
conexin mostrar Conexiones activas.
Protocolos y conceptos de VPN

La VPN (red privada virtual) utiliza varios protocolos TCP/IP importantes para proteger el trfico de datos.
Para comprender mejor el funcionamiento de las conexiones VPN, deber estar familiarizado con estos
protocolos y conceptos, y la forma en que OS/400 VPN los utiliza:
v Protocolos IPSec (IP Security)
IPSec proporciona una base estable y duradera para proporcionar seguridad de capa de red.
22
v Protocolo IKE (intercambio de claves de Internet)

Una VPN dinmica ofrece seguridad adicional para las comunicaciones mediante IKE. IKE permite a
los servidores VPN de cada extremo de la conexin negociar nuevas claves a intervalos determinados.
v
L2TP (Layer 2 Tunneling Protocol)

Si tiene pensado utilizar una conexin VPN para asegurar las conexiones entre su red y los clientes
remotos, deber asimismo estar familiarizado con L2TP.
v VPN NAT (Conversin de direcciones de red para VPN)
OS/400 VPN tambin soporta NAT (conversin de direcciones de red). VPN NAT se diferencia de la
NAT tradicional en que aqulla convierte las direcciones antes de aplicarlas a los protocolos IKE e
IPSec.
v IPComp (Compresin IP)
IPComp reduce el tamao de los datagramas comprimindolos para aumentar el rendimiento de la
comunicacin entre ambos socios VPN.
Protocolos IPSec (IP Security)

IPSec proporciona una base estable y duradera para proporcionar seguridad de capa de red. Soporta
todos los algoritmos criptogrficos que se utilizan hoy en da y tambin puede ajustarse a algoritmos
nuevos, ms potentes que vayan surgiendo. El protocolo IPSec cubre las siguientes cuestiones de
seguridad principales:
Autenticacin de origen de datos
Verifica que cada datagrama ha sido originado por el remitente indicado.
Integridad de datos
Verifica que el contenido de un datagrama no se ha cambiado por el camino, ni deliberadamente ni debido a errores
aleatorios.
Confidencialidad de datos
Oculta el contenido de un mensaje, normalmente mediante cifrado.
Proteccin de reproduccin
Impide que un agresor pueda interceptar un datagrama y reproducirlo posteriormente.
Gestin automatizada de claves criptogrficas y asociaciones de seguridad
Permite implementar la poltica VPN en toda la red con poca o ninguna configuracin manual.
OS/400 VPN utiliza dos protocolos IPSec para proteger los datos mientras fluyen a travs de la VPN: AH
(cabecera de autenticacin) y EPS (carga til de seguridad encapsulada). La otra parte de la
implementacin de IPSec es el protocolo IKE (intercambio de claves de Internet) o la gestin de claves.
Mientras que IPSec cifra los datos, IKE soporta la negociacin automatizada de SA (asociaciones de
seguridad) y la generacin y la renovacin automatizadas de claves criptogrficas.
Los principales protocolos IPSec se listan a continuacin:
v Protocolo de cabecera de autenticacin (AH)
v Protocolo de carga til de seguridad encapsulada (ESP)
v Protocolo de AH y ESP combinado
v Protocolo de intercambio de claves de Internet (IKE)
IETF (Internet Engineering Task Force) define formalmente IPSec en RFC (Request for Comment) 2401,
Security Architecture for the Internet Protocol. Puede visualizar esta RFC en Internet, en el siguiente sitio
Web: http://www.rfc-editor.org
Cabecera de autenticacin
El protocolo de cabecera de autenticacin (AH) ofrece autenticacin del origen de los datos, integridad de
los datos y proteccin contra la reproduccin. Sin embargo, AH no ofrece confidencialidad de datos, lo
que significa que todos los datos se enviarn como texto legible.
Red privada virtual
23
AH asegura la integridad de los datos mediante la suma de comprobacin que genera un cdigo de
autenticacin de mensajes, como por ejemplo MD5. Para asegurar la autenticacin del origen de los
datos, AH incluye una clave compartida secreta en el algoritmo que utiliza para la autenticacin. Para
asegurar la proteccin contra la reproduccin, AH utiliza un campo de nmeros de secuencia dentro de la
cabecera AH. Es importante observar que, a menudo, estas tres funciones distintas se concentran y se
conocen como autenticacin. En trminos ms sencillos, AH asegura que no se han manipulado los
datos mientras se dirigan a su destino final.
A pesar de que AH autentica el datagrama IP en la mayor medida posible, el destinatario no puede
predecir los valores de ciertos campos de la cabecera IP. AH no protege estos campos, conocidos como
campos mutables. Sin embargo, AH siempre protege la carga til del paquete IP.
IETF (Internet Engineering Task Force IETF) define formalmente AH en la RFC (Request for Comment)
2402, IP Autentication Header. Puede visualizar esta RFC en Internet, en el siguiente sitio Web:
http://www.rfc-editor.org
Formas de utilizar AH
Puede aplicar AH de dos formas: modalidad de transporte o modalidad de tnel. En la modalidad de

transporte, la cabecera IP del datagrama se encuentra en la parte ms externa de la cabecera IP, seguida
de la cabecera AH y, a continuacin, la carga til del datagrama. AH autentica el datagrama entero, a
excepcin de los campos mutables. Sin embargo, la informacin que contiene el datagrama se transporta
como texto legible y, por lo tanto, est sujeto a lecturas. La modalidad de transporte necesita menos
actividad general del proceso que la modalidad de tnel, pero no proporciona tanta seguridad.
La modalidad de tnel crea una nueva cabecera IP y la utiliza como parte ms externa de la cabecera IP
del datagrama. La cabecera AH contina en la nueva cabecera IP. El datagrama original (tanto la
cabecera IP como la carga til original) aparece en ltimo lugar. AH autentica el datagrama entero, por lo
tanto, el sistema que responde puede detectar si el datagrama ha cambiado por el camino.
Si ambos extremos de una asociacin de seguridad hay una pasarela, utilice la modalidad de tnel. En la
modalidad de tnel, las direcciones de origen y destino de la parte ms externa de la cabecera IP no
tienen necesariamente que ser iguales que las direcciones de la cabecera IP original. Por ejemplo, dos
pasarelas de seguridad pueden operar un tnel AH para autenticar todo el trfico entre las redes que
conectan. De hecho, esta es una configuracin muy habitual.
La principal ventaja de utilizar esta modalidad de tnel es que esta modalidad protege totalmente el
datagrama IP encapsulado. Adems, la modalidad de tnel hace posible utilizar direcciones privadas.
Por qu AH?
En muchos casos, sus datos slo necesitan autenticacin. Aunque el protocolo ESP (carga til de
seguridad encapsulada) puede realizar la autenticacin, AH no afecta al rendimiento de su sistema como
lo hace ESP. Otra ventaja de utilizar AH es que sta autentica el datagrama entero. ESP, por otra parte,
no autentica la parte inicial de la cabecera IP o cualquier otra informacin que preceda a la cabecera
ESP.
Adems, para poder implementar ESP hay que disponer de algoritmos criptogrficos de 128 KB. La
criptografa de 128 KB est restringida en algunos pases, mientras que AH no est regulada y puede
utilizarse libremente en todo el mundo.
Qu algoritmos utiliza AH para proteger la informacin?
24
AH utiliza algoritmos conocidos como HMAC (cdigos de autenticacin de mensajes con valores
hash). De forma especfica, OS/400 VPN utiliza tanto HMAC-MD5 como HMAC-SHA. Tanto MD5 como
SHA utilizan datos de entrada de longitud variable y una clave secreta para generar datos de salida de
longitud fija (llamado valor hash). Si los valores hash de dos mensajes coinciden es muy probable que los
mensajes sean idnticos. MD5 y SHA codifican la longitud del mensaje en la salida, aunque SHA est
considerado como ms seguro porque produce unos hash ms grandes.
IETF (Internet Engineering Task Force IETF) define formalmente HMAC-MD5 en la RFC (Request for
Comments) 2085, HMAC-MD5 IP Authentication with Replay Prevention. IETF (Internet Engineering Task
Force IETF) define formalmente HMAC-SHA en la RFC (Request for Comments) 2404, The use of
HMAC-SHA-1-96 within ESP and AH. Puede revisar estas RFC en Internet, en el siguiente sitio Web:
Carga til de seguridad encapsulada

El protocolo ESP (carga til de seguridad encapsulada) ofrece confidencialidad de datos y, de forma
opcional, ofrece autenticacin del origen de los datos, comprobacin de la integridad y proteccin contra
la reproduccin. La diferencia entre ESP y el protocolo AH (cabecera de autenticacin) es que ESP ofrece
cifrado, mientras que ambos protocolos ofrecen autenticacin, comprobacin de la integridad y proteccin
contra la reproduccin. Con ESP, ambos sistemas de comunicacin utilizarn una clave compartida para
cifrar y descifrar los datos que intercambian.
Si decide utilizar tanto el cifrado como la autenticacin, el sistema que responde autentica el paquete en
primer lugar y, a continuacin, si el primer paso tiene xito, el sistema procede con el descifrado. Este tipo
de configuracin reduce la actividad general de proceso y asimismo reduce la vulnerabilidad frente a
ataques de denegacin de servicio.
Hay dos formas de utilizar ESP
Puede aplicar ESP de dos formas: modalidad de transporte o modalidad de tnel. En la modalidad de
transporte, la cabecera ESP sigue a la cabecera IP del datagrama IP original. Si el datagrama ya dispone
de una cabecera IPSec, la cabecera ESP preceder a sta. La cola ESP y datos de autenticacin
opcionaleses siguen a la carga til.
La modalidad de transporte no autentica o cifra la cabecera IP, que podra dejar en evidencia la
informacin de direccionamiento al alcance de posibles agresores mientras el datagrama est en trnsito.
La modalidad de transporte necesita menos actividad general del proceso que la modalidad de tnel, pero
no proporciona tanta seguridad. En la mayor parte de casos, los sistemas principales utilizan la ESP en
modalidad de transporte.
La modalidad de tnel crea una nueva cabecera IP y la utiliza como parte ms externa de la cabecera IP
del datagrama, seguido de la cabecera ESP y, a continuacin, el datagrama original (tanto la cabecera IP
como la carga til original). La cola de ESP y datos de autenticacin opcionales se aaden a la carga til.
Cuando utilice el cifrado y la autenticacin, la ESP proteger completamente el datagrama original porque
ahora se habrn convertido en los datos de la carga til del nuevo paquete ESP. ESP, sin embargo, no
protege la nueva cabecera IP. Las pasarelas deben utilizar la ESP en modalidad de tnel.
Qu algoritmos utiliza ESP para proteger la informacin?
ESP utiliza una clave simtrica que utilizan ambas partes comunicantes para cifrar y descifrar los datos
que intercambian. El remitente y el destinatario deben estar de acuerdo sobre la clave para que pueda
tener lugar una comunicacin segura entre ambos. OS/400 VPN utiliza DES (estndar de cifrado de
datos), triple DES (3DES) y RC4 para el cifrado.
Red privada virtual
25
IETF (Internet Engineering Task Force) define formalmente DES en RFC (Request for Comment) 1829,
The ESP DES-CBC Transform. IETF (Internet Engineering Task Force) define formalmente 3DES en RFC
1851, The ESP Triple DES Transform. Puede revisar estas RFC en Internet, en el siguiente sitio Web:
ESP utiliza los algoritmos HMAC-MD5 y HMAC-SHA para ofrecer funciones de autenticacin. Tanto MD5
como SHA utilizan datos de entrada de longitud variable y una clave secreta para generar datos de salida
de longitud fija (llamado valor hash). Si los valores hash de dos mensajes coinciden es muy probable que
los mensajes sean idnticos. MD5 y SHA codifican la longitud del mensaje en la salida, aunque SHA est
considerado como ms seguro porque produce unos hash ms grandes.
IETF (Internet Engineering Task Force IETF) define formalmente HMAC-MD5 en la RFC (Request for
Comments) 2085, HMAC-MD5 IP Authentication with Replay Prevention. IETF (Internet Engineering Task
Force IETF) define formalmente HMAC-SHA en la RFC (Request for Comments) 2404, The Use of
HMAC-SHA-1-96 within ESP and AH. Puede revisar estas RFC en Internet, en el siguiente sitio Web:
AH y ESP combinados
OS/400 VPN permite combinar AH y ESP para conexiones de sistema principal a sistema principal en
modalidad de transporte. La combinacin de estos protocolos protege todo el datagrama IP. A pesar de
que la combinacin de ambos protocolos ofrece ms seguridad, la actividad general de proceso que
conlleva puede pesar ms que el beneficio.
Protocolo de intercambio de claves de Internet

Despus de cada negociacin satisfactoria, los servidores VPN regeneran las claves que protegen la
conexin, de forma que resulte ms difcil para un agresor capturar informacin de la conexin.
Adicionalmente, si utiliza el secreto progresivo perfecto, los agresores no podrn deducir las futuras
claves en base a informacin de claves anterior.
El gestor de claves de OS/400 VPN es la implementacin de IBM del protocolo IKE (intercambio de
claves de Internet). El gestor de claves soporta la negociacin automtica de las SA (asociaciones de
seguridad), as como la regeneracin y renovacin automtica de claves criptogrficas.
Una SA (Asociacin de seguridad) contiene informacin necesaria para utilizar los protocolos IPSec.
Por ejemplo, una SA identifica el tipo de algoritmo, la longitud y el tiempo de vida de una clave, las partes
participantes y las modalidades de encapsulacin.
Las claves criptogrficas, como implica su nombre, bloquean o protegen la informacin hasta que sta
alcanza de forma segura su destino final.
Nota: la generacin de sus claves de forma segura es el factor ms importante al establecer una
conexin privada y segura. Si sus claves estn comprometidas, sus esfuerzos de autenticacin y cifrado,
no importa lo duros que sean, sern intiles.
Fases de la gestin de claves
El gestor de claves de OS/400 VPN utiliza dos fases distintas en su implementacin. La fase 1 establece
un secreto principal a partir del cual se derivan las claves criptogrficas ulteriores para proteger el trfico
de datos del usuario. Esto es cierto incluso aunque no exista todava proteccin de seguridad entre
ambos puntos finales. OS/400 VPN utiliza la modalidad de firma RSA o claves precompartidas para
autenticar negociaciones de la fase 1, as como para establecer las claves que protegen los mensajes IKE
que fluyen durante las negociaciones de la fase 2 subsiguientes.
26
Una clave precompartida es una serie no trivial de 128 caracteres como mximo. Ambos extremos de
una conexin deben ponerse de acuerdo sobre la clave precompartida. La ventaja de la utilizacin de
claves precompartidas es la simplicidad, la desventaja es que un secreto compartido debe comunicarse
por otros canales, por ejemplo a travs del telfono o de correo certificado, antes de las negociaciones
IKE. Debe tratar la clave precompartida como tratara una contrasea. La autenticacin de la Firma RSA
ofrece una mayor seguridad que las claves precompartidas porque esta modalidad utiliza certificados
digitales para la autenticacin. Debe configurar sus certificados digitales a travs de Digital Certificate
Manager (5722-SS1 Opcin 34). Adems, algunas soluciones de VPN necesitan la firma RSA para
interaccionar. Por ejemplo, Windows 2000 VPN utiliza la firma RSA como el mtodo de autenticacin por
omisin. Finalmente, la firma RSA proporciona ms escalabilidad que las claves precompartidas. Los
certificados que utilice deben provenir de autoridades certificadoras en las que confen ambos servidores
de claves.
La fase 2, por otro lado, negocia las asociaciones de seguridad y las claves que protegen los
intercambios de datos reales de la aplicacin. Recuerde que hasta este punto no se han enviado
realmente datos de aplicacin. La fase 1 protege los mensajes IKE de la fase 2.
Una vez que las negociaciones de la fase 2 han terminado, la VPN establece una conexin dinmica
segura a travs de la red y entre los puntos finales definidos para la conexin. Todos los datos que fluyen
a travs de la VPN se entregan con el grado de seguridad y eficiencia acordado por los servidores de
claves durante los procesos de negociacin de la fase 1 y la fase 2.
En general, las negociaciones de la fase 1 se llevan a cabo una vez al da, mientras que las
negociaciones de fase 2 se renuevan cada 60 minutos o incluso cada 5 minutos. Las velocidades de
renovacin elevadas aumentan la seguridad de los datos, pero disminuyen el rendimiento del sistema.
Utilice tiempos de vida de clave breves para proteger sus datos ms delicados.
Al crear una VPN dinmica mediante OS/400 VPN, debe definir una poltica IKE para permitir las
negociaciones de la fase 1 y una poltica de datos para controlar las negociaciones de la fase 2.
Lectura recomendada
Si desea leer ms acerca del protocolo y la gestin de claves IKE (intercambio de claves de Internet),
revise estos RFC (Request for Comments) de IETF (Internet Engineering Task Force):
v RFC 2407, The Internet IP Security Domain of Interpretation for ISAKMP
v RFC 2408, Internet Security Association and Key Management Protocol (ISAKMP)
v RFC 2409, The Internet Key Exchange (IKE)
Puede revisar estas RFC en Internet, en el siguiente sitio Web: http://www.rfc-editor.org
Layer 2 Tunnel Protocol (L2TP)

Las conexiones L2TP (Layer 2 Tunneling Protocol), tambin denominadas lneas virtuales, ofrecen acceso
a los usuarios remotos a bajo precio, al permitir que un servidor de red de la empresa gestione las
direcciones IP asignadas a sus usuarios remotos. Adems, las conexiones L2TP ofrecen un acceso
seguro a su sistema o red cuando las utilice conjuntamente con IPSec (IP Security).
L2TP soporta dos modalidades de tnel: el tnel voluntario y el tnel obligatorio. La diferencia ms
importante entre ambos es el punto final. En el tnel voluntario, el tnel termina en el cliente remoto
mientras que el tnel obligatorio termina en el ISP.
Con un tnel obligatorio L2TP, un sistema principal remoto inicia la conexin con su ISP (suministrador
de servicios de Internet). A continuacin, ISP establece una conexin L2TP entre el usuario remoto y la
Red privada virtual
27
red de la empresa. A pesar de que el ISP establece la conexin, deber decidir cmo proteger el trfico
mediante OS/400 VPN. Con un tnel obligatorio, ISP debe soportar LT2P.
Con un tnel voluntario L2TP, el usuario remoto crea la conexin , tpicamente mediante un cliente de
tnel L2TP. Como resultado, el usuario remoto enva los paquetes L2TP a su ISP, que los reenva a la red
de la empresa. Con un tnel voluntario, ISP no necesita soportar L2TP.
L2TP es en realidad una variacin de un protocolo de encapsulado IP. El tnel L2TP se crea al
encapsular un marco L2TP dentro de un paquete UDP (Protocolo de datagramas de usuario), que, a su
vez, est encapsulado en un paquete IP. Las direcciones de origen y destino de este paquete IP definen
los puntos finales de conexin. Debido a que el protocolo de encapsulado exterior es IP, puede aplicar los
protocolos IPSec al paquete IP compuesto. De esta forma, se protegen los datos que fluyen dentro del
tnel L2TP. A continuacin, puede aplicar directamente la cabecera de autenticacin (AH), la carga til de
seguridad encapsulada (ESP) y el protocolo de intercambio de claves de Internet (IKE).
Conversin de direcciones de red para VPN

NAT (conversin de direcciones de red) toma sus direcciones IP privadas y las convierte en direcciones IP
pblicas. De esta forma, facilita la conservacin de direcciones pblicas valiosas y, al mismo tiempo,
permite a los sistemas principales de su red acceder a los servicios y sistemas principales remotos a
travs de Internet (u otras redes pblicas).
Adems, si utiliza direcciones IP privadas, estas pueden entrar en conflicto con direcciones IP entrantes
parecidas. Por ejemplo: desea comunicarse con otra red y ambas redes utilizan direcciones 10.*.*.*.; las
direcciones entrarn en conflicto y todos los paquetes se desactivarn. Si aplica NAT a sus direcciones
salientes, podr solucionar este problema. Sin embargo, si el trfico de datos est protegido por una VPN,
la NAT convencional no funcionar porque modifica las direcciones IP en las SA (asociaciones de
seguridad) que VPN necesita para funcionar. Para evitar este problema, OS/400 VPN ofrece su propia
versin de la conversin de direcciones de red, denominada VPN NAT. VPN NAT realiza conversiones de
direcciones antes de la validacin SA, asignando una direccin a la conexin cuando sta se inicia. Esta
direccin permanece asociada a la conexin hasta que sta se suprime.
Nota: FTP no soporta VPN NAT actualmente.
Cmo utilizar VPN NAT?
Hay dos tipos distintos de VPN NAT que necesita considerar antes de empezar. Son los siguientes:
VPN NAT para evitar conflictos entre direcciones IP
Este tipo de VPN NAT permite evitar todos los conflictos posibles entre direcciones IP que se producen al
configurar una conexin VPN entre redes o sistemas con esquemas de direccionamiento similares. Un
escenario habitual es aquel en que ambas empresas desean crear conexiones VPN utilizando uno de los
rangos de direcciones IP privadas designados. Por ejemplo, 10.*.*.*. La forma en que deber configurar
este tipo de VPN NAT depende de si su servidor es el iniciador o el contestador de la conexin VPN.
Cuando su servidor es el iniciador de la conexin, puede convertir las direcciones locales en direcciones
compatibles con la direccin de la conexin VPN asociada. Cuando su servidor es el contestador de la
conexin, puede convertir las direcciones remotas VPN de su socio en direcciones compatibles con su
esquema de direccionamiento local. Configure este tipo de conversin de direcciones slo para las
conexiones dinmicas.
VPN NAT para direcciones locales
Este tipo de VPN NAT se utiliza ante todo para ocultar la direccin IP real de su sistema local, mediante
la conversin de su direccin en otra direccin, que se hace disponible pblicamente. Al configurar VPN
NAT, puede especificar que cada direccin IP conocida pblicamente se convierta a su direccin de una
28
agrupacin de direcciones ocultas. Esto tambin permite equilibrar la carga de trfico de una direccin
individual a travs de direcciones mltiples. VPN NAT para direcciones locales precisa que su servidor
acte como contestador de las conexiones.
Utilice VPN NAT para las direcciones locales si responde afirmativamente a estas preguntas:
1. Tiene uno o varios servidores a los que quiera que accedan las personas mediante una VPN?
2. Necesita ser flexible con las direcciones IP reales de sus sistemas?
3. Tiene una o varias direcciones IP globalmente direccionables?
Compresin IP (IPComp)
El protocolo de Compresin de la carga til IP (IPComp) reduce el tamao de los datagramas IP
comprimindolos para incrementar el rendimiento de la comunicacin entre dos asociados. El objetivo es
aumentar el rendimiento de la comunicacin general cuando sta se produce a travs de enlaces lentos o
congestionados. IPComp no ofrece ninguna seguridad y debe utilizarse junto con una transformacin AH o
ESP cuando la comunicacin se produce a travs de una conexin VPN.
IETF (Internet Engineering Task Force IETF) define formalmente IPComp en la RFC (Request for
Comments) 2393, IP Payload compresion Protocol (IPComp). Puede visualizar esta RFC en Internet, en el
siguiente sitio Web: http://www.rfc-editor.org
Requisitos de configuracin de OS/400 VPN

Para que funcione correctamente en iSeries 400 y con clientes de la red, asegrese de que el iSeries y
sistema cliente cumplen los siguientes requisitos:
Requisitos de iSeries
v OS/400, Versin 5 Release 1 (5722-SS1) o posterior
v Digital Certificate Manager (5722-SS1 Opcin 34)
v Cryptographic Access Provider (5722-AC2 o AC3)
v Client Access Express (5722-XE1) y OS/400 Operations Navigator
Componente de red de OS/400 Operations Navigator
v Establezca en 1 el valor del sistema de retener los datos de seguridad del servidor (QRETSVRSEC *SEC)
v TCP/IP, incluyendo las interfaces IP, las rutas, el nombre del sistema principal local y el nombre de dominio local
deben estar configurados
Requisitos del cliente

v Una estacin de trabajo con un sistema operativo Windows de 32 bits (Windows 95, 98, NT) conectado
correctamente al iSeries y configurado para TCP/IP
v Una unidad de proceso a 233 Mhz
v 32 MB de RAM para clientes Windows 95/98
v 64 MB de RAM para clientes Windows NT
v Client Access Express y OS/400 Operations Navigator instalados en el sistema cliente
v Software que soporte el protocolo IPSec (IP Security)
v Software que soporte L2TP, si los usuarios remotos utilizarn L2TP para establecer una conexin con su sistema
Planificacin de VPN
La planificacin es una parte esencial de su solucin VPN total. Deber tomar muchas decisiones
complejas para asegurar que la conexin funcione correctamente. Utilice cualquiera de estos recursos
para recopilar toda la informacin que necesite para asegurar que su VPN sea satisfactoria:
Red privada virtual
29
v Determinar qu tipo de VPN se va a crear

Determinar cmo se va a utilizar la VPN es uno de los primeros pasos que hay que seguir para realizar
una planificacin satisfactoria. Este tema describe los diversos tipos de conexin que puede configurar.
v Asesor de configuracin de VPN
El asesor de planificacin le realizar preguntas sobre la red y, basndose en sus respuestas, le har
recomendaciones para crear la VPN.
Nota: utilice el asesor de planificacin VPN slo para conexiones que soporten el protocolo IKE
(intercambio de claves de Internet). Utilice la hoja de planificacin de conexiones manuales para sus
tipos de conexin manual.
v Completar las hojas de trabajo de planificacin VPN
Si lo prefiere, puede imprimir y completar las hojas de trabajo de planificacin para recopilar
informacin detallada sobre sus proyectos de utilizacin de la VPN.
Despus de haber realizado un plan para implementar la VPN, puede empezar a configurarla.
Determinar qu tipo de VPN se va a crear

Determinar cmo se va a utilizar la VPN es uno de los primeros pasos que hay que seguir para realizar
una planificacin satisfactoria. Para hacer esto, es necesario comprender el rol que desempean los
servidores de claves local y remoto en la conexin. Por ejemplo, si los puntos finales de conexin son
distintos de los puntos finales de datos. Son iguales o una combinacin de ambos? Los puntos finales
de conexin autentican y cifran (o descifran) el trfico de datos de la conexin y, de forma opcional,
ofrecen la gestin de claves con el protocolo IKE (intercambio de claves de Internet). Por otra parte, los
puntos finales de datos definen el trfico IP que fluye por la VPN en la conexin entre dos sistemas; por
ejemplo, todo el trfico TCP/IP entre 123.4.5.6 y 123.7.8.9. Normalmente, cuando los puntos finales de
conexin y de datos difieren, el servidor VPN es una pasarela. Cuando son iguales, el servidor VPN es un
sistema principal.
Los varios tipos de implementaciones VPN que se adaptan a las necesidades de la mayor parte de
empresas son los siguientes:
De pasarela a pasarela
Los puntos finales de conexin de ambos sistemas son distintos de los puntos finales de datos. El protocolo IPSec (IP
Security) protege el trfico que circula entre las pasarelas. Sin embargo, IPSec no protege el trfico de datos en cada
extremo de las pasarelas, dentro de las redes internas. Esta configuracin es habitual para conexiones entre
sucursales ya que el trfico que se direcciona ms all de las pasarelas de sucursal, a las redes internas,
habitualmente se considera de confianza.
De pasarela a sistema principal
IPSec protege el trfico de datos mientras circula entre la pasarelay un sistema principal en una red remota. VPN no
protege el trfico de datos en la red local porque se considera de confianza.
De sistema principal a pasarela
VPN protege el trfico de datos mientras circula entre un sistema principal en la red local y una pasarela remota. VPN
no protege el trfico de datos en la red remota.
De sistema principal a sistema principal
Los puntos finales de la conexin corresponden a los puntos finales de datos tanto en el sistema local como en el
remoto. VPN protege el trfico de datos entre un sistema principal de la red local y un sistema principal de la red
remota. Este tipo de VPN proporciona proteccin IPSec de extremo a extremo.
Completar las hojas de trabajo de planificacin VPN

Utilice las hojas de trabajo de planificacin para recopilar informacin detallada sobre sus proyectos de
utilizacin de la VPN VPN. Necesitar esta informacin para planificar su estrategia VPN de forma
adecuada. Tambin puede utilizar esta informacin para configurar la VPN. Seleccione la hoja de trabajo
del tipo de conexin que desea crear.
30
v Hoja de trabajo de planificacin para conexiones dinmicas

Complete esta hoja de trabajo para configurar una conexin dinmica.
v Hoja de trabajo de planificacin para conexiones manuales
Complete esta hoja de trabajo para configurar una conexin manual.
v Asesor de configuracin de VPN
O, si lo prefiere, utilice el asesor que le ofrecer una planificacin interactiva y una gua para la
configuracin. El asesor de planificacin le realizar preguntas sobre la red y, basndose en sus
respuestas, le har recomendaciones para crear la VPN.
Nota: Utilice el asesor de planificacin VPN slo para conexiones dinmicas. Utilice la hoja de
planificacin de conexiones manuales para sus tipos de conexin manual.
Si va a crear varias conexiones con propiedades parecidas, quizs desee configurar los valores por
omisin de VPN. Deber proporcionar los valores por omisin en las hojas de propiedades VPN. Esto
significa que no necesita configurar las mismas propiedades cada vez. Para establecer los valores por
omisin, seleccione Editar del men principal VPN y, a continuacin, seleccione Valores por omisin.
Hoja de trabajo de planificacin para conexiones dinmicas

Antes de crear las conexiones VPN dinmicas, complete esta hoja de trabajo. La hoja de trabajo
presupone que utilizar el Asisente de Conexin Nueva. El asistente permite configurar la VPN en base a
sus requisitos de seguridad bsicos. En algunos casos, puede necesitar refinar las propiedades que el
asistente configura para una conexin. Por ejemplo, si decide que necesita registrar por diario o si desea
que el servidor VPN se inicie cada vez que se inicie TCP/IP. Si es as, pulse con el botn derecho del
ratn el grupo de claves dinmicas o la conexin que el asistente ha creado y seleccione Propiedades.
Debe responder a cada pregunta antes de proceder con la configuracin de la VPN.
Respuestas

34)?
Si el tnel de la VPN atraviesa los cortafuegos o direccionadores que implementan el
Estn configurados los cortafuegos o los direccionadores para permitir los protocolos
Necesita esta informacin para configurar una conexin VPN dinmica
Respuestas
Red privada virtual
31

v De pasarela a pasarela
v De sistema principal a pasarela
v De pasarela a sistema principal
v De sistema principal a sistema principal
v Mxima seguridad, mnimo rendimiento
v Equilibrar seguridad y rendimiento
v Mnima seguridad y mximo rendimiento
v Mxima seguridad, mnimo rendimiento
v Equilibrar seguridad y rendimiento
v Mnima seguridad y mximo rendimiento
Hoja de trabajo de planificacin para conexiones manuales

Complete esta hoja de trabajo que le ayudar a crear su conexin de red privada virtual (VPN) manual.
Debe responder a cada una de las siguientes preguntas antes de proseguir con la configuracin de su
VPN:
34)?
Si el tnel de la VPN atraviesa los cortafuegos o direccionadores que implementan el
Estn configurados los cortafuegos o los direccionadores para permitir los protocolos
AH y ESP?
32
Respuestas
Necesita esta informacin para configurar una VPN manual
Respuestas

v De sistema principal a pasarela
v De sistema principal a sistema principal
v De pasarela a sistema principal
v De pasarela a pasarela
Cmo se denominar la conexin?
Cul es el identificador del punto final de conexin local?
Cul es el identificador del punto final de conexin remoto?
Qu tipo de trfico permitir para esta conexin (puerto local, puerto remoto y
protocolo)?
Necesita conversin de direcciones para esta conexin? Consulte Conversin de
direcciones de red para VPN para obtener ms informacin.
Utilizar la modalidad de tnel o de transporte?
Qu protocolo IPSec utilizar la conexin (AH, ESP o AH con ESP)? Consulte IPSec
(IP Security) para obtener ms informacin.
Qu algoritmo de autenticacin utilizar la conexin (HMAC-MD5 o HMAC-SHA)?
Qu algoritmo de cifrado utilizar la conexin (DES-CBC o 3DES-CBC)?
Nota: deber especificar el algoritmo de cifrado slo si ha seleccionado ESP como
protocolo IPSec.
Cul es la clave AH entrante? Si utiliza MD5, la clave ser una serie de caracteres
hexadecimales de 16 bytes. Si utiliza SHA, la clave ser una serie de caracteres
hexadecimales de 20 bytes.
La clave entrante debe coincidir exactamente con la clave saliente del servidor
remoto.
Cul es la clave AH saliente? Si utiliza MD5, la clave ser una serie de caracteres
hexadecimales de 16 bytes. Si utiliza SHA, la clave ser una serie de caracteres
La clave saliente debe coincidir exactamente con la clave entrante del servidor
remoto.
Cul es la clave ESP entrante? Si utiliza DES, la clave ser una serie de caracteres
hexadecimales de 8 bytes. Si utiliza 3DES, la clave ser una serie de caracteres
La clave entrante debe coincidir exactamente con la clave saliente del servidor
remoto.
Cul es la clave ESP saliente? Si utiliza DES, la clave ser una serie de caracteres
hexadecimales de 8 bytes. Si utiliza 3DES, la clave ser una serie de caracteres
La clave saliente debe coincidir exactamente con la clave entrante del servidor
remoto.
Red privada virtual
33
Necesita esta informacin para configurar una VPN manual
Respuestas
Cul es el SPI (ndice de poltica de seguridad) entrante? El SPI entrante es una

serie de caracteres hexadecimales de 4 bytes, donde el primer byte est establecido
en 00.
El SPI entrante debe coincidir exactamente con el SPI saliente del servidor remoto.
Cul es el SPI saliente? El SPI saliente es una serie de caracteres hexadecimales
de 4 bytes.
El SPI saliente debe coincidir exactamente con el SPI entrante del servidor remoto.
Configuracin de VPN
La interfaz de OS/400 VPN le ofrece varias formas distintas de configurar las conexiones VPN. Siga
leyendo para decidir qu tipo de conexin va a configurar y cmo va a hacerlo.
Qu tipo de conexin debo configurar?
Una conexin dinmica genera y negocia dinmicamente las claves que protegen la conexin, mientras
est activa, mediante el protocolo IKE. Las conexiones dinmicas proporcionan un nivel suplementario de
seguridad para los datos que fluyen a travs de ellas porque las claves cambian automticamente, a
intervalos regulares. En consecuencia, es ms difcil que un asaltante capture una clave, tenga tiempo de
descifrarla y la utilice para desviar o capturar el trfico protegido por esta.
Por otro lado, una conexin manual (Consulte 35) es aqulla en la que todas las propiedades de la VPN
deben configurarse a mano. Adems, ambos extremos de la conexin requieren la configuracin de varios
atributos que deben coincidir exactamente. Las conexiones manuales utilizan claves estticas que no se
renuevan ni cambian mientras la conexin est activa. Debe detener una conexin manual para cambiar
la clave asociada. Si considera que supone un riesgo para la seguridad, puede crear una conexin
dinmica en su lugar.
Cmo se configura una conexin dinmica VPN?
Una VPN es en realidad un grupo de objetos de configuracin que definen las caractersticas de una
conexin. Una conexin VPN dinmica necesita que cada uno de los siguientes objetos funcione
correctamente. Siga los enlaces que figuran a continuacin para obtener informacin especfica sobre
cmo configurarlos:
Configuracin de las conexiones con el asistente Conexin
Por lo general, utilizar el asistente Conexin para crear todas las conexiones dinmicas. El asistente crea
automticamente cada uno de los objetos de configuracin que OS/400 necesita para funcionar correctamente,
incluyendo las reglas de paquete. Si especifica que el asistente deber activar las reglas de paquetes VPN, puede
saltar al paso 6 que se encuentra a continuacin, Iniciar la conexin. En caso contrario, despus de que el asistente
haya terminado de configurar la VPN, debe activar las reglas de paquetes y, a continuacin, puede iniciar la conexin.
Si decide no utilizar el asistente para configurar las conexiones dinmicas VPN, siga estos pasos para
completar la configuracin:
1. Configurar las polticas de seguridad VPN
Debe definir polticas de seguridad VPN para todas las conexiones dinmicas. La poltica IKE y la
poltica de datos estipulan cmo IKE protege las negociaciones de fase 1 y fase 2.
2.
34
Configurar conexiones seguras

Tras haber definido las polticas de seguridad para la conexin, deber configurar la conexin segura.
Para las conexiones dinmicas, el objeto de conexin segura incluye un grupo de claves dinmicas y
una conexin de claves dinmicas. El grupo de claves dinmicas define las caractersticas comunes
3.
4.
5.
6.
de una o varias conexiones VPN, mientras que la conexin de claves dinmicas define las
caractersticas de las conexiones de datos individuales entre pares de puntos finales. La conexin de
claves dinmicas existe dentro del grupo de claves dinmicas.
Nota: slo necesita completar los siguientes dos pasos, Configurar las reglas de paquete y Definir una
interfaz para las reglas, si selecciona la opcin La regla de filtrado de polticas se definir en las
reglas de paquete en la pgina Grupo de claves dinmicas - Conexiones en la interfaz VPN. De lo
contrario, estas reglas se crearn como parte de las configuraciones VPN y se aplicarn a la interfaz
que especifique.
Se recomienda que siempre permita a la interfaz OS/400 VPN crear sus reglas de filtrado. Llvelo a
cabo seleccionando la opcin Generar el siguiente filtro de polticas para este grupo en la pgina
Grupo de claves dinmicas - Conexiones.
Configurar las reglas de paquete
Tras haber completado la configuracin de VPN, deber crear y aplicar las reglas de filtrado que
permiten al trfico de datos fluir por la conexin. La regla VPN anterior a IPSec permite todo el trfico
IKE en las interfaces especificadas, de forma que IKE pueda negociar las conexiones. La regla de
filtro de polticas define qu direcciones, protocolos y puertos puede utilizar el nuevo grupo de claves
dinmicas.
Por lo general, slo tendr que configurar las reglas de paquetes para la VPN cuando est migrando
desde un release anterior y tenga reglas de paquetes que desee seguir utilizando. Si es el caso, debe
revisar el tema, Antes de empezar a configurar las reglas de paquetes VPN.
Definir una interfaz para las reglas
Despus de configurar las reglas de paquetes y cualquier otra regla que necesite para habilitar la
conexin VPN, debe definir una interfaz a la que aplicarlas.
Activar las reglas de paquete
Despus de definir una interfaz para las reglas de paquete, debe activarlas para poder iniciar la
conexin.
Iniciar la conexin
Complete esta tarea para iniciar las conexiones.
Cmo se configura una conexin VPN manual?
Tal como sugiere el nombre, una conexin manual es una conexin en la que deben configurarse a mano
todas las propiedades de VPN, incluyendo las claves de entrada y salida. Siga los enlaces que figuran a
continuacin para obtener informacin especfica sobre cmo configurar una conexin manual:
1. Configurar conexiones manuales
Las conexiones manuales definen las caractersticas de una conexin, incluyendo los protocolos de
seguridad y los puntos finales de conexin y de datos.
Nota: slo necesita completar los siguientes dos pasos, Configurar la regla de filtro de polticas y
Definir una interfaz para las reglas, si selecciona la opcin La regla de filtrado de polticas se
definir en las reglas de paquete en la pgina Conexin manual - Conexin en la interfaz VPN.
De lo contrario, estas reglas se crearn como parte de las configuraciones VPN.
Se recomienda que siempre permita a la interfaz OS/400 VPN crear sus reglas de filtrado de polticas.
Para ello seleccione la opcin Generar un filtro de polticas que coincida con los puntos finales
de datos en la pgina Conexin manual - Conexin.
2. Configurar la regla de filtro de polticas
Tras haber completado la configuracin de atributos de la conexin manual, deber crear y aplicar la
regla de filtro de polticas que permita al trfico de datos fluir por la conexin. La regla de filtro de
polticas define qu direcciones, protocolos y puertos puede utilizar la conexin asociada.
3. Definir una interfaz para las reglas
Despus de configurar las reglas de paquetes y cualquier otra regla que necesite para habilitar la
Red privada virtual
35
4. Activar las reglas de paquete

Despus de definir una interfaz para las reglas de paquete, debe activarlas para poder iniciar la
conexin.
5. Iniciar la conexin
Complete esta tarea para iniciar las conexiones que se inician localmente.
Configuracin de las conexiones con el asistente Conexin VPN

El asistente Conexin VPN permite crear una red privada virtual (VPN) entre cualquier combinacin de
sistemas principales y pasarelas. Por ejemplo, de sistema principal a sistema principal, de pasarela a
sistema principal, de sistema principal a pasarela o de pasarela a pasarela.
El asistente crea automticamente cada uno de los objetos de configuracin que OS/400 necesita para
funcionar correctamente, incluyendo las reglas de paquete. Sin embargo, si necesita aadir ms
funciones; por ejemplo, registrar por diario o convertir direcciones, deber refinar ms la VPN mediante
las hojas de propiedades del grupo de claves dinmicas o de la conexin adecuados. Para ello, primero
debe detener la conexin si est activa. A continuacin, pulse con el botn derecho del ratn el grupo de
claves dinmicas o la conexin y seleccione Propiedades.
Complete el Asesor de planificacin VPN antes de empezar. El asesor le ofrece informacin importante
que necesitar para crear la VPN.
Para crear una VPN con el asistente Conexin, siga estos pasos:
1. En Operations Navigator, expanda el servidor > Red> Polticas IP.
el asistente Conexin.
3. Siga los pasos del asistente para crear una conexin VPN bsica. Pulse el botn Ayuda si la
necesita.
Configuracin de las polticas de seguridad VPN

Despus de determinar cmo va a utilizar la VPN, debe definir sus polticas de seguridad VPN.
Concretamente, tendr que:
v Configurar una poltica IKE (intercambio de claves de Internet)
La poltica IKE define qu nivel de autenticacin y de proteccin de cifrado utilizar IKE durante las
negociaciones de fase 1. La fase 1 de IKE establece las claves que protegen los mensajes que fluyen
en las negociaciones subsiguientes de la fase 2. No es necesario definir una poltica IKE cuando crea
una conexin manual. Adems, si crea la VPN con el asistente Conexin, ste puede crear la poltica
IKE por usted.
v Configurar una poltica de datos
Una poltica de datos define el nivel de autenticacin o cifrado con que se protegen los datos que
fluyen a travs de la VPN. Los sistemas que establecen la comunicacin se ponen de acuerdo sobre
estos atributos durante las negociaciones de la fase 2 del protocolo IKE (intercambio de claves de
Internet). No es necesario definir una poltica de datos cuando se crea una conexin manual. Adems,
si crea la VPN con el asistente Conexin, ste puede crear una poltica de datos.
Despus de configurar las polticas de seguridad VPN, debe configurar las conexiones seguras.
Configuracin de la poltica IKE (intercambio de claves de Internet)

Una poltica IKE define qu nivel de autenticacin o proteccin de cifrado utilizar IKE durante las
negociaciones de fase 1. La fase 1 de IKE establece las claves que protegen los mensajes que fluyen en
las negociaciones subsiguientes de la fase 2. OS/400 VPN utiliza tanto la modalidad de firma RSA como
las claves precompartidas para autenticar las negociaciones de fase 1. Si tiene pensado utilizar
certificados digitales para autenticar los servidores de claves, en primer lugar deber configurarlos
mediante Digital Certificate Manager (5722-SS1 Opcin 34). La poltica IKE tambin identifica qu servidor
de claves remoto utilizar esta poltica.
36
Para definir una poltica IKE o realizar cambios en una existente, siga estos pasos:
1. En Operations Navigator, expanda el servidor > Red> Polticas IP> Red privada virtual>
2. Para crear una poltica nueva, pulse con el botn derecho del ratn Polticas IKE (intercambio de
claves de Internet) y seleccione Poltica IKE (intercambio de claves de Internet) nueva. Para
realizar cambios en una poltica existente, pulse Polticas IKE (intercambio de claves de Internet)
en el panel izquierdo y despus pulse con el botn derecho del ratn la poltica que desee cambiar en
el panel derecho y seleccione Propiedades.
3. Cumplimente todas las hojas de propiedades. Pulse Ayuda si tiene preguntas acerca de cmo
cumplimentar una pgina o alguno de los campos.
Configuracin de una poltica de datos

Una poltica de datos define el nivel de autenticacin o cifrado con que se protegen los datos que fluyen a
travs de la VPN. Los sistemas que establecen la comunicacin se ponen de acuerdo sobre estos
atributos durante las negociaciones de la fase 2 del protocolo IKE (intercambio de claves de Internet).
Para definir una poltica de datos o realizar cambios en una existente, siga estos pasos:
2. Para crear una poltica de datos nueva, pulse con el botn derecho del ratn Polticas de datos y
seleccione Poltica de datos nueva. Para realizar cambios en una poltica de datos existente, pulse
Polticas de datos (en el panel izquierdo) y despus pulse con el botn derecho del ratn la poltica
de datos que desea cambiar (en el panel derecho) y seleccione Propiedades.
Configuracin de la conexin VPN segura

Tras haber definido las polticas de seguridad para la conexin, deber configurar la conexin segura.
Para las conexiones dinmicas, el objeto de conexin segura incluye un grupo de claves dinmicas y una
conexin de claves dinmicas.
El grupo de claves dinmicas define las caractersticas comunes de una o varias conexiones VPN. La
configuracin de un grupo de claves dinmicas permite utilizar las mismas polticas, pero puntos finales
de datos distintos, para cada conexin del grupo. Los grupos de claves dinmicas tambin permiten
negociar con iniciadores remotos satisfactoriamente cuando los puntos finales de datos propuestos por el
sistema remoto no se conocen especficamente de antemano. Lo lleva a cabo asociando la informacin
de polticas del grupo de claves dinmicas con una regla de filtro de polticas que tenga un tipo de accin
IPSec. Si los puntos finales de datos especficos que ofrece el iniciador remoto caen dentro del rango
especificado en la regla de filtro IPSec, pueden estar sujetos a la poltica definida en el grupo de claves
dinmicas.
La conexin de claves dinmicas define las caractersticas de las conexiones de datos individuales
entre los pares de puntos finales. La conexin de claves dinmicas existe dentro del grupo de claves
dinmicas. Despus de configurar un grupo de claves dinmicas para describir qu conexiones de
polticas del grupo deben utilizarse, necesita crear conexiones de claves dinmicas individuales para las
conexiones que inicie localmente.
Para configurar el objeto de conexin segura, complete estas tareas:
Parte 1: Configurar un grupo de claves dinmicas:
Red privada virtual
37
Conexiones de seguridad.
2. Pulse con el botn derecho del ratn Por grupo y seleccione Nuevo grupo de claves dinmicas.
3. Pulse Ayuda si tiene preguntas acerca de cmo cumplimentar una pgina o alguno de los campos.
Parte 2: configurar una conexin de claves dinmicas:
1. En Operations Navigator, expanda el servidor > Red > Polticas IP> Red privada virtual>
Conexiones de seguridad-> Por grupo.
2. En el panel izquierdo de la ventana de Operations Navigator, pulse con el botn derecho del ratn el
grupo de claves dinmicas que ha creado en la parte 1 y seleccione Nueva conexin de claves
dinmicas.
Tras completar estos pasos, necesitar activar las reglas de paquetes que la conexin requiere para
funcionar correctamente.
Nota: en la mayor parte de casos, deber permitir que la interfaz OS/400 VPN genere las reglas de
paquetes VPN automticamente seleccionando la opcin Generar el siguiente filtro de polticas para
este grupo en la pgina Grupo de claves dinmicas - Conexiones. Sin embargo, si selecciona la
opcin La regla de filtro de polticas se definir en las Reglas de paquetes, deber configurar una
regla de paquete VPN manualmente y, a continuacin, activarlas.
Configuracin de una conexin manual

Tal como sugiere el nombre, una conexin manual es una conexin en la que deben configurarse a mano
todas las propiedades de VPN. Adems, ambos extremos de la conexin requieren la configuracin de
varios elementos que deben coincidir exactamente. Por ejemplo, las claves de entrada, deben coincidir
con las claves de salida del sistema remoto, de otro modo fallar la conexin.
Las conexiones manuales utilizan claves estticas que no se renuevan ni cambian mientras la conexin
est activa. Debe detener una conexin manual para cambiar la clave asociada. Si considera que supone
un riesgo para la seguridad y ambos extremos de la conexin soportan el protocolo IKE (intercambio de
claves de Internet), considere la posibilidad de configurar una conexin dinmica como alternativa.
Para definir las propiedades para la conexin manual, siga estos pasos:
2. Pulse con el botn derecho del ratn Todas las conexiones y seleccione Nueva conexin manual.
Nota: en la mayor parte de casos, deber permitir que la interfaz OS/400 VPN genere las reglas de
paquetes VPN automticamente seleccionando la opcin Generar un filtro de polticas que coincida
con los puntos finales de datos en la pgina Conexin manual-Conexin. Sin embargo, si selecciona
la opcin La regla de filtro de polticas se definir en las Reglas de paquetes, deber configurar una
regla de filtro de polticas manualmente y, a continuacin, activarlas.
38
Configuracin de las reglas de paquetes VPN

Si est creando una conexin por primera vez, debe permitir que OS/400 VPN genere automticamente
las reglas de paquetes VPN. Puede llevarlo a cabo utilizando el asistente Conexin o las pginas de
propiedades de OS/400 VPN para configurar la conexin.
Si decide crear reglas de paquetes manualmente, deber crear tambin cualquier otra regla manualmente.
Inversamente, si desea que OS/400 VPN genere las reglas de filtrado de polticas, deber crear todas las
reglas de filtrado de polticas adicionales de esta forma. ReviseAntes de empezar a configurar las reglas
de paquetes VPN, para obtener ms detalles.
Siga los enlaces siguientes para aprender a configurar las reglas de paquetes VPN manualmente:
Reglas de paquetes necesarias para las conexiones dinmicas
v Regla anterior a IPSec

Las reglas anteriores a IPSec son todas las reglas de su sistema que preceden a las reglas con un tipo
de accin IPSec. Este tema slo trata las reglas anteriores a IPSec que OS/400 VPN necesita para
funcionar correctamente. En este caso, las reglas anteriores a IPSec son un par de reglas que permiten
el proceso IKE en la conexin. IKE permite generar y negociar claves dinmicas para la conexin.
Puede necesitar aadir otras reglas anteriores a IPSec en funcin de su entorno de red particular y de
su poltica de seguridad.
v Regla de filtro de polticas
La regla de filtro de polticas define el trfico que puede utilizar la VPN y qu poltica de proteccin de
datos debe aplicarse a este trfico.
Aspectos a considerar antes de empezar
Al aadir reglas de filtrado a una interfaz, el sistema aade automticamente una regla DENY por omisin
para esa interfaz. Esto significa que se deniega cualquier trfico no permitido explcitamente. No es
posible ver ni cambiar esta regla. Como consecuencia, el trfico que anteriormente funcionaba falla
misteriosamente al activar las reglas de filtrado de VPN. Si desea permitir en la interfaz un trfico que no
sea VPN, debe aadir explcitamente reglas PERMIT para hacerlo.
Tras configurar las reglas de filtrado apropiadas, debe definir la interfaz a la que se aplicarn y, a
continuacin, activarlas.
Es esencial que configure las reglas de filtrado de forma apropiada. Si no es as, las reglas de filtrado
pueden bloquear todo el trfico IP entrante y saliente de el iSeries 400. Esto incluye la conexin a
Operations Navigator, que se utiliza para configurar las reglas de filtrado.
Si las reglas de filtrado no permiten el trfico de Operations Navigator, Operations Navigator no podr
comunicarse con el iSeries 400. Si se encuentra en esta situacin, necesitar conectarse al iSeries
mediante una interfaz que an tenga conectividad, como por ejemplo, la consola de operaciones. Utilice el
mandato RMVTCPTBL TBL(*ALL) para eliminar todos los filtros del sistema. Este mandato tambin
finaliza los servidores *VPN y, a continuacin, los reinicia. Despus, configure los filtros y reactvelos.
Antes de empezar a configurar las reglas de paquetes VPN

En releases anteriores del sistema operativo, deba configurar las reglas de paquetes VPN manualmente
y por separado. No se configuraban automticamente como parte de las configuraciones VPN. En V5R1,
ahora OS/400 VPN puede crear reglas de paquetes VPN de forma automtica. Sin embargo, hay varios
elementos que tendr que considerar si ha creado reglas de filtrado de polticas (reglas en las que
action=IPSec) en V4R4 o V4R5 y desea utilizar las mismas reglas en V5R1. O puede que OS/400 VPN
genere sus reglas de filtrado de polticas, pero que necesite aadir reglas adicionales que permitan otro
trfico IP por la conexin; por ejemplo, telnet. Siga estas recomendaciones que le ayudarn a evitar
posibles errores de configuracin.
Red privada virtual
39
Para clarificar: en este tema, las referencias al archivo de reglas del cliente, alude a cualquier archivo de
reglas que haya creado mediante la interfaz de reglas de paquete. Compare ste con el archivo de reglas
OPNAV, que es el archivo de reglas que OS/400 VPN genera automticamente como parte de las
configuraciones VPN de V5R1.
v Si tiene conexiones VPN de las V4R4 o V4R5 y no tiene pensado configurar ms conexiones VPN en
V5R1, puede activar sus reglas de filtrado e iniciar las conexiones, como de costumbre.
v Si OS/400 VPN ha generado sus reglas de filtrado de polticas, pero necesita aadir algunas reglas que
no son de filtro VPN, debe configurar estas reglas mediante la interfaz de reglas de paquete. Si alguna
de esas reglas que no son de filtro VPN necesitan preceder a los filtros OPNAV, sus nombres de
conjunto deben empezar por PREIPSEC. Por ejemplo, PREIPSECMYRULES. Los nombres de conjunto de
todas las reglas que no son VPN no deben tener el prefijo PREIPSEC. Por ejemplo, MORERULES.
v Siempre que sea posible, permita que la interfaz VPN cree todas las reglas de filtrado de polticas. Si el
archivo de reglas del cliente es relativamente simple, considere volver a configurar todos los filtros de
polticas anteriores a V5R1 mediante la interfaz VPN. Para ello, elimine las definiciones de filtro
apropiadas del archivo de reglas del cliente y seleccione la opcin Generar el siguiente filtro de
polticas para este grupo en la pgina Grupo de claves dinmicas - Conexiones de la interfaz VPN.
Las reglas VPN que no son de filtro deben permanecer en el archivo de reglas del cliente. Recuerde
que si alguno de estos filtros que no son VPN necesitan preceder a los filtros de polticas en el archivo
de reglas OPNVAV, necesitar aadir el prefijo PREIPSEC al nombre del conjunto. De esta forma, se
asegura de que las reglas del cliente y las OPNAV funcionan conjuntamente de la forma que desea.
v Si tiene pensado utilizar las reglas de filtrado de polticas que ha creado manualmente, cree todas las
reglas de filtrado de polticas ulteriores manualmente. Inversamente, si tiene pensado utilizar la interfaz
VPN para crear las reglas de filtrado de polticas, todas las reglas de filtrado de polticas ulteriores
deben crearse de esta forma.
v Si desea activar slo las reglas OPNAV, siga estos pasos:
2. Pulse con el botn derecho del ratn Reglas de paquetes y seleccione Configuracin. Se
visualizar la interfaz de reglas de paquetes.
4. Desde el men Archivo, seleccione Activar.
v Si desea activar tanto el archivo de reglas del cliente como el archivo de reglas OPNAV, siga estos
pasos:
2. Pulse con el botn derecho del ratn Reglas de paquetes y seleccione Configuracin. Se
visualizar la interfaz de reglas de paquetes.
3. Abra el archivo de reglas que desee activar.
4. Desde el men Archivo, seleccione Activar.
De esta forma se fusionar el archivode reglas del cliente con el archivo de reglas OPNAV siguiendo
un orden especfico para cada sentencia FILTER_INTERFACE. Para cada interfaz dada, el orden de
fusin es el siguiente:
1. Los conjuntos del cliente cuyos nombres empiezan por PREIPSEC
2. Los conjuntos OPNAV cuyos nombres empiezan por PREIPSEC. En V5R1, PREIPSECPERMITALLIKE
es el nico conjunto anterior a IPSec en la regla OPNAV.
3.
4.
5.
6.
Los conjuntos OPNAV con ACTION=IPSEC (filtros de polticas)

Los conjuntos de cliente con ACTION=IPSEC (filtros de polticas)
Los conjuntos de cliente de cualquier otro tipo.
Conjuntos OPNAV de cualquier otro tipo. En V5R1, OPNAVPERMITNONVPN es el nico de este tipo.
Compruebe el archivo EXPANDED.OUT para visualizar el orden del archivo de salida fusionado.
EXPANDED.OUT se escribe en el directorio donde se ubica el archivo de reglas del cliente.
40
v Si slo desea activar los archivos de reglas del cliente, debe asegurarse de que no existe ningn filtro
OPNAV. Para ello, seleccione la opcin El filtro de polticas se definir en las reglas de paquetes
en la pgina Grupo de claves dinmicas - Conexiones de cada grupo de claves dinmicas, o en la
pgina Conexin manual - Conexin para las conexiones manuales.
v Active las reglas de filtrado en todas las interfaces, en lugar de hacerlo en cada interfaz por separado.
De esta forma, tendr la garanta de que los filtros se activarn y que se establecer el orden correcto
de los filtros de polticas.
v Debe siempre verificar las reglas de filtrado antes de intentar activarlas. Si la verificacin se realiza sin
errores, compruebe entonces el archivo EXPANDED.OUT para asegurar que estn ordenadas de la
forma que desea. Tras haber completado este paso, puede activar las reglas.
Configuracin de la regla de filtro anterior a IPSec

Atencin: slo deber completar esta tarea si ha especificado que no desea que OS/400 genere los
filtros IKE anteriores a IPSec automticamente.
Un par de servidores de intercambio de claves de Internet (IKE) negocian y renuevan las claves
dinmicamente. IKE utiliza el puerto conocido pblicamente 500. Para que IKE funcione correctamente,
debe permitir el trfico IP de los datagramas UDP a travs del puerto 500. Para ello, tendr que crear un
par de reglas de filtrado; una para el trfico entrante y otra para el trfico saliente, de forma que la
conexin pueda negociar claves dinmicamente para proteger la conexin:
2. Pulse con el botn derecho del ratn Reglas de paquetes y seleccione Configuracin. De esta
forma se visualizar la interfaz de reglas de paquete, que le permitir crear o editar reglas NAT y de
filtro para el iSeries 400.
4. Pulse con el botn derecho del ratn Filtros y seleccione Filtro nuevo.
5. En la pgina General, especifique un nombre de conjunto para las reglas de filtrado VPN. Le
recomendamos que cree al menos tres conjuntos distintos: uno para las reglas de filtrado anteriores
a IPSec, uno para las reglas de filtrado de polticas y otra para las reglas de filtrado DENY y PERMIT
miscelneas. El conjunto que contiene las reglas de filtrado anteriores a IPSec deben llevar el prefijo
preipsec. Por ejemplo, preipsecfilters.
6. En el campo Accin, seleccione PERMIT en la lista desplegable.
7. En el campo Accin, seleccione OUTBOUND en la lista desplegable.
8. En el campo Nombre de direccin de origen, seleccione = en la lista desplegable y, a continuacin,
especifique la direccin IP del servidor de claves local en el segundo campo. Ha especificado la
direccin IP del servidor de claves local en la poltica IKE.
9. En el campo Nombre de direccin de destino, seleccione = en la lista desplegable y, a
continuacin, especifique la direccin IP del servidor de claves remoto en el segundo campo. Ha
especificado la direccin IP del servidor de claves remoto en la poltica IKE.
10. En la pgina Servicios, seleccione Servicio. De esta forma se habilitan los campos Protocolo,
Puerto origen y Puerto destino.
11. En el campo Protocolo, seleccione UDP en la lista desplegable.
12. Para Puerto origen, seleccione = en el primer campo y, a continuacin especifique 500 en el
segundo campo.
13. Repita el paso anterior para Puerto destino.
14. Pulse Aceptar.
15. Repita estos pasos para configurar el filtro INBOUND. Utilice el mismo nombre de conjunto e invierta
las direcciones de la forma necesaria.
Nota: hay una opcin menos segura pero ms sencilla para permitir el trfico IKE a travs de la conexin,
que consiste en configurar slo el filtro anterior a IPSec y utilizar valores de comodn (*) en los
camposDireccin, Nombre de direccin de origen y Nombre de direccin de destino.
Red privada virtual
41
El siguiente paso es configurar una regla de filtro de polticas para definir qu trfico IP debe proteger la
conexin VPN.
Configuracin de una regla de filtro de polticas

Atencin: slo deber completar esta tarea si ha especificado que no desea que OS/400 VPN genere su
regla de filtro de polticas automticamente.
La regla de filtro de polticas de IPSEC define qu direcciones, protocolos y puertos pueden utilizar la
VPN. Tambin identifica la poltica que se aplicar al trfico en la conexin VPN. Para configurar una
regla de filtro de polticas, siga estos pasos:
Nota: si acaba de configurar la regla anterior a IPSec (slo para conexiones dinmicas), la interfaz de
reglas de paquetes an estar abierta; vaya al cuarto paso.
4. Pulse con el botn derecho del ratn Filtros y seleccione Filtro nuevo.
5. En la pgina General, especifique un nombre de conjunto para las reglas de filtrado VPN. Le
recomendamos que cree al menos tres conjuntos distintos: uno para las reglas de filtrado anteriores
a IPSec, uno para las reglas de filtrado de polticas y otra para las reglas de filtrado DENY y PERMIT
miscelneas. Por ejemplo, policyfilters.
6. En el campo Accin, seleccione IPSEC en la lista desplegable. El campo Direccin toma
OUTBOUND por omisin y no puede cambiarlo. A pesar de que este campo toma OUTBOUND por
omisin, en realidad es bidireccional. El valor OUTBOUND aparece para clarificar la semntica de los
valores de entrada. Por ejemplo, los valores origen son valores locales y los valores destino son
valores remotos.
7. Para Nombre de la direccin de origen, seleccione = en el primer campo y, a continuacin,
especifique la direccin IP del punto final de datos local en el segundo campo. Tambin puede
especificar un rango de direcciones IP o una direccin IP ms una mscara de subred tras haberlos
definido mediante la funcin Definir direcciones.
8. Para Nombre de direccin de destino, seleccione = en el primer campo y, a continuacin,
especifique la direccin IP del punto final de datos remoto en el segundo campo. Tambin puede
especificar un rango de direcciones IP o una direccin IP ms una mscara de subred tras haberlos
definido mediante la funcin Definir direcciones.
9. En el campo Registro por diario, especifique el nivel de registro por diario que necesita.
10. En el campo Nombre de la conexin, seleccione la definicin de conexin a la que se aplican estas
reglas de filtrado.
11. (Opcional) Especifique una descripcin.
12. En la pgina Servicios, seleccione Servicio.De esta forma se habilitan los campos Protocolo,
Puerto origen y Puerto destino.
13. En los campos Protocolo, Puerto de origen y Puerto de destino, seleccione el valor apropiado
para el trfico. O puede seleccionar el asterisco (*) en la lista desplegable. De esta forma, cualquier
protocolo puede utilizar la VPN a travs de cualquier puerto.
14. Pulse Aceptar. El siguiente paso consiste en definir la interfaz a la que se aplican estas reglas de
filtrado.
Nota: al aadir reglas de filtrado para una interfaz, el sistema aade automticamente una regla DENY
por omisin para la interfaz. Esto significa que se deniega cualquier trfico no permitido explcitamente.
No es posible ver ni cambiar esta regla. Como consecuencia, ver que algunas conexiones que
anteriormente funcionaban, fallan misteriosamente tras activar sus reglas de paquetes VPN. Si desea
permitir en la interfaz un trfico que no sea VPN, debe aadir explcitamente reglas PERMIT para hacerlo.
42
Definicin de una interfaz para las reglas de filtrado VPN

Despus de configurar las reglas de paquetes de VPN y cualquier otra regla que necesite para habilitar la
Para definir una interfaz a la que pueda aplicar las reglas de filtrado VPN, siga estos pasos:
Nota: Si acaba de configurar las reglas de paquetes VPN, la interfaz de reglas de paquetes an estar
abierta; vaya al cuarto paso.
4. Pulse con el botn derecho del ratn Interfaces de filtro y seleccione Nueva interfaz de filtro.
5. En la pgina General, seleccione Nombre de lnea y, a continuacin, seleccione la descripcin de
lnea a la que se aplicarn las reglas de paquetes VPN en la lista desplegable.
6. (opcional) Especifique una descripcin.
7. En la pgina Conjuntos de filtros, pulse Aadir para aadir el nombre de cada conjunto a los filtros
que acaba de configurar.
8. Pulse Aceptar.
9. Guarde el archivo de reglas. El archivo se guarda en el sistema de archivos integrado de iSeries con
la extensin i3p.
Nota: no guarde el archivo en el siguiente directorio:
/QIBM/UserData/OS400/TCPIP/RULEGEN
Este directorio es de uso exclusivo del sistema. Si alguna vez necesita utilizar el mandato
RMVTCPTBL *ALL para desactivar las reglas de paquete, el mandato suprimir todos los archivos que
se encuentren dentro de este directorio.
Despus de definir una interfaz para las reglas de filtrado, debe activarlas para poder iniciar la VPN.
Activacin de las reglas de paquetes VPN

Para poder iniciar una conexin VPN, primero debe activar las reglas de paquetes VPN. No puede activar
un conjunto de reglas a menos que tenga el archivo de reglas abierto. Adems, no puede activar (o
desactivar) las reglas de filtrado mientras se estn ejecutando las conexiones VPN. Por lo tanto, antes de
activar las reglas de filtrado VPN, asegrese de que no hay ninguna conexin activa asociada con stas.
La forma de crear reglas de paquetes determina la forma de activarlas:
Activar las reglas de paquetes generadas por OS/400 VPN

siempre las reglas de paquetes en todas las interfaces.
reglas.
Red privada virtual
43
Activar las reglas de paquetes configuradas manualmente

3. Abra el archivo de reglas que desee activar.
siempre las reglas de paquetes en todas las interfaces.
reglas.
Despus de haber activado las reglas de filtrado, podr iniciar la conexin VPN.
Inicio de una conexin VPN

Estas instrucciones presuponen que ha configurado correctamente la conexin VPN. Siga estos pasos
para iniciar la conexin VPN:
3. Asegrese de que las reglas de paquetes estn activadas.
4. Expanda Red privada virtual> Conexiones de seguridad.
6. Pulse con el botn derecho del ratn la conexin que desee iniciar y seleccione Iniciar. Para iniciar
varias varias conexiones, seleccione cada conexin que desee iniciar, pulse el botn derecho del ratn
y seleccione Iniciar.
Gestin de OS/400 VPN con Operations Navigator

Utilice la interfaz de OS/400 VPN para manejar todas las tareas de gestin, comprendiendo:
v Inicio de una conexin VPN
Complete esta tarea para iniciar las conexiones que se inician localmente.
v Establecimiento de los atributos por omisin de las conexiones
Los valores por omisin se rellenan los paneles que utilizar para crear nuevas polticas y conexiones.
Puede establecer los valores por omisin para los niveles de seguridad, la gestin de sesiones con
clave, el tiempo de vida de la clave y los tiempos de vida de las conexiones.
v Restablecimiento de las conexiones en estado de error
El restablecimiento de las conexiones con errores las devuelve al estado de desocupado.
v Visualizacin de la informacin de error
Complete esta tarea que le ayudar a determinar por qu la conexin da error.
v Visualizacin de los atributos de las conexiones activas
Complete esta tarea para comprobar el estado y otros atributos de las conexiones activas.
v Utilizacin del rastreo del servidor VPN
El servidor VPN permite configurar, iniciar, detener y visualizar el gestor de conexiones VPN y los
rastreos del servidor del gestor de claves VPN. Esto es parecido a utilizar el mandato TRCTCPAPP
*VPN desde la pantalla verde, excepto que el rastreo se puede ver mientras la conexin est activa.
44
v Visualizacin de las anotaciones de trabajo del servidor VPN

Siga estas instrucciones para visualizar las anotaciones de trabajo para el gestor de claves VPN y el
gestor de conexiones VPN.
v Detencin de las conexiones
Complete esta tarea para detener las conexiones activas.
v Visualizacin de los atributos de las SA (asociaciones de seguridad)
Complete esta tarea para visualizar los atributos de las SA (asociaciones de seguridad) que estn
asociadas con una conexin habilitada.
v Supresin de los objetos de configuracin de VPN
Antes de suprimir una conexin VPN debe conocer el efecto de la conexin sobre otras conexiones
VPN y grupos de conexiones.
Establecimiento de los atributos por omisin de las conexiones

Los valores de seguridad por omisin figuran en varios campos cuando se crean objetos VPN nuevos.
Para establecer los valores de seguridad por omisin para las conexiones VPN, siga estos pasos:
1. En Operations Navigator, expanda el servidor >Red >Polticas IP.
2. Pulse con el botn derecho del ratn VPN (red privada virtual) y seleccione Valores por omisin.
4. Pulse Aceptar una vez haya cumplimentado todas las hojas de propiedades.
Restablecimiento de las conexiones en estado de error

Para renovar una conexin cuyo estado sea de error, siga estos pasos:
Conexiones de seguridad
3. Pulse con el botn derecho del ratn la conexin que desea restablecer y seleccione Restablecer. De
esta manera el estado de la conexin se restablece desocupado. Para restablecer varias conexiones
que se encuentran en estado de error, seleccione cada conexin que desee restablecer, pulse el
botn derecho del ratn y seleccione Restablecer.
Visualizacin de la informacin de error

Para visualizar la informacin sobre las conexiones con errores, siga estos pasos:
3. Pulse con el botn derecho del ratn la conexin activa o por solicitud que desea ver y seleccione
Informacin de error.
Visualizacin de los atributos de las conexiones activas

Para visualizar los atributos actuales de una conexin activa o bajo peticin, siga estos pasos:
3. Pulse con el botn derecho del ratn la conexin activa o por solicitud que desea ver y seleccione
Propiedades.
4. Vaya a la pgina Atributos actuales para ver los atributos de la conexin.
Red privada virtual
45
Tambin puede visualizar los atributos de todas las conexiones en la ventana de Operations Navigator.
Por omisin, los nicos atributos que se visualizarn son Estado, Descripcin y Tipo de conexin. Puede
modificar qu datos se visualizarn siguiendo estos pasos:
3. Desde el men Objetos, seleccione Columnas. De esta forma, se abrir un dilogo que le permitir
seleccionar qu atributos desea visualizar en la ventana de Operations Navigator.
Debe ser consciente de que, al cambiar las columnas a visualizar, los cambios no sern especficos para
un usuario o sistema determinado, sino que afectarn a todo el sistema.
Utilizacin del rastreo del servidor VPN

Para ver el rastreo del servidor VPN, siga estos pasos:
2. Pulse con el botn derecho del ratn Red privada virtual, seleccione Herramientas de diagnstico
y, a continuacin, Rastreo del servidor.
Para especificar qu tipo de rastreo deben generar el gestor de claves de VPN y el gestor de conexiones
de VPN, siga estos pasos:
1. En la ventana Rastreo de VPN (red privada virtual), pulse (Opciones).
2. En la pgina Gestor de conexiones, especifique qu tipo de rastreo debe ejecutar el servidor del
gestor de conexiones.
3. En la pgina Gestor de claves, especifique qu tipo de rastreo debe ejecutar el servidor del gestor de
claves.
(Iniciar) para iniciar el rastreo. Pulse
6. Pulse
informacin de rastreo ms reciente.
(Renovar) peridicamente para ver la
Visualizacin de las anotaciones de trabajo del servidor VPN

Para ver las anotaciones de trabajo del gestor de claves de la VPN o del gestor de conexiones de la
VPN, siga estos pasos:
2. Pulse con el botn derecho del ratn VPN (red privada virtual), seleccione Herramientas de
diagnstico y seleccione las anotaciones de trabajo del servidor que desee ver.
Detencin de una conexin VPN

Para detener una conexin activa o bajo peticin, siga estos pasos:
3. Pulse con el botn derecho del ratn la conexin que desee detener y pulse Detener. Para detener
varias conexiones, seleccione cada conexin que desee detener, pulse el botn derecho del ratn y
seleccione Detener.
Visualizacin de los atributos de las SA (asociaciones de seguridad)

Para ver los atributos de las asociaciones de seguridad (SA) asociadas a una conexin habilitada. Para
ello, siga estos pasos:
46
3. Pulse con el botn derecho del ratn la conexin activa adecuada y seleccione Asociaciones de
seguridad La ventana resultante permite ver las propiedades de cada una de las SA asociadas a una
conexin especfica.
Supresin de los objetos de configuracin de VPN

Si est seguro de que necesita suprimir una conexin VPN de la base de datos de polticas VPN, siga
estos pasos:
3. Pulse con el botn derecho del ratn la conexin que desea suprimir y pulse Suprimir.
Solucin de problemas de OS/400 VPN

VPN es una tecnologa compleja y muy cambiante que exige como mnimo un conocimiento bsico de las
tecnologas IPSec estndares. Tambin deber estar familiarizado con las reglas de paquetes IP, porque
OS/400 VPN requiere varias reglas de filtrado para poder funcionar adecuadamente. Debido a su
complejidad, de vez en cuando podr encontrarse con problemas con las conexiones VPN. La solucin de
problemas de VPN no es siempre una tarea fcil. Deber comprender los entornos de su sistema y su
red, as como los componentes que utiliza para gestionarlos. Los siguientes temas le ofrecen algunas
indicaciones sobre cmo solucionar los distintos problemas que podra encontrar al utilizar OS/400 VPN:
v Cmo empezar a solucionar los problemas de OS/400 VPN
Dirjase aqu para empezar a encontrar y corregir sus problemas de conexin VPN.
v Errores de configuracin habituales de OS/400 VPN y cmo solventarlos
Este tema identifica los errores de usuario ms habituales y ofrece posible soluciones.
v Solucin de problemas de OS/400 VPN con el diario QIPFILTER
Este tema ofrece informacin sobre las reglas de filtrado VPN.
v Solucin de problemas de OS/400 VPN con el diario QVPN
Este tema ofrece informacin sobre las conexiones y el trfico IP.
v Solucin de problemas de las anotaciones de trabajo VPN de OS/400 VPN
En este tema se describen las distintas anotaciones de trabajo que utiliza OS/400 VPN.
v TSolucin de problemas de OS/400 VPN con el rastreo de comunicaciones de OS/400
En este tema se describe cmo rastrear los datos de una lnea de comunicacin.
Cmo empezar a solucionar los problemas de OS/400 VPN

Hay varias formas de empezar a analizar los problemas de OS/400 VPN:
1. Asegrese siempre de haber aplicado los ltimos arreglos temporales de programa (PTF).
2. Asegrese de que cumple los requisitos mnimos de configuracin de VPN.
3. Revise cualquier mensaje de error que se encuentre en la ventana de Informacin de error o en las
anotaciones de trabajo del servidor VPN para los sistemas local y remoto. De hecho, para solucionar
los problemas de conexin VPN, normalmente es necesario comprobar ambos extremos de la
conexin. Adems, necesita tener en cuenta que debe comprobar cuatro direcciones: los puntos
finales de las conexiones local y remota, que son las direcciones donde IPSec se aplica a los
paquetes IP y los puntos finales de datos remoto y local, que son las direcciones de origen y destino
de los paquetes IP.
4. Si los mensajes de error que encuentra no le ofrecen suficiente informacin para resolver el problema,
compruebe el diario del filtro IP.
Red privada virtual
47
5. El rastreo de la comunicacin en iSeries 400 le ofrece otro lugar donde puede encontrar informacin
general sobre si el sistema local recibe o enva peticiones de conexin.
6. El mandato Rastrear Aplicacin TCP (TRCTCPAPP) ofrece, no obstante, otra forma de identificar los
problemas. Habitualmente, el Servicio de IBM utiliza el mandato TRCTCPAPP para obtener una salida
de rastreo que permita analizar los problemas de conexin.
Otros aspectos a comprobar
Si se produce un error tras haber configurado una conexin y no est seguro de en qu parte de la red se
ha producido el error, intente reducir la complejidad de su entorno. Por ejemplo, en lugar de investigar
todas las partes de una conexin VPN a la vez, empiece por la propia conexin IP. La siguiente lista
ofrece algunas pautas sobre cmo iniciar el anlisis de los problemas de VPN, de la conexin IP ms
simple a la conexin VPN ms compleja:
1. Empiece con una configuracin IP entre el sistema principal local y el remoto. Elimine todos los filtros
IP de la interfaz que los sistemas local y remoto utilizan para comunicarse. Puede realizar un PING
desde el sistema principal local al sistema principal remoto?
Nota: recuerde solicitar en el mandato PING; especifique la direccin del sistema remoto y utilice
PF10 para introducir ms parmetros y, a continuacin, especifique la direccin de Internet local.
Esto es especialmente importante si tiene interfaces lgicas o fsicas mltiples. Le asegura que
se coloquen las direcciones correctas en los paquetes PING correctos.
Si la respuesta es s, prosiga al paso 2. Si la respuesta es no, compruebe la configuracin IP, el
estado de la interfaz y las entradas de direccionamiento. Si la configuracin es correcta, utilice un
rastreo de comunicaciones para comprobar, por ejemplo, que una peticin PING sale del sistema. Si
enva una peticin PING pero no recibe ninguna respuesta, es muy probable que el problema radique
en la red o en el sistema remoto.
Nota: puede haber direccionadores intermedios o cortafuegos que realicen el filtrado de
paquetes IP y puede que estn filtrando los paquetes PING. El PING est habitualmente basado
en el protocolo ICMP. Si el PING es satisfactorio, sabr dnde tiene conectividad. Si el PING no
es satisfactorio, slo sabr que el PING fue anmalo. Puede intentar comprobar otros protocolos
IP entre los dos sistemas, como Telnet o FTP, para verificar la conectividad.
2. Compruebe las reglas de filtrado para VPN y asegrese de que estn activadas. Se ha iniciado el
filtrado satisfactoriamente? Si la respuesta es s, prosiga al paso 3. Si la respuesta es no, compruebe
los mensajes de error en la ventana de Reglas de Paquetes en Operations Navigator. Asegrese de
que las reglas de filtrado no especifican NAT (Conversiones de direcciones de red) para ningn trfico
VPN.
3. Inicie la conexin VPN. Se ha iniciado la conexin satisfactoriamente? Si la respuesta es s, prosiga
al paso 4. Si la respuesta es no, compruebe si hay errores en las anotaciones de trabajo QTOVMAN
y las anotaciones de trabajo QTOKVPNIKE.
Cuando utilice la VPN, su suministrador de servicios de Internet (ISP) y cada pasarela de seguridad
de su red deben soportar los protocolos de cabecera de autenticacin (AH) y de carga til de
seguridad encapsulada (ESP). La decisin de utilizar AH o ESP depender de las proposiciones que
defina para la conexin VPN.
4. Puede activar una sesin de usuario a travs de la conexin VPN? Si la respuesta es s, la conexin
VPN funcionar tal como deseaba. Si la respuesta es no, compruebe las reglas de paquetes y los
grupos de claves dinmicas y las conexiones VPN para las definiciones de filtro que no permiten el
trfico de usuario deseado.
48
Errores de configuracin habituales de OS/400 VPN y cmo

solucionarlos
En esta seccin se describen algunos de los problemas ms habituales que se producen con OS/400
VPN y le proporciona enlaces a las recomendaciones sobre cmo resolverlos.
Nota: Al configurar OS/400 VPN, en realidad est creando distintos objetos de configuracin, que VPN
necesita para habilitar una conexin. En trminos de la GUI de VPN, estos objetos son: las polticas de
seguridad IP y las conexiones seguras. Por lo tanto, cuando esta informacin se refiere a un objeto, se
refiere a una o varias de estas partes de la VPN.
Mensajes de error habituales que puede encontrar
Mensaje
TCP5B28
Sntoma:
Al intentar activar las reglas de filtrado en una interfaz,
recibe este mensaje: TCP5B28 Violacin de orden
CONNECTION_DEFINITION
Elemento no encontrado
Al pulsar con el botn derecho del ratn un objeto VPN y

seleccionar Propiedades o Eliminar, obtiene el mensaje
Elemento no encontrado.
EL PARMETRO PINBUF NO ES VLIDO
Al intentar iniciar una conexin, obtiene el mensaje EL

PARMETRO PINBUF NO ES VLIDO...
Elemento no encontrado, Servidor de claves remoto...
Al seleccionar las Propiedades de una conexin de

claves dinmicas, obtiene un mensaje que le informa de
que el servidor no encontr el servidor de claves remoto
que ha especificado.
No puede actualizarse el objeto
Al seleccionar Aceptar en la hoja de propiedades de un

grupo de claves dinmicas o una conexin manual,
obtiene un mensaje que le informa de que el sistema no
puede actualizar el objeto.
No se puede cifrar la clave...
Obtiene un mensaje que le informa de que el sistema no

puede cifrar sus claves porque el valor QRETSVRSEC
debe establecerse en 1.
CPF9821
Al intentar expandir o abrir el contenedor de polticas IP

en Operations Navigator, aparece el mensaje CPF9821No autorizado para el programa QTFRPRS en la
biblioteca QSYS.
Otros problemas con los que puede encontrarse

Error
Todas las claves estn en blanco
Sntoma:
Al visualizar las propiedades de una conexin manual,
todas las claves precompartidas y las claves de los
algoritmos de la conexin estn en blanco.
Aparece un inicio de sesin para un sistema distinto
La primera vez que utiliza la interfaz de reglas de

paquetes en Operations Navigator, aparece una pantalla
de inicio de sesin para un sistema distinto del actual.
Ningn estado de la conexin
En la ventana de Operations Navigator, hay una conexin

que no tiene ningn valor en la columna Estado.
Las conexiones detenidas an estn habilitadas
Despus de detener una conexin, la ventana de

Operations Navigator indica que la conexin todava est
habilitada.
Red privada virtual
49
3DES no es una opcin para el cifrado
Si trabaja con una transformacin de polticas IKE, una

transformacin de polticas de datos o una conexin
manual, el algoritmo de cifrado 3DES no podr
seleccionarse.
Visualizacin de columnas inesperada
Ha configurado las columnas que desea visualizar en la

ventana de Operations Navigator para las conexiones
VPN; a continuacin, cuando vuelve a visualizarlas,
aparecen columnas distintas.
Se ha producido una anomala al desactivar las reglas de

filtrado activas
Al intentar desactivar el actual conjunto de reglas de

filtrado, aparece el mensaje Se ha producido una
anomala al intentar desactivar las reglas activas
en la ventana de resultados.
El grupo de claves dinmicas de una conexin cambia
Al crear una conexin de claves dinmicas, se especifica

un grupo de claves dinmicas y un identificador para el
servidor de claves remoto. Ms adelante, al ver las
propiedades del objeto de conexin relacionado, la pgina
General de la hoja de propiedades visualiza el mismo
identificador del servidor de claves remoto, pero un grupo
de claves dinmicas distinto.
Mensaje de error de VPN: TCP5B28

Sntoma:
Al intentar activar las reglas de filtrado en una interfaz determinada, ha recibido el siguiente mensaje de
error:
TCP5B28: Violacin de orden de CONECTION_DEFINITION
Posible resolucin:
Las reglas de filtrado que ha intentado activar contenan definiciones de conexin que tenan un orden
distinto que en el juego de reglas activadas previamente. La forma ms fcil de resolver este error es
activar el archivo de reglas en todas las interfaces en lugar de hacerlo en una interfaz determinada.
Mensaje de error de VPN: Elemento no encontrado

Sntoma:
Al pulsar con el botn derecho del ratn un objeto de la ventana de Red privada virtual y seleccionar
Propiedades o Eliminar, aparece el siguiente mensaje:
Posible resolucin:
50
v Puede haber eliminado o renombrado el objeto y no haber renovado an la ventana. En consecuencia,

el objeto an aparece en la ventana Red privada virtual. Para verificar que se trata de esto, en el men
Visualizar, seleccione Renovar. Si el objeto an aparece en la ventana Red privada virtual, pase al
siguiente elemento de la lista.
v Al configurar las propiedades del objeto, se puede haber producido un error entre el servidor VPN e
iSeries 400. Muchos de los objetos que aparecen en la ventana Red privada virtual estn relacionados
con ms de un objeto de la base de datos de polticas VPN. Esto significa que los errores de
comunicacin pueden hacer que algunos de los objetos de la base de datos sigan estando
relacionados con un objeto en la VPN. Siempre que se cree o actualice un objeto, se produce un error
en el momento en que realmente se produce la prdida de sincronizacin. La nica forma de solucionar
el problema es seleccionar Aceptar en la ventana del error. De esta forma lanzar la hoja de
propiedades del objeto que tiene el error. El nico campo de la hoja de propiedades que contiene un
valor es el de nombre. El resto estn en blanco (o contienen valores por omisin). Especifique los
atributos correctos del objeto y seleccione Aceptar para guardar los cambios.
v Se produce un error similar al intentar eliminar el objeto. Para solucionar este problema, complete la
hoja de propiedades vaca que aparece al pulsar Aceptar en el mensaje de error. De esta forma se
actualizan todos los enlaces con la base de datos de polticas VPN que se haban perdido. Ahora
puede eliminar el objeto.
Mensaje de error de VPN: EL PARMETRO PINBUF NO ES VLIDO

Sntoma:
Al intentar iniciar una conexin, aparece un mensaje parecido al siguiente:
Posible resolucin:
Esto se produce cuando su sistema est configurado para utilizar determinados entornos locales en los
que las letras minsculas no se correlacionan correctamente. Para reparar este error, puede asegurarse
de que todos los objetos utilicen slo letras maysculas o modificar el entorno local del sistema.
Mensaje de error de VPN: Elemento no encontrado, Servidor de claves remoto...

Sntoma:
Al seleccionar Propiedades de una conexin de claves dinmicas, aparece un mensaje como el
siguiente:
Red privada virtual
51
Posible resolucin:
Esto se produce al crear una conexin con un identificador de servidor de claves remoto determinado y, a
continuacin, el servidor de claves remoto se elimina de su grupo de claves dinmicas. Para solucionar
este error, pulse Aceptar en el mensaje de error. De esta forma, se abrir la hoja de propiedades de la
conexin de claves dinmicas que da error. A partir de aqu, puede volver a aadir el servidor de claves
remoto al grupo de claves dinmicas o seleccionar otro identificador de servidor de claves remoto. Pulse
Aceptar en la hoja de propiedades para guardar los cambios.
Mensaje de error de VPN: No ha sido posible actualizar el objeto

Sntoma:
Al seleccionar Aceptar en la hoja de propiedades de un grupo de claves dinmicas o conexin manual,
aparece el siguiente mensaje:
Posible resolucin:
Este error se produce si una conexin activa est utilizando un objeto ue est intentando modificar. No
puede realizar cambios a un objeto de una conexin activa. Para realizar cambios a un objeto, identifique
la conexin activa apropiada y, a continuacin, pulse el botn derecho del ratn y seleccione Detener en
el men de contexto que aparecer.
Mensaje de error de VPN: no ha sido posible cifrar la clave...

Sntoma:
Aparece el siguiente mensaje de error:
52
Posible resolucin:
QRETSVRSEC es un valor del sistema que indica si el sistema puede almacenar claves cifradas. Si este
valor se establece en 0, las claves precompartidas y las claves de los algoritmos de una conexin manual
no pueden almacenarse en la base de datos de polticas VPN. Para solventar este problema, utilice una
sesin de emulacin 5250 para su sistema. Escriba wrksysval en la lnea de mandatos y pulse Intro.
Busque QRETSVRSEC en la lista y escriba 2 (cambiar) al lado. En el siguiente panel, escriba 1 y pulse
Intro.
Mensaje de error de VPN: CPF9821

Sntoma:
Al intentar expandir el contenedor Polticas IP en Operations Navigator, aparece el mensaje CPF9821- No
autorizado para el programa QTFRPRS en la biblioteca QSYS.
Posible resolucin:
Puede que no disponga de la autorizacin necesaria para recuperar el estado actual de las Reglas de
paquetes o del gestor de conexiones VPN. Asegrese de disponer de autorizacin *IOSYSCFG. Ahora,
deber tener acceso a las funciones de Reglas de paquetes en Operations Navigator.
Error de VPN: Todas las claves estn en blanco

Sntoma:
Todas las claves precompartidas y las claves de algoritmo de las conexiones manuales estn en blanco.
Posible resolucin:
Esto se produce si el valor del sistema QRETSVRSEC se ha establecido nuevamente en 0. Al establecer
este valor en 0 se borran todas las claves de la base de datos de polticas VPN. Para solucionar este
problema, deber establecer el valor del sistema en 1 y, a continuacin, volver a especificar todas las
claves. Consulte Mensaje de error: No es posible cifrar las claves, para obtener ms informacin sobre
este tema.
Error de VPN: Al utilizar las reglas de paquetes aparece el inicio de sesin de un

sistema distinto
Sntoma:
La primera vez que utilice las reglas de paquete, aparecer una pantalla de inicio de sesin para un
sistema distinto del actual.
Posible resolucin:
Las reglas de paquetes utilizan unicode para almacenar las reglas de seguridad de paquetes en el
sistema de archivos integrado. El inicio de conexin adicional permite a Client Access Express obtener la
tabla de conversin adecuada para unicode. Esto deber ocurrir slo una vez.
Error de VPN: Estado de la conexin en blanco en la ventana de Operations

Navigator
Sntoma:
En la ventana de Operations Navigator, hay una conexin que no tiene ningn valor en la columna
Estado.
Red privada virtual
53
Posible resolucin:
El valor de estado en blanco indica que la conexin se encuentra en la fase de inicio. O sea, an no se
encuentra en funcionamiento, pero tampoco se ha producido ningn error. Al renovar una ventana, la
conexin deber visualizar un estado de Error, Habilitado, Por solicitud o Desocupado.
Error VPN: La conexin ha habilitado el estado despus de que lo haya detenido

Sntoma:
Despus de detener una conexin, la ventana de Operations Navigator indica que la conexin todava
est habilitada.
Posible resolucin:
Esto suele ocurrir cuando an no se ha renovado la ventana de Operations Navigator. Por lo tanto, la
ventana contiene informacin anticuada. Para arreglar esto, en el men Visualizar, seleccione Renovar .
Mensaje de error de VPN: 3DES no es una opcin para el cifrado

Sntoma:
Si trabaj con una transformacin de polticas IKE, una transformacin de polticas de datos o una
conexin manual, el algoritmo de cifrado 3DES no podr seleccionarse.
Posible resolucin:
Es muy probable que slo tenga instalado en su sistema Cryptographic Access Provider AC2 (5722-AC2)
y no Cryptographic Access Provider AC3 (5722-AC3). AC2 slo acepta el algoritmo de cifrado DES
(estndar de cifrado de datos) debido a las restricciones en la longitud de las claves.
Error VPN: Visualizacin de columnas inesperada en la ventana de Operations

Navigator
Sntoma:
Ha configurado las columnas que desea visualizar en la ventana de Operations Navigator para las
conexiones VPN; a continuacin, cuando vuelve a visualizarlas, aparecen columnas distintas.
Posible resolucin:
Al cambiar las columnas a visualizar, los cambios no son especficos para un usuario o PC determinado,
sino que ms bien, afectan a todo el sistema. Por lo tanto, si alguien ms cambia las columnas de la
ventana, los cambios afectarn a todos los que visualicen las conexiones en el sistema.
Error VPN: Se ha producido una anomala al desactivar las reglas de filtrado

activas
Sntoma:
Al intentar desactivar el actual conjunto de reglas de filtrado, aparece el mensaje Se ha producido una
anomala al intentar desactivar las reglas activas en la ventana de resultados.
Posible resolucin:
Habitualmente, este mensaje de error significa que existe al menos una conexin VPN activa. Deber
detener cada una de las conexiones que se encuentren en estado habilitado. Para ello, pulse cada una
de las conexiones activas con el botn derecho del ratn y seleccione Detener. Ahora deber poder
desactivar las reglas de filtrado.
Error de VPN: El grupo de conexin de claves de una conexin cambia

Sntoma:
Al crear una conexin de claves dinmicas, se especifica un grupo de claves dinmicas y un identificador
para el servidor de claves remoto. Ms adelante, al seleccionar Propiedades en el objeto de conexin
relacionado, la pgina General de esta hoja de propiedades visualiza el mismo identificador del servidor
de claves remoto, pero un grupo de claves dinmicas distinto.
Posible resolucin:
El identificador es la nica informacin almacenada en la base de datos de polticas VPN que hace
referencia al servidor de claves remoto de la conexin de claves dinmicas. Cuando OS/400 VPN busca
54
una poltica para un servidor de claves remoto, comprueba el primer grupo de claves dinmicas que
contiene ese identificador de servidor de claves remoto. Por lo tanto, al visualizar las propiedades de una
de estas conexiones, utiliza el mismo grupo de claves dinmicas que ha encontrado OS/400 VPN. Si no
desea asociar el grupo de claves dinmicas con este servidor de claves remoto, puede hacer algo de lo
siguiente:
1. Elimine el servidor de claves remoto del grupo de claves dinmicas.
2. Expanda Por grupos en el panel izquierdo de la interfaz VPN y seleccione y arrastre el grupo de
claves dinmicas deseado a la parte superior de la tabla en el panel derecho. Con esto, se asegura
de que OS/400 VPN comprobar en el servidor de claves remoto este grupo de claves dinmicas en
primer lugar.
Solucin de problemas de OS/400 VPN con el diario QIPFILTER

El diario QIPFILTER est ubicado en la biblioteca QUSRSYS y contiene informacin sobre los conjuntos
de reglas de filtrado, as como informacin acerca de si un datagrama IP ha sido autorizado o denegado.
Las anotaciones se basan en la opcin de registro por diario que especifique en sus reglas de filtrado.
Cmo habilitar el diario de filtro de paquetes IP
Utilice la interfaz de reglas de paquetes en Operations Navigator para activar el diario QIPFILTER. Debe
habilitar la funcin de anotaciones para cada regla de filtro individualmente. No hay ninguna funcin que
permita efectuar las anotaciones de todos los datagramas IP que entran o salen del sistema.
Nota: para habilitar el diario QIPFILTER, los filtros debern estar desactivados.
Los siguientes pasos describen cmo habilitar el registro por diario de una regla de filtro determinada:
3. Abra un archivo de reglas de filtrado existente.
4. Pulse dos veces la regla de filtro que desee registrar por diario.
Red privada virtual
55
5. En la pgina General, seleccione FULL en el campo Registro por diario, como en el dilogo que se
muestra arriba. De esta forma, se habilitar para esta regla de filtro determinada.
6. Pulse Aceptar.
7. Guarde y active el archivo de reglas de filtrado modificado.
Si un datagrama IP coincide con las definiciones de la regla de filtro, se crear una entrada en el diario
QIPFILTER.
Cmo utilizar el diario QIPFILTER
OS/400 crea automticamente el diario la primera vez que se activa el filtrado de paquetes IP. Para
visualizar los detalles especficos de la entrada en el diario, puede visualizar las entradas del diario en
pantalla o puede utilizar el archivo de salida.
56
Si copia las entradas del diario en el archivo de salida, puede visualizar fcilmente las entradas mediante
los programas de utilidades de consulta, como por ejemplo, Query/400 o SQL. Tambin puede escribir sus
propios programas HLL para procesar las entradas del archivo de salida.
El siguiente es un ejemplo del mandato Visualizar Diario (DSPJRN):
DSPJRN JRN(QIPFILTER) JRNCDE((M)) ENTTYP((TF)) OUTPUT(*OUTFILE)
OUTFILFMT(*TYPE4) OUTFILE(mylib/myfile) ENTDTALEN(*VARLEN *CALC)
Siga estos pasos para copiar las entradas del diario QIPFILTER en el archivo de salida:
1. Haga una copia en una biblioteca de usuario del archivo de salida QSYS/QATOFIPF suministrado por
el sistema mediante el mandato Crear Objeto Duplicado (CRTDUPOBJ). El siguiente es un ejemplo
del mandato CRTDUPOBJ:
CRTDUPOBJ OBJ(QATOFIPF) FROMLIB(QSYS) OBJTYPE(*FILE) TOLIB(mylib)
NEWOBJ(myfile)
2. Utilice el mandato Visualizar Diario (DSPJRN) para copiar las entradas desde el diario
QUSRSYS/QIPFILTER al archivo de salida que ha creado en el paso anterior.
Si copia el diario DSPJRN en un archivo de salida que no existe, el sistema crear el archivo, pero este
archivo no contendr las descripciones de campo adecuadas.
Nota: El diario QIPFILTER slo contiene entradas de autorizacin o denegacin para las reglas de filtrado
cuya opcin de registro por diario se haya establecido en FULL. Por ejemplo, si configura nicamente las
reglas de filtrado PERMIT, los datagramas IP que no se autoricen explcitamente se denegarn. No se
aadir ninguna entrada en el diario para los datagramas denegados. Para analizar el problema, puede
aadir una regla de filtro que deniegue explcitamente cualquier otro trfico y que realice un registro por
diario FULL. Entonces, obtendr entradas DENY en el diario para todos los datagramas IP que se
denieguen. Por razones de rendimiento, no se recomienda habilitar el registro por diario para todas las
reglas de filtrado. Una vez que los conjuntos de filtros se hayan comprobado, reduzca el registro por
diario a un subconjunto til de entradas.
Consulte Campos del diario QIPFILTER para obtener una tabla que describe el archivo de salida
QIPFILTER.
Campos de diario QIPFILTER

La siguiente tabla describe los campos del archivo de salida QIPFILTER:
Nombre del campo
Longitud del campo
Numrico
Descripcin
Comentarios
TFENTL
Longitud de la
entrada
TFSEQN
10
Nmero de secuencia
TFCODE
Cdigo del diario
Siempre M
TFENTT
Tipo de entrada
Siempre TF
TFTIME
26
Indicacin de la hora
SAA
TFJOB
10
Nombre del trabajo
TFUSER
10
Perfil del usuario
TFNBR
Nmero de trabajo
TFPGM
10
Nombre del programa
TFRES1
51
Reservado
TFUSPF
10
Usuario
TFSYMN
Nombre del sistema
Red privada virtual
57
TFRES2
20
Reservado
TFRESA
50
Reservado
TFLINE
10
Descripcin de lnea
*ALL si TFREVT es
U* , espacio en
blanco si TFREVT es
L*, nombre de lnea si
TFREVT es L
TFREVT
Evento de regla
L* o L si se cargan
las reglas. U* si no se
cargan las reglas, A
para accin de filtro
TFPDIR
Direccin de paquete
IP
O es saliente, I es
entrante
TFRNUM
Nmero de regla
Se aplica al nmero
de regla en el archivo
de reglas activas
TFACT
Accin de filtro
realizada
PERMIT, DENY o
IPSEC
TFPROT
Protocolo de
transporte
1 es ICMP
6 es TCP
17 es UDP
50 es ESP
51 es AH
TFSRCA
15
Direccin IP de origen
TFSRCP
Puerto origen
TFDSTA
15
Direccin IP de
destino
TFDSTP
Puerto destino
Datos innecesarios si
TFPROT= 1 (ICMP)
TFTEXT
76
Texto adicional
Contiene descripcin
si TFREVT= L* o U*
Datos innecesarios si
TFPROT= 1 (ICMP)
Solucin de problemas de OS/400 VPN con el diario QVPN

OS/400 VPN utiliza un diario separado para anotar la informacin acerca del trfico IP y las conexiones,
denominado diario QVPN. El diario QVPN se almacena en la biblioteca QUSRSYS. El cdigo del diario es
M y el tipo de diario es TS. Raramente utilizar las entradas del diario da por da. Sin embargo, pueden
serle tiles para solucionar problemas y verificar que su sistema, claves y conexiones funcionan de la
forma que ha especificado. Por ejemplo, las entradas de diario ayudan a comprender lo que ocurre con
los paquetes de datos. Tambin informan acerca del estado actual de la VPN.
Cmo habilitar el diario VPN
Utilice la opcin de red privada virtual de OS/400 Operations Navigator para activar el diario VPN. No hay
ninguna funcin que permita efectuar las anotaciones de todas las conexiones VPN. Por lo tanto, debe
habilitar la funcin de anotaciones para cada grupo de claves dinmicas o conexin manual de forma
individual.
58
Los siguientes pasos describen cmo habilitar la funcin de registro por diario para un grupo de claves
dinmicas o conexin manual determinados:
2. Para los grupos de claves dinmicas, expanda Por grupo y, a continuacin, pulse con el botn
derecho del ratn el grupo de claves dinmicas cuyo registro por diario desee habilitar y seleccione
Propiedades.
3. Para las conexiones manuales, expanda Todas las conexiones y, a continuacin pulse con el botn
derecho del ratn la conexin manual cuyo registro por diario desea habilitar.
4. En la pgina General, seleccione el nivel de registro por diario que necesita. Puede seleccionar entre
cuatro opciones. stas son las siguientes:
Ninguno
No se producir ningn registro por diario para este grupo de conexiones.
Todos
Se producir registro por diario para todas las actividades de conexin, como por ejemplo inicio y
detencin de una conexin o renovaciones de claves, as como informacin de trfico IP.
Actividad de conexin
Se producir el registro por diario para actividades de conexin, como por ejemplo, inicio o detencin
de una conexin.
Trfico IP
El registro por diario se produce para todo el trfico VPN que est asociado con esta conexin. Se
realiza una entrada en las anotaciones cada vez que se invoca una regla de filtro. El sistema registra
la informacin de trfico IP en el diario QIPFILTER, ubicado en la biblioteca QUSRSYS.
5. Pulse Aceptar.
6. Inicie la conexin para activar el registro por diario.
Nota: antes de detener el registro por diario, asegrese de que la conexin est inactiva. Para modificar
el estado del registro por diario de un grupo de conexiones, asegrese de que no hay ninguna conexin
activa asociada con este grupo determinado.
Cmo utilizar el diario VPN
Para visualizar los detalles especficos de la entrada en el diario VPN, puede visualizar las entradas del
diario en pantalla o puede utilizar un archivo de salida.
Si copia las entradas del diario en el archivo de salida, puede visualizar fcilmente las entradas mediante
los programas de utilidades de consulta, como por ejemplo, Query/400 o SQL. Tambin puede escribir sus
propios programas HLL para procesar las entradas del archivo de salida. El siguiente es un ejemplo del
mandato Visualizar Diario (DSPJRN):
DSPJRN JRN(QVPN) JRNCDE((M)) ENTTYP((TS)) OUTPUT(*OUTFILE) OUTFILFMT(*TYPE4)
OUTFILE(mylib/myfile) ENTDTALEN(*VARLEN *CALC)
Siga estos pasos para copiar las entradas del diario VPN en el archivo de salida:
1. Haga una copia del archivo de salida QSYS/QATOVSOF suministrado por el sistema en una biblioteca
de usuario. Puede llevarlo a cabo mediante el mandato Crear Objeto Duplicado (CRTDUPOBJ). El
siguiente es un ejemplo del mandato CRTDUPOBJ:
CRTDUPOBJ OBJ(QATOVSOF) FROMLIB(QSYS) OBJTYPE(*FILE) TOLIB(mylib)
NEWOBJ(myfile)
2. Utilice el mandato Visualizar Diario (DSPJRN) para copiar las entradas desde el diario
QUSRSYS/QVPN al archivo de salida que ha creado en el paso anterior. Si intenta copiar el diario
DSPJRN en un archivo de salida que no existe, el sistema crear el archivo, pero este archivo no
contendr las descripciones de campo adecuadas.
Red privada virtual
59
Consulte Campos del diario QVPN para obtener una tabla que describe los campos del archivo de salida
QVPN.
Campos de diario QVPN

La siguiente tabla describe los campos del archivo de salida VPN:
Nombre del
campo
Longitud del campo
Numrico Descripcin
TSENTL
Longitud de la entrada
TSSEQN
10
Nmero de secuencia
TSCODE
Cdigo del diario
Siempre M
TSENTT
Tipo de entrada
Siempre TS
TSTIME
26
indicacin de la hora de entrada SAA
TSJOB
10
Nombre del trabajo
TSUSER
10
Usuario del trabajo
TSNBR
Nmero de trabajo
TSPGM
10
Nombre del programa
TSRES1
51
No utilizado
TSUSPF
10
Nombre del perfil de usuario
TSSYNM
Nombre del sistema
TSRES2
20
No utilizado
TSRESA
50
No utilizado
TSESDL
Longitud de los datos especficos
TSCMPN
10
Componente VPN
TSCONM
40
Nombre de conexin
TSCOTY
10
Tipo de conexin
TSCOS
10
Estado de la conexin
TSCOSD
Fecha de inicio
TSCOST
Hora de inicio
TSCOED
Fecha de finalizacin
TSCOET
Hora de finalizacin
TSTRPR
10
Protocolo de transporte
TSLCAD
43
Direccin del cliente local
TSLCPR
11
Puertos locales
TSRCAD
43
Direccin del cliente remoto
TSCPR
11
Puertos remotos
TSLEP
43
Punto final local
TSREP
43
Punto final remoto
TSCORF
Nmero de renovaciones
TSRFDA
Fecha de la nueva renovacin
TSRFTI
Fecha de la nueva renovacin
TSRFLS
Renovar tiempo de vida
TSSAPH
Fase SA
TSAUTH
10
Tipo de autenticacin
60
Comentarios
TSENCR
10
Tipo de cifrado
TSDHGR
Grupo Diffie-Hellman
TSERRC
Cdigo de error
Solucin de problemas de las anotaciones de trabajo VPN de OS/400

VPN
Si encuentra problemas con las conexiones VPN, se recomienda siempre que analice las anotaciones de
trabajo. De hecho, hay varias anotaciones de trabajo que contienen mensajes de error y otra informacin
relacionada con un entorno VPN.
Es importante que analice las anotaciones de trabajo en ambos lados de la conexin si stos son
servidores iSeries 400. Si una conexin dinmica sufre una anomala al iniciarse, le ser til comprender
lo que sucede en el sistema remoto.
Los trabajos VPN, QTOVMAN y QTOKVPNIKE se ejecutan en el subsistema QSYSWRK. Puede
visualizar sus anotaciones de trabajo respectivas desde OS/400 Operations Navigator.
Esta seccin introduce los trabajos ms importantes de un entorno VPN. La siguiente lista muestra los
nombres de los trabajos con una breve explicacin de para qu se utiliza cada uno:
QTCPIP
Este trabajo es el trabajo base que inicia todas las interfaces TCP/IP. Si tiene problemas fundamentales con TCP/IP
en general, analice las anotaciones de trabajo de QTCPIP.
QTOKVPNIKE
El trabajo QTOKVPNIKE es el trabajo del gestor de claves VPN. El gestor de claves VPN est a la escucha en el
puerto 500 UDP para llevar a cabo el proceso del protocolo IKE (intercambio de claves de Internet).
QTOVMAN
Este trabajo es el gestor de conexiones de las conexiones VPN. Las anotaciones de trabajo relacionadas contienen
mensajes de cada intento de conexin que da error.
QTPPANSxxx
Este trabajo se utiliza para conexiones de marcacin PPP. Responde a intentos de conexin en los que *ANS est
definido en un perfil PPP.
QTPPPCTL
Este es un trabajo PPP para conexiones de acceso por marcacin.
QTPPPL2TP
Este es el trabajo del gestor de L2TP (Layer Two Tunneling Protocol). Si tiene problemas con la configuracin de un
tnel L2TP, compruebe los mensajes de estas anotaciones de trabajo.
Mensajes de error habituales del gestor de conexiones VPN

En esta seccin se describen algunos de los mensajes de error ms habituales del gestor de conexiones
VPN.
En general, el gestor de conexiones VPN anota dos mensajes en las anotaciones de trabajo QTOVMAN
cuando se produce un error con una conexin VPN. El primer mensaje ofrece detalles con relacin al
error. Puede visualizar la informacin sobre estos errores en Operations Navigator pulsando el error con el
botn derecho del ratn y seleccionando Informacin de error.
El segundo mensaje describe la accin que estaba intentando realizar en la conexin cuando se produjo
el error. Por ejemplo, iniciarla o detenerla. Los mensajes TCP8601, TCP8602, y TCP860A, que se
describen a continuacin, son ejemplos habituales de estos segundos mensajes.
Red privada virtual
61
Mensajes de error del gestor de conexiones VPN
Mensaje
TCP8601
No se ha podido iniciar la
conexin VPN [nombre de la
conexin]
TCP8602
Se ha producido un error al
detener la conexin VPN [nombre
de la conexin]
62
Causa
No se ha podido iniciar esta conexin
VPN debido a uno de los siguientes
cdigos de razn:
0 - Hay un mensaje anterior en las
anotaciones de trabajo con el mismo
nombre de conexin VPN que tiene
informacin ms detallada.
1 - Configuracin de la poltica VPN.
2 - Anomala de la red de
comunicaciones.
3 - El gestor de claves VPN ha sufrido
una anomala al negociar una nueva
asociacin de seguridad.
4 - El punto final remoto de esta
conexin no est configurado
correctamente.
5 - El gestor de claves VPN no pudo
responder al gestor de conexiones
VPN.
6 - Anomala al cargar la conexin VPN
del componente de seguridad IP.
7 - Anomala del componente PPP.
Recuperacin
1. Compruebe si hay ms mensajes en
las anotaciones de trabajo.
2. Corrija los errores y vuelva a
intentar la peticin.
3. Utilice Operations Navigator para
visualizar el estado de la conexin.
Las conexiones que no se han
podido iniciar estarn en en estado
de error.
Se ha solicitado detener la conexin

VPN especificada; sin embargo, no se
ha podido detener o se ha detenido con
error debido al cdigo de razn:
0 - Hay un mensaje anterior en las
anotaciones de trabajo con el mismo
visualizar el estado de la conexin.
nombre de conexin VPN que tiene
Las conexiones que no se han
informacin ms detallada.
podido iniciar estarn en en estado
1 - La conexin VPN no existe.
de error.
2 - Anomala interna de comunicaciones
con el gestor de claves VPN.
3 - Anomala interna de comunicaciones
con el componente IPSec.
4 - Anomala de comunicaciones con el
punto final remoto de conexin VPN.
TCP8604
Se ha producido una anomala al
iniciar la conexin VPN [nombre
de la conexin]
Se ha producido una anomala al iniciar 1. Compruebe si hay ms mensajes en

esta conexin VPN debido a uno de los
siguientes cdigos de razn:
1 - No se ha podido convertir el nombre
del sistema principal remoto en una
3.
Utilice Operations Navigator para
direccin IP.
comprobar
o corregir la
2 - No se ha podido convertir el nombre
configuracin de la poltica VPN.
del sistema principal local en una
Asegrese de que el grupo de
direccin IP.
claves dinmicas asociado con la
3 - No se ha cargado una regla de filtro
conexin tiene unos valores de
de polticas VPN asociada con esta
configuracin aceptables.
conexin VPN.
4 - Hay un valor de clave especificado
por el usuario que no es vlido para el
algoritmo asociado.
5 - El valor de iniciacin de la conexin
VPN no permite realizar la accin
especificada.
6 - Hay un rol del sistema de la
conexin VPN que es incoherente con
la informacin del grupo de conexin.
7 - Reservado.
8 - Los puntos finales de datos
(direcciones y servicios remotos y
locales) de esta conexin VPN son
incoherentes con la informacin del
grupo de conexin.
9 - Tipo de identificador no vlido.
TCP8605
El gestor de conexiones VPN no
ha podido comunicarse con el
gestor de claves VPN
El gestor de conexiones VPN necesita

los servicios del gestor de claves VPN
para poder establecer asociaciones de
seguridad para las conexiones VPN
dinmicas. El gestor de conexiones
VPN no ha podido comunicarse con el
gestor de claves VPN.

2. Verifique que la interfaz
*LOOPBACK est activa mediante
el mandato NETSTAT
OPTION(*IFC).
3. Finalice el servidor VPN mediante el
mandato ENDTCPSVR
SERVER(*VPN). A continuacin,
reinicie el servidor VPN mediante el
mandato STRTCPSRV
SERVER(*VPN).
Nota: esto hace que finalicen todas
las conexiones VPN actuales.
Red privada virtual
63
TCP8606
El gestor de claves VPN no ha
podido establecer la asociacin de
seguridad solicitada para la
conexin, [nombre de la conexin]
El gestor de claves VPN no ha podido

establecer la asociacin de seguridad
solicitada debido a uno de los
24 - Se ha producido una anomala al
3.
Utilice Operations Navigator para
autenticar la conexin de la clave del
comprobar
o corregir la
gestor de claves VPN.
configuracin de la poltica VPN.
8300 - Se ha producido una anomala
Asegrese de que el grupo de
durante las negociaciones de conexin
de la clave del gestor de claves VPN.
conexin tiene unos valores de
8306 - No se ha encontrado ninguna
configuracin aceptables.
clave precompartida local.
poltica de fase 1 IKE remota.
clave precompartida remota.
8327 - Se ha agotado el tiempo de
espera para las negociaciones de
conexin de la clave del gestor de
claves VPN.
8400 - Se ha producido una anomala
durante las negociaciones de conexin
VPN del gestor de claves VPN.
poltica de fase 2 IKE remota.
8408 - Se ha agotado el tiempo de
espera para las negociaciones de
conexin VPN del gestor de claves
VPN.
8500 o 8509 - Se ha producido un error
de red del gestor de claves VPN.
TCP8608
La conexin VPN [nombre de la
conexin] no ha podido obtener
una direccin NAT
Este grupo de claves dinmicas o

conexin de datos especifica que la
conversin de direcciones de red (NAT)
debe hacerse en una o varias
direcciones y que ha fallado
probablemente debido a uno de los
comprobar o corregir la poltica
VPN. Asegrese de que el grupo de
1 - La direccin a la que hay que
aplicar la NAT no es una nica direccin
conexin tiene unos valores
IP.
aceptables para las direcciones
2 - Se han utilizado todas las
configuradas.
direcciones disponibles.
TCP8620
No ha sido posible habilitar esta
El punto final de conexin local no conexin VPN porque el punto final de
est disponible
datos local no estaba disponible.
1. Compruebe si en las anotaciones de

trabajo hay ms mensajes
pertinentes a esta conexin.
2. Asegrese de que el punto final de
conexin local est definido e
iniciado mediante el mandato
NETSTAT OPTION(*IFC).
64
TCP8621
Punto final de datos local a hacer
disponible

conexin VPN porque el punto final de
datos local no estaba disponible.

2. Asegrese de que el punto final de
conexin local est definido e
iniciado mediante el mandato
NETSTAT OPTION(*IFC).
TCP8622
No se permite encapsular el
transporte con una pasarela

conexin VPN porque la poltica
negociada especificaba modalidad de
encapsulado del transporte y esta
pasarela est definida como pasarela
de seguridad.

modificar la poltica VPN asociada
con esta conexin VPN.
TCP8623
La conexin VPN se solapa con
otra conexin existente

conexin VPN porque ya se haba
habilitado otra conexin VPN existente.
Esta conexin tiene un punto final de
datos local de [valor del punto final de
datos local] y un punto final de datos
remoto de [valor del punto final de
datos remoto].

visualizar todas las conexiones
habilitadas que tienen puntos finales
de datos locales y puntos finales de
datos remotos que se solapan con
la conexin. Cambie la poltica de la
conexin existente si ambas
conexiones son necesarias.
TCP8624
La conexin VPN no est en el
mbito de la regla de filtro de
polticas asociada

conexin VPN porque los puntos finales
de datos no se encuentran dentro de la
regla de filtro de polticas definida.
visualizar las restricciones del punto
final de datos para esta conexin o
grupo de claves dinmicas. Si est
seleccionado Subconjunto de
filtros de polticas o Personalizar
para que coincida con filtro de
polticas, compruebe los puntos
finales de datos de la conexin.
stos deben ajustarse a la regla de
filtro activa que tiene una accin
IPSEC y un nombre de conexin
VPN asociados con esta conexin.
Cambie la poltica o la regla de
filtros de la conexin existente para
habilitar esta conexin.
Red privada virtual
65
TCP8625
La conexin VPN ha sufrido una
anomala al comprobar un
algoritmo ESP

conexin VPN porque la clave secreta
asociada con la conexin era
insuficiente.

visualizar la poltica asociada con
esta conexin y especifique una
clave secreta distinta.
TCP8626
El punto final de conexin VPN no
es el mismo que el punto final de
datos

conexin VPN porque la poltica
especifica que es un sistema principal y
el punto final de conexin VPN no es el
mismo que el punto final de datos.
visualizar las restricciones del punto
final de datos para esta conexin o
grupo de claves dinmicas. Si est
seleccionado Subconjunto de
filtros de polticas o Personalizar
para que coincida con filtro de
polticas, compruebe los puntos
finales de datos de la conexin.
stos deben ajustarse a la regla de
filtro activa que tiene una accin
IPSEC y un nombre de conexin
VPN asociados con esta conexin.
Cambie la poltica o la regla de
filtros de la conexin existente para
habilitar esta conexin.
TCP8628
Regla de filtro de polticas no
cargada
La regla de filtro de polticas de esta

conexin no est activa.

visualizar los filtros de polticas
activos. Compruebe la regla de filtro
de polticas de esta conexin.
TCP8629
Paquete IP descartado para la
conexin VPN
Esta conexin VPN tiene la NAT VPN

configurada y el conjunto de direcciones
NAT requeridas ha excedido las
direcciones NAT disponibles.
incrementar el nmero de
direcciones NAT asignadas a esta
conexin VPN.
66
TCP862A
Se ha producido una anomala al
iniciar la conexin PPP
Esta conexin VPN estaba asociada

con un perfil PPP. Al iniciarla, se intent
iniciar el perfil PPP, pero se produjo una
anomala.
2. Compruebe las anotaciones de
trabajo asociadas con la conexin
PPP.
Solucin de problemas de OS/400 VPN con el rastreo de

comunicaciones de OS/400
iSeries 400 ofrece la posibilidad de rastrear los datos de una lnea de comunicaciones, como por ejemplo
la interfaz LAN (red de rea local) o WAN (red de rea amplia). Puede que el usuario medio no entienda
todo el contenido de los datos de rastreo. Sin embargo, puede utilizar las entradas de rastreo para
determinar si se ha producido un intercambio de datos entre los sistemas local y remoto.
Inicio del rastreo de las comunicaciones
Utilice el mandato Iniciar rastreo de comunicaciones (STRCMNTRC) para iniciar el rastreo de las
comunicaciones en su sistema. El siguiente es un ejemplo del mandato STRCMNTRC:
STRCMNTRC CFGOBJ(TRNLINE) CFGTYPE(*LIN) MAXSTG(2048) TEXT('Problemas de VPN')
Los parmetros del mandato se explican en la siguiente lista:

CFGOBJ (Objeto de configuracin)
El nombre del objeto de configuracin a rastrear. El objeto puede ser una descripcin de lnea, una
descripcin de interfaz de red o una descripcin de servidor de red.
CFGTYPE(Tipo de configuracin)
Si se est rastreando una lnea (*LIN), una interfaz de red (*NWI) o un servidor de red (*NWS).
MAXSTG (Tamao del almacenamiento intermedio)
El tamao del almacenamiento intermedio del rastreo. El valor por omisin se establece en 128 KB.
El rango va de 128 KB a 64 MB. El tamao mximo real del almacenamiento intermedio en todo el
sistema est definido en las SST (Herramientas de servicio del sistema). Por lo tanto, puede recibir
un mensaje de error al utilizar en el mandato STRCMNTRC un tamao de almacenamiento
intermedio superior al definido en SST. Recuerde que la suma de los tamaos de almacenamiento
intermedio especificados en todos los rastreos de comunicaciones iniciados no debe exceder el
tamao mximo de almacenamiento intermedio definido en las SST.
DTADIR (Direccin de datos)
La direccin del trfico de datos a rastrear. La direccin puede ser trfico slo saliente (*SND),
trfico slo entrante (*RCV) o ambas direcciones (*BOTH).
TRCFULL (Rastreo completo)
Qu sucede cuando el almacenamiento intermedio del rastreo est lleno. Este parmetro tiene dos
valores posibles. El valor por omisin es *WRAP, que significa que cuando el almacenamiento
intermedio del rastreo est lleno, el rastreo vuelve al inicio. Los registros de rastreo ms antiguos se
sobreescriben con otros nuevos a medida que se recopilan.
El segundo valor *STOPTRC permite detener el rastreo cuando el almacenamiento del rastreo
especificado en el parmetro MAXSTG est lleno de registros de rastreo. Como norma general,
defina siempre el tamao del almacenamiento intermedio para que sea lo suficientemente grande
Red privada virtual
67
como para almacenar todos los registros de rastreo. Si el rastreo se reinicia, puede perder
informacin de rastreo importante. Si encuentra un problema altamente intermitente, defina el
almacenamiento intermedio de rastreo de forma que sea lo suficientemente grande como para que
un reinicio del almacenamiento intermedio no comporte una prdida de informacin importante.
USRDTA (Nmero de bytes de usuario a rastrear)
Define el nmero de datos a rastrear en la parte de datos de usuario de las tramas de datos. Por
omisin, para las interfaces LAN slo se capturan los primeros 100 bytes de los datos de usuario.
Para las dems interfaces se capturan todos los datos de usuario. Asegrese de especificar *MAX si
sospecha que puede haber problemas en los datos de usuario de una trama.
TEXTO (Descripcin de rastreo)
Ofrece una descripcin significativa del rastreo.
Detencin del rastreo de comunicaciones
Si no especifica lo contrario, el rastreo normalmente se detendr tan pronto como se produzca la

condicin para la cual est realizando el rastreo. Utilice el mandato Finalizar Rastreo de Comunicaciones
(ENDCMNTRC) para detener el rastreo. El siguiente es un ejemplo del mandato ENDCMNTRC:
ENDCMNTRC CFGOBJ(TRNLINE) CFGTYPE(*LIN)
El mandato tiene dos parmetros:

El nombre del objeto de configuracin para el cual se est ejecutando el rastreo. El objeto puede ser
una descripcin de lnea, una descripcin de interfaz de red o una descripcin de servidor de red.
Impresin de los datos de rastreo
Tras haber detenido el rastreo de comunicaciones, necesitar imprimir los datos de rastreo. Utilice el
mandato Imprimir Rastreo de Comunicaciones (PRTCMNTRC) para llevar a cabo la tarea. Puesto que
todo el trfico de lnea se captura durante el periodo de rastreo, dispone de mltiples opciones de filtro
para generar la salida. Intente mantener el archivo en spool lo ms pequeo posible. De esta forma, el
anlisis se llevar a cabo ms rpida y eficientemente. En el caso de que se produzca un problema VPN,
deber filtrar slo en el trfico IP y, si es posible, en una direccin IP determinada. Tambin tiene la
posibilidad de filtrar en un nmero de puerto IP especfico. El siguiente es un ejemplo del mandato
PRTCMNTRC:
PRTCMNTRC CFGOBJ(TRNLINE) CFGTYPE(*LIN) FMTTCP(*YES) TCPIPADR('10.50.21.1)
SLTPORT(500) FMTBCD(*NO)
En este ejemplo, el rastreo est formateado para el trfico IP y contiene slo datos para la direccin IP,
donde la direccin de origen o destino es 10.50.21.1 y el nmero de puerto IP de origen o destino es 500.
A continuacin, se explican los parmetros de mandato ms importantes para el anlisis de problemas de
VPN:
El nombre del objeto de configuracin para el cual se est ejecutando el rastreo. El objeto puede ser
una descripcin de lnea, una descripcin de interfaz de red o una descripcin de servidor de red.
68
FMTTCP (Formatear datos TCP/IP)

Si el rastreo se formatea para datos TCP/IP y UDP/IP. Especifique *YES para formatear el rastreo
para datos IP.
TCPIPADR (Formatear datos TCP/IP por direccin)
Este parmetro consta de dos elementos. Si especifica las direcciones IP en ambos elementos, slo
se imprimir el trfico IP entre estas direcciones.
SLTPORT (nmero de puerto IP)
El nmero de puerto IP a filtrar.
FMTBCD (Formatear datos de difusin general)
Si todas las tramas de difusin general se van a imprimir. El valor por omisin es s. Si, por ejemplo,
no desea realizar peticiones ARP (Protocolo de resolucin de direcciones), especifique *NO; en caso
contrario, puede obtener una ingente cantidad de mensajes de difusin general.
Otra informacin VPN

Para obtener otros escenarios y descripciones, consulte estas otras fuentes de informacin:
v Acceso remoto a AS/400 con clientes VPN de Windows 2000, REDP0036
Este libro rojo describe cmo implementar conexiones seguras para empleados que viajan y empleados
de oficinas virtuales que necesitan acceso a la oficina central. Los usuarios remotos acceden al sistema
AS/400 de la oficina central por medio de un PC con Windows 2000. La conexin se asegura con una
VPN (tnel L2TP protegido por IPSec).
v AS/400 Internet Security: Implementing AS/400 Virtual Private Networks, SG24-5404-00
Este libro rojo explora los conceptos VPN y describe su implementacin utilizando IPSec (IP Security) y
L2TP (Layer 2 Tunneling Protocol) en OS/400.
v AS/400 Internet Security Scenarios: A Practical Approach, SG24-5954-00
Este libro rojo explora todas las funciones de seguridad nativas disponibles en el sistema AS/400, como
pueden ser filtros IP, NAT, VPN, servidor proxy HTTP, SSL, DNS, retransmisin de correo, auditora y
anotaciones. Describe su utilizacin a travs de ejemplos prcticos.
v Configurar una VPN (red privada virtual) para gestionar de forma segura su AS/400 a travs de
Internet
En este tema de Technical Studio, configurar una red privada virtual (VPN) que utiliza un protocolo
IPSec (IP Security) y L2TP (Layer 2 Tunneling Protocol) para proteger y ocultar informacin delicada
contra los hackers y ladrones que merodean por Internet.
v Red privada virtual: asegurar las conexiones
Esta pgina Web pone de relieve las noticias VPN ms actuales, lista los ltimos PTF y contiene
enlaces a otros sitios de inters.
v Otros manuales y libros rojos relacionados con la seguridad
Dirjase aqu para obtener una lista de la informacin en lnea disponible relacionada con la seguridad.
Red privada virtual
69
70
IBM
Impreso en Espaa

Red Privada Virtual PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Red Privada Virtual PDF

Cargado por

Copyright:

Formatos disponibles

IBM

Red privada virtual

Red privada virtual

Copyright IBM Corp. 1998, 2001

iSeries: Red privada virtual

Red privada virtual

mejor a las necesidades especficas de su empresa y, a continuacin, utilizar el asesor de

iSeries: Red privada virtual

Imprimir este tema

Abra el archivo PDF con su navegador (pulse el enlace anterior).

Migrar desde un release anterior

Objetos de la base de datos VPN de V5R1

Red privada virtual

iSeries: Red privada virtual

Escenario VPN: conexin entre sucursales

, para obtener una descripcin detallada de varios mtodos para

Ventajas del escenario

Este escenario comporta las siguientes ventajas:

Red privada virtual

La siguiente ilustracin muestra las caractersticas de la red de MyCo.

Departamento de Recursos Humanos

iSeries: Red privada virtual

Configurar (Consulte 8) la VPN en la pasarela VPN de Recursos Humanos (iSeries-A).

7. Probar las comunicaciones entre ambas subredes remotas.

Conexin de sucursal: detalles de configuracin

Paso 2: completar las hojas de trabajo de planificacin

Red privada virtual

Su OS/400 es V5R1 (5722-SS1) o posterior?

Se encuentra instalada la opcin de Digital Certificate Manager (5722-SS1 Opcin

Est instalado Cryptographic Access Provider (5722-AC2 o AC3)?

Est instalado Client Access Express (5722-XE1)?

Est instalado OS/400 Operations Navigator?

Est instalado el subcomponente de red de Operations Navigator?

Est instalado TCP/IP Connectivity Utilities para OS/400 (5722-TC1)?

Ha establecido en 1 el valor del sistema de retener datos de seguridad del servidor

Se ha establecido la comunicacin normal TCP/IP entre los puntos finales?

Ha aplicado los ltimos arreglos temporales de programa (PTF)?

Si el tnel de la VPN atraviesa los cortafuegos o direccionadores que implementan el S

Necesita esta informacin para configurar la VPN

Qu tipo de conexin est creando?

Cmo se denominar el grupo de claves dinmicas?

Utiliza certificados para autenticar la conexin?

Cul es el identificador del servidor de claves local?

Direccin IP: 204.146.18.227

Cul es el identificador del punto final de datos local?

Cul es el identificador del servidor de claves remoto?

Cul es el identificador del punto final de datos remoto?

Qu puertos y protocolos desea permitir fluir a travs de la conexin?

A qu interfaces se aplica la conexin?

Paso 3: configurar la VPN en iSeries-A

iSeries: Red privada virtual

1. En Operations Navigator, expanda iSeries-A >Red >Polticas IP.

17. Seleccione Direccin IP de Versin 4 en el campo Tipo de identificador.

Pulse Siguiente para ir a la pgina Punto final de datos local.

Pulse Siguiente para ir a la pgina Punto final de datos remoto.

Red privada virtual

Paso 5: activar las reglas de paquete

Siga estos pasos para configurar la VPN HRgw2FINgw desde iSeries-A:

Tras haber finalizado la configuracin de ambos servidores y haber iniciado satisfactoriamente la

iSeries: Red privada virtual

Escenario VPN: conexin de empresa a empresa

Detalles del escenario

La siguiente ilustracin muestra las caractersticas de la red de MyCo y TheirCo: