TIP: Error de conexión VPN despues de actualizar Windows

TIP: Error de conexión VPN despues de actualizar Windows

Desde comienzos de 2022 Microsoft ha ido liberando actualizaciones habituales de seguridad, pero algunas de ellas han estado causando problemas en equipos con conexiones VPN: KB5009543, KB5010793, KB5009566

Si bien desinstalar los parches para Windows 10 o Windows 11 puede resolver algunos problemas puntualmente, tarde o temprano vuelvén con IPSec, IKEv2 o SSTP. Un mismo equipo con todos los parches puede mostrar errores:

Como alternativa para resolver el problema, debemos desinstalar todos los «miniport» del equipo desde el administrador de dispositivos y reiniciar. Se volverán a instalar de manera automática, si disponemos de software adicional de otros fabricantes (Global Protect de Palo Alto, Cisco Secure Cliente, WatchGuard VPN…) se recomienda desinstalarlos antes de la misma forma.

Enrutamiento y acceso remoto no inicia – 8007042a

Bajo algunas versiones de Windows Server 2016 / 2019 el servicio de enrutamiento y acceso remoto no se inicia correctamente después de un reinicio, aparecen mensajes de error relacionados con el servicios de directivas de redes (NPS):

NPS no puede registrar información de cuentas en el almacén de datos principal (C:\Windows\system32\LogFiles\iaslog0.log). Debido a este error de registro, NPS descartará todas las solicitudes de conexión. Información del error: 22.

Si se intentan iniciar manualmente desde la consola o la interfaz gráficas el resultado es el mismo:

En este caso el orden de inicio de los servicios es importante, deberemos parar el servicio de directivas de redes primero, desde consola y conociendo el nombre interno del servicio ejecutamos:

net stop "ias"
net start "remoteAccess"
net start "ias"

VPN Zyxel USG: No rule found, dropping packet

Existen diversos escenarios para la configuración de VPN entre dos dispositivos, en este caso aparece en un equipo Zyxel USG el error:

error      IPSec      SPI:0x6c2b84d9 (1814791385) SEQ:0x0001 (4200) No rule found, Dropping packet      ipsec 

Donde «no se ha tocado nada» pero se ha desconectado el tunel o bien solo aparece como activo en una de las partes y en la otra no (cosas de lógica informática). En estos casos es mejor no dar por sentado ningún razonamiento y comprobar la comunicación entre ambas partes.

El error señalado indica, en este caso, que un equipo intermedio tiene habilitado algún tipo de NAT o NAPT o no permite el tráfico de un protocolo (ESP, en este caso por ser IPSec) se puede solucionar habilitando la funcionalidad VPN Passthrought si la tiene o estableciendo un DMZ hacia la IP del firewall final, por ejemplo.