En esta pgina

o
o
o
o

o
o

Resumen
Introduccin a las VPN
Componentes de una VPN
Cmo instalar y activar un servidor VPN
Cmo configurar el servidor VPN
Cmo configurar el servidor de acceso remoto como
enrutador
Cmo modificar el nmero de conexiones simultneas
Cmo administrar direcciones y servidores de nombres
Cmo administrar el acceso
Acceso mediante cuentas de usuario
Acceso mediante la pertenencia a grupos
Cmo configurar una conexin VPN desde un equipo cliente
Solucionar problemas
Solucionar problemas de VPN de acceso remoto
Propiedades
Propocionar comentarios

Resumen
En este artculo paso a paso se describe cmo instalar una red privada virtual (VPN)
y cmo crear una nueva conexin VPN en servidores que ejecutan Windows Server
2003.
Con una red privada virtual puede conectar componentes de red a travs de otra
red, por ejemplo Internet. Puede convertir un equipo basado en Windows Server
2003 en un servidor de acceso remoto de forma que otros usuarios puedan
conectarse a l mediante VPN y, a continuacin, puedan iniciar sesin en la red y
tener acceso a los recursos compartidos. Las VPN implementan "tneles" a travs
de Internet o de otra red pblica de manera que proporcionan la misma seguridad y
funcionalidad que una red privada. Los datos se envan a travs de la red pblica
utilizando su infraestructura de enrutamiento, pero para el usuario parece como si
los datos se enviaran a travs de un vnculo privado dedicado.

Introduccin a las VPN

Una red privada virtual es una forma de conectarse a una red privada (por ejemplo,
la red de su oficina) mediante una red pblica (como Internet). Una VPN combina las
ventajas de una conexin de acceso telefnico a un servidor con la facilidad y
flexibilidad de una conexin a Internet. Mediante la conexin a Internet, puede
viajar por todo el mundo y an as, en la mayora de los sitios, se podr conectar
con su oficina mediante una llamada local al nmero de telfono de acceso a
Internet ms prximo. Si dispone de una conexin a Internet de alta velocidad (por
ejemplo, por cable o DSL) en su equipo (y en su oficina), podr comunicarse con su
oficina a la velocidad mxima de Internet, lo cual resulta mucho ms rpido que
cualquier conexin de acceso telefnico que utilice un mdem analgico. Esta
tecnologa permite a una empresa conectar con sus sucursales o con otras
compaas a travs de una red pblica al tiempo que mantiene unas
comunicaciones seguras. La conexin VPN a travs de Internet funciona de manera
lgica como un vnculo dedicado de red de rea extensa (WAN).
Las redes privadas virtuales utilizan vnculos autenticados para asegurarse de que
slo los usuarios autorizados pueden conectarse a la red. Para asegurarse de que
los datos estn seguros mientras viajan a travs de la red pblica, una conexin
VPN utiliza el Protocolo de tnel punto a punto (PPTP) o el Protocolo de tnel de

capa 2 (L2TP) para cifrar los datos.

Componentes de una VPN

Una VPN en servidores que ejecutan Windows Server 2003 consiste en un servidor
VPN, un cliente VPN, una conexin VPN (la parte de la conexin en la que los datos
estn cifrados) y el tnel (la parte de la conexin en la que los datos estn
encapsulados). Los tneles se realizan a travs de uno de los protocolos de tnel
que se incluyen con los servidores que ejecutan Windows Server 2003, los cuales se
instalan con el servicio Enrutamiento y acceso remoto. El servicio Enrutamiento y
acceso remoto se instala automticamente durante la instalacin de Windows
Server 2003. Sin embargo, de forma predeterminada, el servicio Enrutamiento y
acceso remoto est desactivado.
Los dos protocolos de tnel que se incluyen con Windows son:
Protocolo de tnel punto a punto (PPTP): proporciona cifrado de
datos mediante el Cifrado punto a punto de Microsoft.
Protocolo de tnel de capa 2 (L2TP): proporciona cifrado de datos,
autenticacin e integridad mediante IPSec.
La conexin a Internet debe utilizar una lnea dedicada como T1, T1 fraccional o
Frame Relay. El adaptador WAN debe estar configurado con la direccin IP y la
mscara de subred asignadas al dominio o proporcionadas por un proveedor de
servicios Internet (ISP). El adaptador WAN tambin debe estar configurado como
puerta de enlace predeterminada del enrutador del ISP.
NOTA: para activar la VPN, debe haber iniciado sesin con una cuenta que tenga
derechos administrativos.

Cmo instalar y activar un servidor VPN

Para instalar y activar un servidor VPN, siga estos pasos:

1. Haga clic en Inicio, seleccione Herramientas administrativas y haga
clic en Enrutamiento y acceso remoto.
2. Haga clic en el icono de servidor correspondiente al nombre del servidor
local en el panel izquierdo de la consola. Si el icono tiene un crculo de
color rojo en la esquina inferior izquierda, el servicio Enrutamiento y
acceso remoto no est activado. Si el icono tiene una flecha de color
verde que seala hacia arriba en la esquina inferior izquierda, el servicio
Enrutamiento y acceso remoto est activado. Si el servicio
Enrutamiento y acceso remoto se activ previamente, quizs desee
volver a configurar el servidor. Para reconfigurar el servidor:
1. Haga clic con el botn secundario del mouse (ratn) en el objeto
servidor y, despus, haga clic en Deshabilitar el enrutamiento
y el acceso remoto. Haga clic en S para continuar cuando
aparezca un mensaje informativo.
2. Haga clic con el botn secundario del mouse en el icono del
servidor y, despus, haga clic en Configurar y habilitar
Enrutamiento y acceso remoto para iniciar el Asistente para
instalacin del servidor de enrutamiento y acceso remoto. Haga
clic en Siguiente para continuar.
3. Haga clic en Acceso remoto (acceso telefnico o red privada
virtual) para activar los equipos remotos de forma que puedan
marcar o conectarse a esta red a travs de Internet. Haga clic
en Siguiente para continuar.
b. Active VPN o Acceso telefnico, dependiendo de la funcin que vaya
a asignar a este servidor.
c. En la ventana Conexin VPN, haga clic en la interfaz de red conectada a
Internet y, despus, haga clic en Siguiente.

d. En la ventana Asignacin de direcciones IP, haga clic

en Automticamente si se va a utilizar un servidor DHCP para asignar
direcciones a clientes remotos o haga clic en De un intervalo de
direcciones especificado si los clientes remotos slo deben recibir
direcciones de un conjunto predefinido. En la mayora de los casos, la
opcin DHCP es ms fcil de administrar. Sin embargo, si DHCP no est
disponible, debe especificar un intervalo de direcciones estticas. Haga
clic en Siguiente para continuar.
e. Si hizo clic en De un intervalo de direcciones especificado, se
abrir el cuadro de dilogo Asignacin de intervalo de direcciones.
Haga clic en Nuevo. Escriba la primera direccin IP del intervalo de
direcciones que desee utilizar en el cuadro Direccin IP inicial. Escriba
la ltima direccin IP del intervalo en el cuadro Direccin IP final.
Windows calcula automticamente el nmero de direcciones. Haga clic
en Aceptar para volver a la ventana Asignacin de intervalo de
direcciones. Haga clic en Siguiente para continuar.
f. Acepte la opcin predeterminada No, usar Enrutamiento y acceso
remoto para autenticar las solicitudes de conexin y haga clic
en Siguiente para continuar. Haga clic en Finalizar para activar el
servicio Enrutamiento y acceso remoto, y para configurar el servidor
como servidor de acceso remoto.

Cmo configurar el servidor VPN

Para seguir configurando el servidor VPN como sea necesario, siga estos pasos.

Cmo configurar el servidor de acceso remoto como enrutador

Para que el servidor de acceso remoto reenve el trfico correctamente dentro de la
red, debe configurarlo como un enrutador con rutas estticas o con protocolos de
enrutamiento de forma que se pueda llegar a todas las ubicaciones de la intranet
desde l.
Para configurar el servidor como un enrutador:
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga
clic en Enrutamiento y acceso remoto.
2. Haga clic con el botn secundario del mouse en el nombre del servidor
y, a continuacin, haga clic en Propiedades.
3. Haga clic en la ficha General y, a continuacin,
active Enrutador bajo Habilitar este equipo como.
4. Haga clic en Enrutamiento LAN y de marcado a peticin y,
despus, haga clic en Aceptar para cerrar el cuadro de
dilogo Propiedades.

Cmo modificar el nmero de conexiones simultneas

El nmero de conexiones de mdem de acceso telefnico depende del nmero de
mdems que se instalan en el servidor. Por ejemplo, si slo hay un mdem instalado
en el servidor, slo se dispone de una conexin por mdem cada vez.
El nmero de conexiones VPN de acceso telefnico depende del nmero de usuarios
simultneos que desee permitir. De manera predeterminada, al ejecutar el
procedimiento descrito en este artculo se permiten 128 conexiones. Para cambiar
el nmero de conexiones simultneas, siga estos pasos:
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga
clic en Enrutamiento y acceso remoto.
2. Haga doble clic en el objeto de servidor, haga clic con el botn
secundario del mouse en Puertos y, despus, haga clic
en Propiedades.
3. En el cuadro de dilogo Propiedades de Puertos, haga clic
en Minipuerto WAN (PPTP) y, despus, haga clic enConfigurar.
4. En el cuadro Nmero mximo de puertos, escriba el nmero de
conexiones VPN que desea permitir.
5. Haga clic en Aceptar, haga clic de nuevo en Aceptar, y cierre
Enrutamiento y acceso remoto.

Cmo administrar direcciones y servidores de nombres

El servidor VPN debe tener disponibles las direcciones IP que asignar a la interfaz
del servidor virtual VPN y a los clientes VPN durante la fase de negociacin del
proceso de conexin del Protocolo de control de IP (IPCP). La direccin IP asignada al
cliente VPN se asigna a la interfaz virtual del mismo.
Para los servidores VPN basados en Windows Server 2003, las direcciones IP
asignadas a clientes VPN se obtienen de manera predeterminada mediante DHPC.
Asimismo, puede configurar un conjunto de direcciones IP estticas. El servidor VPN
tambin debe estar configurado con servidores de resolucin de nombres,
generalmente direcciones de servidores DNS y WINS, para asignar al cliente VPN
durante la negociacin de IPCP.

Cmo administrar el acceso

Configure las propiedades de acceso telefnico en las cuentas de usuario y en las

directivas de acceso remoto para administrar el acceso a las conexiones de acceso
telefnico y a las conexiones VPN.
NOTA: de manera predeterminada, se deniega a los usuarios el acceso telefnico a
redes.

Acceso mediante cuentas de usuario

Para conceder acceso telefnico a una cuenta de usuario si est administrando el
acceso remoto de cada uno de los usuarios, siga estos pasos:
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga
clic en Usuarios y equipos de Active Directory.
2. Haga clic con el botn secundario del mouse en la cuenta del usuario y,
a continuacin, haga clic en Propiedades.
3. Haga clic en la ficha Marcado.
4. Haga clic en Permitir acceso para conceder al usuario permiso de
marcado. Haga clic en Aceptar.

Acceso mediante la pertenencia a grupos

Si administra el acceso remoto basndose en grupos, siga estos pasos:
1. Cree un grupo que contenga los miembros a los que se les permite
crear conexiones VPN.
2. Haga clic en Inicio, seleccione Herramientas administrativas y haga
clic en Enrutamiento y acceso remoto.
3. En el rbol de consola, expanda Enrutamiento y acceso remoto,
expanda el nombre del servidor y haga clic enDirectivas de acceso
remoto.
4. Haga clic con el botn secundario del mouse en cualquier lugar del
panel de la derecha, seleccione Nuevo y haga clic en Directiva de
acceso remoto.
5. Haga clic en Siguiente, escriba el nombre de la directiva y haga clic
en Siguiente.
6. Haga clic en VPN para el mtodo de acceso a una red privada virtual o
en Marcado para el acceso telefnico y, despus, haga clic
en Siguiente.
7. Haga clic en Agregar, escriba el nombre del grupo que ha creado en el
paso 1 y haga clic en Siguiente.
8. Siga las instrucciones que aparecern en la pantalla para finalizar el
asistente.
Si el servidor VPN ya permite los servicios de acceso telefnico a redes remoto, no
elimine la directiva predeterminada. En lugar de ello, muvala de forma que sea la
ltima directiva en evaluarse.

Cmo configurar una conexin VPN desde un equipo

cliente
Para configurar una conexin con una VPN, siga estos pasos. Para configurar un
cliente para acceso a una red privada virtual, siga estos pasos en la estacin de
trabajo cliente:
NOTA: para poder seguir estos pasos, debe haber iniciado sesin como miembro
del grupo Administradores.
NOTA: como hay varias versiones de Microsoft Windows, los pasos siguientes
pueden ser diferentes en su equipo. Si es as, consulte la documentacin del
producto para completarlos.
1. En el equipo cliente, confirme que la conexin a Internet est
configurada correctamente.
2. Haga clic sucesivamente en Inicio, Panel de control y Conexiones
de red. En Tareas de red, haga clic en Crear una conexin nueva y,
a continuacin, haga clic en Siguiente.
3. Haga clic en Conectarse a la red de mi lugar de trabajo para crear
la conexin de acceso telefnico. Haga clic enSiguiente para continuar.
4. Haga clic en Conexin de red privada virtual y, despus, haga clic
en Siguiente.
5. Escriba un nombre descriptivo para esta conexin en el cuadro de
dilogo Nombre de la organizacin y haga clic enSiguiente.
6. Si el equipo est conectado a Internet de forma permanente, haga clic
en No usar la conexin inicial. Si el equipo se conecta a Internet a
travs de un proveedor de servicios Internet (ISP), haga clic en Usar
automticamente esta conexin inicial y, despus, haga clic en el
nombre de la conexin con el ISP. Haga clic en Siguiente.
7. Escriba la direccin IP o el nombre de host del equipo servidor VPN (por
ejemplo, ServidorVPN.DominioDeEjemplo.com).
8. Si desea permitir que cualquier usuario que inicie sesin en la estacin
de trabajo tenga acceso a esta conexin telefnica, haga clic en El uso
de cualquier persona. Si desea que la conexin slo est disponible
para el usuario que ha iniciado sesin actualmente, haga clic en Slo
para mi uso. Haga clic en Siguiente.
9. Haga clic en Finalizar para guardar la conexin.
10. Haga clic sucesivamente en Inicio, Panel de control y Conexiones
de red.
11. Haga doble clic en la nueva conexin.
12. Haga clic en Propiedades para seguir configurando opciones para la
conexin. Para seguir configurando opciones para la conexin, siga
estos pasos:
Si se va a conectar a un dominio, haga clic en la ficha Opciones y
active la casilla de verificacin Incluir el dominio de inicio de
sesin de Windows para especificar si se va a solicitar
informacin de dominio de inicio de sesin de Windows Server
2003 antes de intentar la conexin.
o Si desea que se vuelva a marcar en caso de que la conexin se
interrumpa, haga clic en la ficha Opciones y active la casilla de
verificacin Volver a marcar si se interrumpe la lnea.
Para utilizar la conexin, siga estos pasos:
1. Haga clic en Inicio, seleccione Conectar a y haga clic en la nueva
conexin.
o

2. Si actualmente no est conectado a Internet, Windows le ofrece la

posibilidad de conectarse.
3. Una vez realizada la conexin a Internet, el servidor VPN le pide su
nombre de usuario y su contrasea. Escriba su nombre de usuario y su
contrasea; a continuacin, haga clic en Conectar.
Sus recursos de red deben estar disponibles de la misma manera que
cuando se conecta directamente a la red.NOTA: para desconectarse de
la VPN, haga clic con el botn secundario del mouse en el icono de la
conexin y, a continuacin, haga clic en Desconectar.

Solucionar problemas
Solucionar problemas de VPN de acceso remoto
No se puede establecer una conexin VPN de acceso remoto
Causa: el nombre del equipo cliente es igual que el nombre de otro
equipo de la red.

Solucin: compruebe que todos los equipos de la red y los equipos que
se conectan a la red utilizan nombres de equipo nicos.
Causa: el servicio Enrutamiento y acceso remoto no se inici en el
servidor VPN.
Solucin: compruebe el estado del servicio Enrutamiento y acceso
remoto en el servidor VPN.

Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003

para obtener ms informacin acerca de cmo controlar el servicio
Enrutamiento y acceso remoto, y cmo iniciar y detener dicho servicio.
Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte
tcnico de Windows Server 2003.
Causa: el acceso remoto no est activado en el servidor VPN.
Solucin: active el acceso remoto en el servidor VPN.

Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003

para obtener ms informacin acerca de cmo activar el servidor de
acceso remoto. Haga clic en Inicio para obtener acceso al Centro de
ayuda y soporte tcnico de Windows Server 2003.
Causa: los puertos PPTP o L2TP no estn activados para las solicitudes
entrantes de acceso remoto.
Solucin: active los puertos PPTP, L2TP o ambos, para las solicitudes
entrantes de acceso remoto.

Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003

para obtener ms informacin acerca de cmo configurar los puertos
para acceso remoto. Haga clic en Inicio para obtener acceso al Centro
de ayuda y soporte tcnico de Windows Server 2003.
Causa: los protocolos LAN que utilizan los clientes VPN no estn
activados para el acceso remoto en el servidor VPN.
Solucin: active los protocolos LAN que utilizan los clientes VPN para el
acceso remoto en el servidor VPN.
Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003
para obtener ms informacin acerca de cmo ver las propiedades del

servidor de acceso remoto. Haga clic en Inicio para obtener acceso al

Centro de ayuda y soporte tcnico de Windows Server 2003.
Causa: todos los puertos PPTP o L2TP del servidor VPN ya estn siendo
utilizados por clientes de acceso remoto conectados o por enrutadores
de marcado a peticin.
Solucin: compruebe que todos los puertos PPTP o L2TP del servidor
VPN ya se estn utilizando. Para ello, haga clic enPuertos en
Enrutamiento y acceso remoto. Si el nmero de puertos PPTP o L2TP
permitidos no es suficientemente alto, cmbielo para permitir ms
conexiones simultneas.

Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003

para obtener ms informacin acerca de cmo agregar puertos PPTP o
L2TP. Haga clic en Inicio para obtener acceso al Centro de ayuda y
soporte tcnico de Windows Server 2003.
Causa: el servidor VPN no admite el protocolo de tnel del cliente VPN.
De manera predeterminada, los clientes VPN de acceso remoto de
Windows Server 2003 utilizan la opcin de tipo de
servidor Automtico, lo que significa que intentarn establecer
primero una conexin VPN basada en L2TP sobre IPSec y, a
continuacin, intentarn una conexin VPN basada en PPTP. Si los
clientes VPN utilizan la opcin de tipo de servidorProtocolo de tnel
punto a punto (PPTP) o Protocolo de tnel de capa 2 (L2TP),
compruebe que el servidor VPN admite el protocolo de tnel
seleccionado.
De manera predeterminada, un equipo que ejecute Windows Server
2003 y el servicio Enrutamiento y acceso remoto es un servidor PPTP y
L2TP con cinco puertos L2TP y cinco puertos PPTP. Para crear un
servidor que sea slo PPTP, establezca el nmero de puertos L2TP en
cero. Para crear un servidor que sea slo L2TP, establezca el nmero de
puertos PPTP en cero.
Solucin: compruebe que se ha configurado el nmero apropiado de
puertos PPTP o L2TP.

Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003

para obtener ms informacin acerca de cmo agregar puertos PPTP o
L2TP. Haga clic en Inicio para obtener acceso al Centro de ayuda y
soporte tcnico de Windows Server 2003.
Causa: el cliente VPN y el servidor VPN junto con una directiva de
acceso remoto no estn configurados para utilizar al menos un mtodo
de autenticacin comn.
Solucin: configure el cliente VPN y el servidor VPN junto con una
directiva de acceso remoto para utilizar al menos un mtodo de
autenticacin comn.

Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003

para obtener ms informacin acerca de cmo configurar la
autenticacin. Haga clic en Inicio para obtener acceso al Centro de
ayuda y soporte tcnico de Windows Server 2003.
Causa: el cliente VPN y el servidor VPN junto con una directiva de
acceso remoto no estn configurados para utilizar al menos un mtodo
de cifrado comn.
Solucin: configure el cliente VPN y el servidor VPN junto con una

directiva de acceso remoto para utilizar al menos un mtodo de cifrado

comn.

Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003

para obtener ms informacin acerca de cmo configurar el cifrado.
Haga clic en Inicio para obtener acceso al Centro de ayuda y soporte
tcnico de Windows Server 2003.
Causa: la conexin VPN no tiene los permisos apropiados mediante las
propiedades de acceso telefnico de la cuenta de usuario y las
directivas de acceso remoto.
Solucin: compruebe que la conexin VPN tiene los permisos
apropiados a travs de las propiedades de acceso telefnico de la
cuenta de usuario y las directivas de acceso remoto. Para que se
establezca la conexin, la configuracin del intento de conexin debe:
o Cumplir todas las condiciones de al menos una directiva de
acceso remoto.
o Obtener el permiso de acceso remoto a travs de la cuenta de
usuario (establecido como Permitir acceso) o a travs de la
cuenta de usuario (establecido como Controlar acceso a travs
de la directiva de acceso remoto) y el permiso de acceso
remoto de la directiva de acceso remoto coincidente (establecido
como Conceder permiso de acceso remoto).
o Coincidir con todas las opciones de configuracin del perfil.
o Coincidir con la configuracin de las propiedades de acceso
telefnico de la cuenta de usuario.
Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003
para obtener una introduccin a las directivas de acceso remoto y ms
informacin acerca de cmo aceptar un intento de conexin. Haga clic
en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de
Windows Server 2003.
Causa: la configuracin del perfil de la directiva de acceso remoto entra
en conflicto con las propiedades del servidor VPN.
Las propiedades del perfil de la directiva de acceso remoto y las
propiedades del servidor VNP contienen opciones de configuracin para:
o Multivnculo.
o Protocolo de asignacin de ancho de banda (BAP).
o Protocolos de autenticacin.
Si la configuracin del perfil de la directiva de acceso remoto
coincidente entra en conflicto con la configuracin del servidor VPN, se
rechaza el intento de conexin. Por ejemplo, si el perfil de directiva de
acceso remoto coincidente especifica que debe utilizarse el Protocolo de
autenticacin extensible Seguridad de nivel de transporte (EAP-TLS,
Extensible Authentication Protocol - Transport Level Security) y EAP no
est habilitado en el servidor VPN, se rechaza el intento de conexin.
Solucin: compruebe que la configuracin del perfil de la directiva de
acceso remoto no entra en conflicto con las propiedades del servidor
VPN.

Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003

para obtener ms informacin acerca del multivnculo, BAP y los
protocolos de autenticacin. Haga clic en Inicio para obtener acceso al
Centro de ayuda y soporte tcnico de Windows Server 2003.
Causa: el enrutador de respuesta no puede validar las credenciales del
enrutador de llamada (nombre de usuario, contrasea y nombre de
dominio).

Solucin: compruebe que las credenciales del cliente VPN (nombre de

usuario, contrasea y nombre de dominio) son correctas y pueden ser
validadas por el servidor VPN.
Causa: no hay suficientes direcciones en el conjunto de direcciones IP
estticas.
Solucin: si el servidor VPN est configurado con un conjunto de
direcciones IP estticas, compruebe que hay suficientes direcciones en
el conjunto. Si todas las direcciones del conjunto esttico se han
asignado a clientes VPN conectados, el servidor VPN no puede asignar
una direccin IP y el intento de conexin se rechaza. Si se han asignado
todas las direcciones del conjunto esttico, modifique el conjunto.
Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003
para obtener ms informacin acerca de TCP/IP y el acceso remoto, y
acerca de cmo crear un conjunto de direcciones IP estticas. Haga clic
en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de
Windows Server 2003.
Causa: el cliente VPN est configurado para solicitar su propio nmero
de nodo IPX y el servidor VPN no est configurado para permitir que los
clientes IPX soliciten su propio nmero de nodo IPX.
Solucin: configure el servidor VPN para permitir que los clientes IPX
soliciten su propio nmero de nodo IPX.

Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003

para obtener ms informacin acerca de IPX y el acceso remoto. Haga
clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico
de Windows Server 2003.
Causa: el servidor VPN est configurado con un intervalo de nmeros
de red IPX que se estn utilizando en otro lugar de la red IPX.
Solucin: configure el servidor VPN con un intervalo de nmeros de red
IPX que sea nico en la red IPX.

Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003

para obtener ms informacin acerca de IPX y el acceso remoto. Haga
clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico
de Windows Server 2003.
Causa: el proveedor de autenticacin del servidor VNP no est
configurado correctamente.
Solucin: compruebe la configuracin del proveedor de autenticacin.
Puede configurar el servidor VPN para utilizar Windows Server 2003 o el
Servicio de usuario de acceso telefnico de autenticacin remota
(RADIUS) para autenticar las credenciales del cliente VPN.

Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003

para obtener ms informacin acerca de los proveedores de
autenticacin y de cuentas, y acerca de cmo utilizar la autenticacin
RADIUS. Haga clic en Inicio para obtener acceso al Centro de ayuda y
soporte tcnico de Windows Server 2003.
Causa: el servidor VPN no puede tener acceso a Active Directory.
Solucin: en el caso de un servidor VPN que sea servidor miembro de
un dominio de Windows Server 2003 en modo mixto o en modo nativo
que est configurado para la autenticacin de Windows Server 2003,
compruebe lo siguiente:

o
o
o

Existe el grupo de seguridad Servidores RAS e IAS. Si no existe,

cree el grupo y establezca su tipo como Seguridad y su mbito
como Dominio local.
El grupo de seguridad Servidores RAS e IAS tiene permiso de
lectura para el objeto Comprobacin de acceso a servidores
RAS e IAS.
La cuenta del equipo servidor VPN es miembro del grupo de
seguridad Servidores RAS e IAS. Puede usar el comando netsh
ras show registeredserver para ver el registro actual. Utilice el
comando netsh ras add registeredserver para registrar el
servidor en un dominio especfico.

Si agrega el equipo servidor VPN al grupo de

seguridad Servidores RAS e IAS o lo quita, el cambio no surtir
efecto inmediatamente (debido a la manera en la que Windows
Server 2003 almacena en cach la informacin de Active
Directory). Para que el cambio surta efecto inmediatamente,
reinicie el equipo servidor VPN.
o El servidor VPN es miembro del dominio.
Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003
para obtener ms informacin acerca de cmo agregar un grupo, cmo
comprobar los permisos para el grupo de seguridad RAS e IAS y acerca
de los comandosnetsh para acceso remoto. Haga clic en Inicio para
obtener acceso al Centro de ayuda y soporte tcnico de Windows Server
2003.
Causa: un servidor VPN basado en Windows NT 4.0 no puede validar las
solicitudes de conexin.
Solucin: si los clientes VPN llaman a un servidor VPN con Windows NT
4.0 que es miembro de un dominio en modo mixto de Windows Server
2003, compruebe que el grupo Todos se ha agregado al grupo Acceso
compatible con versiones anteriores de Windows 2000 mediante el
comando siguiente:
"net localgroup "Acceso compatible con versiones anteriores de
Windows 2000""
Si no se ha agregado, escriba el comando siguiente en el smbolo del
sistema de un equipo controlador de dominio y reinicie el equipo
controlador de dominio:
net localgroup "Acceso compatible con versiones anteriores de
Windows 2000" everyone /add
Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003
para obtener ms informacin acerca del servidor de acceso remoto de
Windows NT 4.0 en un dominio de Windows Server 2003. Haga clic
en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de
Windows Server 2003.
Causa: el servidor VPN no puede comunicar con el servidor RADIUS
configurado.
Solucin: si slo puede llegar al servidor RADIUS a travs de la interfaz
de Internet, siga uno de estos procedimientos:
o Agregue un filtro de entrada y un filtro de salida a la interfaz de
Internet para el puerto UDP 1812 (basado en RFC 2138, "Servicio
de usuario de acceso telefnico de autenticacin remota
(RADIUS)"). O bien
o Agregue un filtro de entrada y un filtro de salida a la interfaz de
Internet para el puerto UDP 1645 (en el caso de servidores
RADIUS antiguos), para autenticacin RADIUS y el puerto UDP
1813 (basado en RFC 2139, "Administracin de cuentas RADIUS").
O bien

Agregue un filtro de entrada y un filtro de salida a la interfaz de

Internet para el puerto UDP 1646 (en el caso de servidores
RADIUS antiguos) para la administracin de cuentas RADIUS.
Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003
para obtener ms informacin acerca de cmo agregar un filtro de
paquetes. Haga clic en Inicio para obtener acceso al Centro de ayuda y
soporte tcnico de Windows Server 2003.
Causa: no se puede conectar con el servidor VPN a travs de Internet
mediante la utilidad Ping.exe.
o

Solucin: debido al filtrado de paquetes de PPTP y L2TP sobre IPSec

configurado en la interfaz de Internet del servidor VPN, se filtran los
paquetes del Protocolo de mensajes de control de Internet (ICMP)
utilizados por el comando ping. Para activar el servidor VPN de forma
que responda a los paquetes ICMP (ping), agregue un filtro de entrada y
un filtro de salida que permitan el trfico para el protocolo IP 1 (trfico
ICMP).
Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003
para obtener ms informacin acerca de cmo agregar un filtro de
paquetes. Haga clic en Inicio para obtener acceso al Centro de ayuda y
soporte tcnico de Windows Server 2003.
No se puede enviar o recibir datos
Causa: no se ha agregado la interfaz de marcado a peticin apropiada
al protocolo que se est enrutando.
Solucin: agregue la interfaz de marcado a peticin apropiada al
protocolo que se est enrutando.

Consulte el Centro de ayuda y soporte tcnico de Windows Server 2003

para obtener ms informacin acerca de cmo agregar una interfaz de
enrutamiento. Haga clic en Inicio para obtener acceso al Centro de
ayuda y soporte tcnico de Windows Server 2003.
Causa: no existen rutas en ninguno de los dos lados de la conexin VPN
de enrutador a enrutador que permitan el intercambio de trfico en los
dos sentidos.
Solucin: a diferencia de las conexiones VPN de acceso remoto, una
conexin VPN de enrutador a enrutador no crea automticamente una
ruta predeterminada. Debe crear rutas en ambos lados de la conexin
VPN de enrutador a enrutador para que se pueda enrutar el trfico
hacia y desde el otro lado de la conexin VPN de enrutador a enrutador.

Puede agregar rutas estticas a la tabla de enrutamiento manualmente

o puede agregarlas mediante protocolos de enrutamiento. Para
conexiones VPN persistentes, puede activar Abrir primero la ruta de
acceso ms corta (OSPF, Open Shortest Path First o el Protocolo de
informacin de enrutamiento (RIP, Routing Information Protocol) en la
conexin VPN. En el caso de las conexiones VPN a peticin, puede
actualizar las rutas automticamente mediante una actualizacin RIP
autoesttica. Vea la Ayuda en pantalla de Windows Server 2003 para
obtener ms informacin acerca de cmo agregar un protocolo de
enrutamiento IP, cmo agregar una ruta esttica y cmo realizar
actualizaciones autoestticas. Haga clic en Inicio para obtener acceso
al Centro de ayuda y soporte tcnico de Windows Server 2003.
Causa: el enrutador que responde, que se ha iniciado en dos sentidos
como conexin de acceso remoto, est interpretando una conexin VPN
de enrutador a enrutador.

Solucin: si el nombre de usuario de las credenciales del enrutador que

llama aparece bajo Clientes de marcado en Enrutamiento y acceso
remoto, el enrutador que responde puede interpretar que el enrutador
que llama es un cliente de acceso remoto. Compruebe que el nombre
de usuario de las credenciales del enrutador que llama coincide con el
nombre de una interfaz de marcado a peticin del enrutador que
responde. Si el elemento que realiza la llamada entrante es un
enrutador, el puerto en el que se recibi la llamada muestra el
estado Activo y la interfaz de marcado a peticin correspondiente tiene
el estado Conectado.

Vea la Ayuda en pantalla de Windows Server 2003 para obtener ms

informacin acerca de cmo comprobar el estado del puerto en el
enrutador que responde y de la interfaz de marcado a peticin. Haga
clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico
de Windows Server 2003.
Causa: los filtros de paquetes de las interfaces de marcado a peticin
del enrutador que llama y del que responde impiden el flujo de trfico.
Solucin: compruebe que en las interfaces de marcado a peticin del
enrutador que llama y del que responde no hay filtros de paquetes que
impidan enviar o recibir trfico. Puede configurar cada interfaz de
marcado a peticin con filtros de entrada y de salida IP e IPX para
controlar la naturaleza exacta del trfico TCP/IP e IPX al que se permite
entrar y salir de la interfaz de marcado a peticin.

Vea la Ayuda en pantalla de Windows Server 2003 para obtener ms

informacin acerca de cmo administrar los filtros de paquetes. Haga
clic en Inicio para obtener acceso al Centro de ayuda y soporte tcnico
de Windows Server 2003.
Causa: los filtros de paquetes del perfil de la directiva de acceso
remoto impiden el flujo del trfico IP.
Solucin: compruebe que no hay filtros de paquetes TCP/IP
configurados en las propiedades del perfil de las directivas de acceso
remoto en el servidor VPN (o el servidor RADIUS si se usa el Servicio de
autenticacin Internet) que impidan el envo o la recepcin del trafico
TCP/IP. Puede utilizar directivas de acceso remoto para configurar filtros
de paquetes TCP/IP de entrada y salida que controlen la naturaleza
exacta del trfico TCPIP permitido en la conexin VPN. Compruebe que
los filtros de paquetes TCP/IP del perfil no impiden el flujo de trfico.
Vea la Ayuda en pantalla de Windows Server 2003 para obtener ms
informacin acerca de cmo configurar las opciones IP. Haga clic
en Inicio para obtener acceso al Centro de ayuda y soporte tcnico de
Windows Server 2003.