Configuración cliente L2TP/IPSec en Windows

Varias versiones de Windows devuelven un error genérico 789 cuando se intenta conectar a un servidor que está detrás de un firewall/NAT.

1. Ejecutar regedit
2. Ir a la cadena HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
3. Agregar valor DWORD 32 bit
4. Nombrar la clave DWORD como AssumeUDPEncapsulationContextOnSendRule (case-sensitive)
5. Modificar AssumeUDPEncapsulationContextOnSendRule con el valor 2
6. Reiniciar Windows

Los valores DWORD de la clave en Windows XP hacen referencia a lo siguiente:

0 (default) A value of 0 (zero) configures Windows so that it cannot initiate IPsec-secured communications with responders that are located behind network address translators.

1 A value of 1 configures Windows so that it can initiate IPsec-secured communications with responders that are located behind network address translators.

2 A value of 2 configures Windows so that it can initiate IPsec-secured communications when both the initiators and the responders are behind network address translators.

Cuando Windows establece una conexión IPsec, normalmente las políticas de seguridad y las reglas de filtrado se aplican a los paquetes según la dirección IP, los puertos y otros parámetros. Sin embargo, cuando se trata de conexiones que pasan por routers NAT, el enfoque tradicional puede fallar debido a la traducción de direcciones que ocurre en el router NAT.

Cuando estableces el valor AssumeUDPEncapsulationContextOnSendRule en 2, le estás diciendo a Windows que asuma que la encapsulación de datagramas UDP se realizará correctamente incluso cuando los paquetes pasen por routers NAT. En lugar de aplicar las políticas y las reglas de filtrado de manera estricta, Windows ajustará su comportamiento para permitir la comunicación en estos escenarios específicos.

Es como si Windows reconociera que está operando en un entorno donde las direcciones IP y los puertos pueden cambiar debido a la traducción de direcciones de los routers NAT. Al establecer este valor en 2, Windows permite una mayor flexibilidad en la comunicación de los paquetes encapsulados UDP a través de conexiones IPsec, lo que ayuda a superar los problemas de timeout y otros obstáculos que podrían surgir debido a la presencia de routers NAT.

En resumen, no es simplemente una “caja negra” a la que le ponemos un 2 y funciona; tiene un propósito específico para adaptar el comportamiento de Windows en un entorno con NAT y permitir la comunicación exitosa a través de conexiones IPsec. Si bien este ajuste puede resolver el problema en cuestión, es importante comprender que su implementación se basa en las necesidades específicas de las conexiones a través de routers NAT.

1. Ir al centro de redes y recursos compartidos
2. crear nueva conexión
3. conectarse al trabajo (VPN)
4. Llenar los campos de dirección y nombre
5. Marcar “no conectar ahora”
6. Completar usuario y contraseña con el usuario habilitado para escuchar conexiones entrantes en el extremo del servidor

1. Ir a las opciones de adaptadores de red
2. Propiedades de la VPN creada más arriba
3. tab opciones
   1. PPP
   2. habilitar compresión
4. tab seguridad
   1. tipo de VPN → L2TP/IPSec
   2. botón avanzadas → completar la PSK de IPSec → OK
   3. encriptación → usar la máxima o requerir encriptación
   4. autenticación MSCHAP-V2
5. Solapa red
   1. propiedades de IP v4
   2. avanzadas
   3. no utilizar como gateway predeterminada