Cuando funcionan, las VPNs son excelentes. Cuando no lo hacen, puedes volverte loco tratando de averiguar qué es lo que está mal. Aquí están cuatro de las áreas más problemáticas con conexiones VPN y cómo puede solucionarlas.
Compruebe esta configuración en Windows Server para corregir errores de VPNSi la VPN de su empresa no funciona, hay un par de pasos sencillos que debe seguir antes de preocuparse por un problema grave.
Nota del editor: En el vídeo, Brandon Vigliarolo utiliza Microsoft Windows Server 2019y algunos de los pasos y menús son diferentes del siguiente tutorial de Brien Posey. Este consejo se publicó por primera vez en mayo de 2003.
Las VPNs han pasado de la oscuridad a ser un método común para enlazar redes privadas a través de Internet. Aunque las VPN se popularizaron inicialmente porque liberan a las empresas de los gastos de conexión de redes con líneas dedicadas arrendadas, parte de la razón por la que las VPN han llegado a ser tan aceptadas es que tienden a ser muy fiables. Aún así, las conexiones VPN ocasionalmente experimentan problemas. A continuación se presentan varias técnicas que puede utilizar para solucionar problemas de conexiones VPN.
VER: Los mejores servicios VPN para 2019 (CNET)
¿Cuál es el problema?
Hay cuatro tipos de problemas que tienden a ocurrir con las conexiones VPN. Estos incluyen
- La conexión VPN está siendo rechazada.
- La aceptación de una conexión no autorizada.
- La incapacidad de llegar a lugares que se encuentran más allá del servidor VPN.
- La incapacidad de establecer un túnel.
1: La conexión VPN es rechazada.
El rechazo de la conexión de un cliente VPN es quizás el problema más común de las VPN. Parte de la razón por la que este problema es tan común es que hay muchos problemas que pueden causar que una conexión sea rechazada. Si su servidor VPN está rechazando conexiones de clientes, lo primero que debe hacer es comprobar que el servicio de enrutamiento y acceso remoto está funcionando. Para comprobarlo, abra el Panel de control del servidor y haga clic en el icono Herramientas administrativas, seguido del icono Servicios.
Una vez que haya verificado que los servicios necesarios se están ejecutando, intente hacer ping al servidor VPN por la dirección IP del cliente VPN. Inicialmente debe hacer ping por dirección IP para que pueda verificar que existe una conectividad TCP/IP básica. Si el ping tiene éxito, entonces haga ping al servidor de nuevo, pero esta vez ping por el nombre de dominio completo del servidor (FQDN) en lugar de por su dirección. Si este ping falla donde el ping de dirección IP tuvo éxito, usted tiene un problema de DNS, porque el cliente no puede resolver el nombre del servidor a una dirección IP.
Comprobación del proceso de autenticación
Una vez que haya establecido que existe una conexión TCP/IP válida entre el cliente VPN y el servidor, y que la resolución de nombres está funcionando correctamente, lo siguiente que debe comprobar es el proceso de autenticación. Como ya sabrá, existen muchos métodos de autenticación diferentes disponibles para una conexión VPN. Tanto el cliente VPN como el servidor VPN deben tener al menos un método de autenticación en común.
Más información sobre redes
Puede comprobar los métodos de autenticación que el servidor VPN está configurado para utilizar introduciendo el comando MMC en el indicador de ejecución. Cuando lo haga, Windows abrirá una sesión vacía de Microsoft Management Console. Ahora, seleccione el comando Agregar / Quitar Ajustar en el menú Consola. Cuando vea la hoja de propiedades Añadir / Eliminar Ajustar, haga clic en el botón Añadir de la ficha Independiente. Esto revelará una lista de los snap-ins disponibles. Seleccione Enrutamiento y acceso remoto en la lista y haga clic en el botón Agregar, seguido de los botones Cerrar y Aceptar.
Ahora, el complemento de Enrutamiento y Acceso Remoto debe ser añadido a la consola. Haga clic con el botón derecho en la lista de su servidor VPN y seleccione el comando Propiedades en el menú contextual resultante. Esto mostrará la hoja de propiedades del servidor. Seleccione la ficha Seguridad y haga clic en el botón Métodos de autenticación. Esto hará que Windows muestre un cuadro de diálogo con todos los métodos de autenticación disponibles. Puede activar o desactivar los métodos de autenticación marcando o desactivando las casillas de verificación correspondientes.
El método para comprobar el método de autenticación en el extremo del cliente varía dependiendo del sistema operativo del cliente. Para un sistema Windows XP, haga clic con el botón derecho del ratón en la conexión VPN y seleccione el comando Propiedades en el menú contextual resultante. Esto revelará la hoja de propiedades de la conexión. Ahora, seleccione la ficha Seguridad de la hoja de propiedades, seleccione el botón de opción Avanzado y haga clic en el botón Configuración para revelar los métodos de autenticación disponibles.
Normalmente prefiero utilizar la autenticación de Windows en entornos VPN, pero RADIUS también es una opción popular. Si está utilizando la autenticación RADIUS, debe verificar que el cliente es compatible con RADIUS y que el servidor VPN no tiene problemas para comunicarse con el servidor RADIUS.
VER: Comprender las VPNs y cómo elegir una (CNET)
Más cosas para comprobar
Si los métodos de autenticación parecen estar configurados correctamente, el siguiente paso es comprobar la técnica mediante la cual el cliente intenta conectarse al servidor VPN. Si el cliente está llamando al servidor, en lugar de conectarse a través de Internet, puede ser que el usuario remoto no tenga privilegios de acceso telefónico. Puede comprobar los privilegios en la pestaña Marcar en la hoja de propiedades del usuario en Usuarios y equipos de Active Directory o en la política de acceso remoto del dominio. También sería un buen momento para verificar que el usuario sabe realmente cómo establecer la conexión VPN y que está utilizando el nombre de usuario y la contraseña correctos.
Esto puede parecer obvio, pero si su dominio se ejecuta en modo nativo de Windows 2000, su servidor VPN debe ser miembro del dominio. Si el servidor VPN no se ha unido al dominio, no podrá autenticar los inicios de sesión.
También debe echar un vistazo a las direcciones IP. Cada conexión VPN basada en Web utiliza en realidad dos direcciones IP diferentes para el ordenador cliente VPN. La primera dirección IP es la asignada por el ISP del cliente. Es la dirección IP que se utiliza para establecer la conexión TCP/IP inicial con el servidor VPN a través de Internet. Sin embargo, una vez que el cliente se conecta al servidor VPN, el servidor VPN le asigna una dirección IP secundaria. Esta dirección IP tiene la misma subred que la red local y por lo tanto permite al cliente comunicarse con la red local.
En el momento de configurar el servidor VPN, debe especificar que el servidor utilizará un servidor DHCP para asignar direcciones a clientes, o puede crear un banco de direcciones IP para asignarlas a clientes directamente desde el servidor VPN. En cualquier caso, si el servidor se queda sin direcciones IP válidas, no podrá asignar una dirección al cliente y la conexión será rechazada.
Para los entornos en los que se utiliza un servidor DHCP, uno de los errores de configuración más comunes es la especificación de una tarjeta de red incorrecta. Si hace clic con el botón derecho en el servidor VPN en la consola de enrutamiento y acceso remoto y selecciona el comando Propiedades en el menú contextual resultante, verá la hoja de propiedades del servidor. La ficha IP de la hoja de propiedades contiene botones de opción que le permiten seleccionar si se utilizará un grupo de direcciones estático o un servidor DHCP. Si selecciona la opción Servidor DHCP, debe seleccionar el adaptador de red apropiado de la lista desplegable en la parte inferior de la pestaña. Debe seleccionar un adaptador de red que tenga una ruta TCP/IP al servidor DHCP.
2: La aceptación de conexiones no autorizadas.
Ahora que he discutido las razones por las que una conexión puede ser rechazada, echemos un vistazo al problema opuesto en el que se aceptan las conexiones no autorizadas. Este problema es mucho menos común que no conectarse en absoluto, pero es mucho más grave debido a los posibles problemas de seguridad.
Si observa la hoja de propiedades de un usuario en la consola Usuarios y equipos de Active Directory, notará que la pestaña Marcar entrada contiene una opción para controlar el acceso a través de la política de acceso remoto. Si se selecciona esta opción y se establece la política de acceso remoto efectiva para permitir el acceso remoto, el usuario podrá conectarse a la VPN. Aunque no he podido recrear la situación personalmente, he oído rumores de que existe un error en Windows 2000 que hace que la conexión sea aceptada incluso si la política de acceso remoto efectiva está configurada para denegar la conexión de un usuario, y que es mejor permitir o denegar conexiones directamente a través de la consola Usuarios y equipos de Active Directory.
VER: Las mejores VPN móviles pueden garantizar su privacidad en cualquier lugar (ZDNet)
3: La imposibilidad de llegar a lugares más allá del servidor VPN.
Otro problema común de la VPN es que se establece con éxito una conexión, pero que el usuario remoto no puede acceder a la red que se encuentra más allá del servidor VPN. Con mucho, la causa más común de este problema es que no se ha concedido permiso para que el usuario acceda a toda la red. Si alguna vez ha trabajado con Windows NT 4.0, es posible que recuerde una configuración en RAS que le permitió controlar si un usuario tenía acceso a un equipo o a toda la red. Esta configuración en particular no existe en Windows 2000, pero hay otra configuración que hace lo mismo.
Para permitir que un usuario acceda a toda la red, vaya a la consola de Enrutamiento y Acceso Remoto y haga clic con el botón derecho en el servidor VPN que está teniendo el problema. Seleccione el comando Propiedades del menú contextual resultante para mostrar la hoja de propiedades del servidor y, a continuación, seleccione la ficha IP de la hoja de propiedades. En la parte superior de la pestaña IP hay una casilla de verificación Habilitar enrutamiento IP. Si esta casilla está activada, los usuarios de VPN y RAS podrán acceder al resto de la red. Si la casilla de verificación no está activada, estos usuarios sólo podrán acceder al servidor VPN, pero nada más.
El problema también podría estar relacionado con otros problemas de enrutamiento. Por ejemplo, si un usuario está marcando directamente al servidor VPN, normalmente es mejor configurar una ruta estática entre el cliente y el servidor. Para configurar una ruta estática, vaya a la pestaña Marcar en la hoja de propiedades del usuario en Usuarios y equipos de Active Directory y active la casilla Aplicar una ruta estática. Esto hará que Windows muestre el cuadro de diálogo Rutas estáticas. Haga clic en el botón Agregar ruta y, a continuación, introduzca la dirección IP de destino y la máscara de red en el espacio proporcionado. La métrica debe dejarse en 1.
VER: Cybersecurity in an IoT and mobile world (Informe especial de ZDNet) | Descargar el informe en formato PDF (ConsejoTecnologico.com)
Si está utilizando un servidor DHCP para asignar direcciones IP a clientes, hay un par de otros problemas que podrían causar que los usuarios no puedan ir más allá del servidor VPN. Uno de estos problemas es el de las direcciones IP duplicadas. Si el servidor DHCP asigna al usuario una dirección IP que ya está en uso en otra parte de la red, Windows detectará el conflicto e impedirá que el usuario acceda al resto de la red.
Otro problema común es que el usuario no recibe ninguna dirección. La mayoría de las veces, si el servidor DHCP no puede asignar al usuario una dirección IP, la conexión no llegará hasta aquí. Sin embargo, hay situaciones en las que una asignación de dirección falla, por lo que Windows asigna automáticamente al usuario una dirección del rango 169.254.x.x. Si al cliente se le asigna una dirección en este rango, pero este rango de direcciones no está presente en las tablas de enrutamiento del sistema, el usuario no podrá navegar por la red más allá del servidor VPN.
4: Dificultad para establecer un túnel.
Si todo parece funcionar bien, pero no se puede establecer un túnel entre el cliente y el servidor, hay dos posibilidades principales de lo que podría estar causando el problema. La primera posibilidad es que uno o más de los enrutadores involucrados estén realizando el filtrado de paquetes IP. El filtrado de paquetes IP podría impedir el tráfico del túnel IP. Recomiendo revisar el cliente, el servidor y cualquier máquina en medio para filtros de paquetes IP. Para ello, haga clic en el botón Avanzado de la hoja Propiedades de TCP/IP de cada equipo, seleccione la ficha Opciones de la hoja Propiedades de la configuración avanzada de TCP/IP, seleccione Filtrado TCP/IP y haga clic en el botón Propiedades.
La otra posibilidad es que un servidor proxy se encuentre entre el cliente y el servidor VPN. Un servidor proxy realiza la traducción NAT en todo el tráfico que fluye entre el cliente e Internet. Esto significa que los paquetes parecen venir del servidor proxy y no del propio cliente. En algunos casos, esta interacción podría impedir que se establezca un túnel, especialmente si el servidor VPN espera que el cliente tenga una dirección IP específica. También debe tener en cuenta que muchos servidores proxy antiguos o de gama baja (o cortafuegos NAT) no son compatibles con los protocolos L2TP, IPSec o PPTP que se utilizan a menudo para las conexiones VPN.
Boletín de noticias de Data Center Trends
DevOps, virtualización, la nube híbrida, el almacenamiento y la eficiencia operativa son sólo algunos de los temas del centro de datos que destacaremos. Entregado Lunes y Miércoles