Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo configurar un servidor L2TP/IPsec detrás de un dispositivo NAT-T.
Número de KB original: 926179
Resumen
Importante
Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce un problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.
De forma predeterminada, Windows Vista y Windows Server 2008 no admiten asociaciones de seguridad de direcciones de red (NAT) traversal (NAT) traversal (NAT-T) de seguridad de Protocolo de Internet (IPsec) a servidores que se encuentran detrás de un dispositivo NAT. Si el servidor de red privada virtual (VPN) está detrás de un dispositivo NAT, un equipo cliente VPN basado en Windows Vista o Windows Server 2008 no puede realizar una conexión de Protocolo de tunelización de capa 2 (L2TP)/IPsec al servidor VPN. Este escenario incluye servidores VPN que ejecutan Windows Server 2008 y Windows Server 2003.
Debido a la forma en que los dispositivos NAT traducen el tráfico de red, puede experimentar resultados inesperados en el escenario siguiente:
- Coloca un servidor detrás de un dispositivo NAT.
- Se usa un entorno NAT-T de IPsec.
Si debe usar IPsec para la comunicación, use direcciones IP públicas para todos los servidores a los que puede conectarse desde Internet. Si debe colocar un servidor detrás de un dispositivo NAT y, a continuación, usar un entorno NAT-T de IPsec, puede habilitar la comunicación cambiando un valor del Registro en el equipo cliente VPN y el servidor VPN.
Establecimiento de la clave del Registro AssumeUDPEncapsulationContextOnSendRule
Para crear y configurar el valor del Registro AssumeUDPEncapsulationContextOnSendRule , siga estos pasos:
Inicie sesión en el equipo cliente de Windows Vista como usuario que sea miembro del grupo Administradores.
Seleccione Iniciar>todos los programas>Accesorios>Ejecutar, escriba regedit y, a continuación, seleccione Aceptar. Si el cuadro de diálogo Control de cuentas de usuario se muestra en la pantalla y le pide que eleva el token de administrador, seleccione Continuar.
Busque la siguiente subclave del Registro y selecciónela:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgentNota:
También puede aplicar el valor de DWORD AssumeUDPEncapsulationContextOnSendRule a un equipo cliente vpn basado en Microsoft Windows XP Service Pack 2 (SP2). Para ello, busque y seleccione la subclave del
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSecRegistro.En el menú Editar , seleccione Nuevo y, a continuación, seleccione Valor DWORD (32 bits).
Escriba AssumeUDPEncapsulationContextOnSendRule y presione ENTRAR.
Haga clic con el botón derecho en AssumeUDPEncapsulationContextOnSendRule y seleccione Modificar.
En el cuadro Datos de valor, escriba uno de los siguientes valores:
0
Es el valor predeterminado. Cuando se establece en 0, Windows no puede establecer asociaciones de seguridad con servidores ubicados detrás de los dispositivos NAT.
1
Cuando se establece en 1, Windows puede establecer asociaciones de seguridad con servidores que se encuentran detrás de los dispositivos NAT.
2
Cuando se establece en 2, Windows puede establecer asociaciones de seguridad cuando tanto el servidor como el equipo cliente VPN (Windows Vista o Windows Server 2008) están detrás de los dispositivos NAT.
Seleccione Aceptar y, a continuación, salga del Editor del Registro.
Reinicie el equipo.