Descripción
Este artículo explica cómo configurar DPD en IPsec VPN.
A veces, debido a problemas de enrutamiento u otros problemas de red, el enlace de comunicación entre una unidad FortiGate y un par o cliente VPN puede fallar.
Los paquetes podrían perderse si la conexión se agota por sí sola. La unidad FortiGate proporciona un mecanismo llamado Detección de pares muertos (DPD), a veces denominado detección de puerta de enlace o servidor de ping, para evitar esta situación y restablecer las negociaciones IKE automáticamente antes de que se agote el tiempo de conexión: se capturan las asociaciones de seguridad activas de la Fase 1 y renegociada (nueva clave) antes de que caduque la clave de cifrado de Fase 1.
Los comandos de este artículo ayudarán a configurar DPD (detección de pares muertos) en IPsec VPN.
Solución
Puede configurar DPD por interfaz de fase 1 de la siguiente manera (se muestran los ajustes predeterminados):
#config vpn ipsec phase1-interface
edit <Tunnel Name>
set dpd [disable | inactive | on-demand]
set dpd-retryinterval 20
set dpd-retrycount 3
next
end
DPD:
Deshabilitar: deshabilitar la detección de pares muertos.
En reposo: activa la detección de pares muertos cuando IPsec está inactivo.
Bajo demanda: activa la detección de pares inactivos cuando se envía tráfico IPsec pero no se recibe respuesta del par.
DPD-RETRYINTERVAL:
cuánto tiempo es el intervalo en segundos después del cual se intentará de nuevo un DPD.
DPD-RETRYCOUNT:
Con qué frecuencia se intentará el DPD.
Con la configuración predeterminada, se intentará DPD cada 20 segundos, 3 veces. En total, después de un minuto sin respuestas DPD, el túnel se cerrará.
En un servidor de acceso telefónico, si una gran cantidad de conexiones VPN están inactivas, el mayor intercambio de DPD podría afectar negativamente el rendimiento o la carga del proceso ike.
Por este motivo, hay disponible una opción en la CLI para enviar DPD de forma pasiva en un modo denominado «bajo demanda».
– Cuando no haya tráfico y se haya recibido el último DPD-ACK, IKE no enviará DPDs periódicamente.
– IKE solo enviará DPD si hay paquetes salientes para enviar pero no se han recibido paquetes entrantes desde entonces.
Verifique el intercambio de DPD con la herramienta de diagnóstico en CLI:
#diagnose debug console timestamp enable
#diagnose debug application ike -1
#diagnose debug enable
En IKEv1, los mensajes DPD serán como «RU-ALLÁ» y las respuestas como ‘RU-ALÍ-ACK’.
ike 3: testVPN: 123123: mensaje IKE enviado (RU-HAY): 1.2.3.4: 500-> 4.3.2.1: 500, len = 92, id = 8357cf8e359f24b8/e7763893c7180208: 2ab66f73
…
ike 3: testVPN: 123123: notificar mensaje recibido: RU-HAY-ACK
En IKEv2, el mensaje será «informativo».
2021-02-10 16:20:48.645409 ike 0:VPN-test:9: enviar sonda IKEv2 DPD
2021-02-10 16:20:48.645478 ike 0:VPN-test:21: enviar NOTIFY msg
2021-02-10 16:20:48.645543 ike 0:VPN-test:9:21: enviar información
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!