El presente artículo aborda el problema de conflicto de caché con el error ‘Cache conflict with DDNS gateway <duplicated tunnel-name>’ al intentar establecer túneles IPsec Site-to-Site (S2S). Este error es relevante ya que impide la correcta creación de túneles, afectando la comunicación entre ubicaciones remotas. Aquí se proporcionan pasos claros para diagnosticar y resolver este inconveniente.
Índice
Descripción del problema
El error ‘Cache conflict with DDNS gateway <duplicated tunnel-name>’ que aparece en los registros de depuración de IKE indica un conflicto por uso duplicado de direcciones IP remotas. Esto puede ocurrir cuando más de un túnel intenta utilizar la misma dirección IP, provocando fallos en la conexión.
Alcance
Este artículo se aplica a dispositivos FortiGate en un entorno de configuración IPsec.
Diagnóstico paso a paso
Para resolver el error de conflicto de caché, siga estos pasos detalladamente:
- Verificar la resolución de DDNS.
Asegúrese de que el DDNS resuelva a la dirección IP correcta, confirmando que no haya habido migraciones recientes de unidad o de IP pública (contacte con el soporte TAC si se está utilizando FortiDDNS). - Comprobar la dirección remota.
Verifique que ningún otro túnel utilice la misma dirección remota. - Resolver el conflicto.
Si otro túnel utiliza la misma IP DDNS, se debe optar por una de las siguientes acciones:
Eliminar el túnel IPsec con conflicto de IP DDNS. No existe la opción de cambiar el tipo de túnel de DDNS a estático (Imposible cambiar el tipo de túnel IPSEC y ge… – Comunidad Fortinet),
Actualice el registro DDNS (contacte con el soporte TAC si se está utilizando FortiDDNS). - Configurar una superposición de red (Opcional).
Si ambos túneles requieren la misma dirección IP remota, prepárese para configurar una superposición de red en la interfaz de fase 1 del túnel IPsec en ambos extremos.
Si el problema persiste después de completar los pasos de solución, eleve un ticket de soporte con TAC y proporcione los registros de depuración de IKE para obtener asistencia adicional.
Solución recomendada
La solución general para el conflicto de caché implica asegurarse de que no haya direcciones IP duplicadas en los túneles configurados. Realizar una auditoría regular de la configuración de IPsec puede prevenir estos problemas.
Comandos CLI utilizados
get vpn ipsec tunnel summary
diagnose vpn ike log filter addr
diagnose vpn ike log clear Estos comandos ayudan a verificar el estado de los túneles IPsec y a depurar problemas en la configuración.
Buenas prácticas y recomendaciones
Se recomienda mantener un registro claro de las configuraciones de IPsec y realizar revisiones periódicas. Considere documentar todos los túneles y las direcciones IP utilizadas para evitar conflictos futuros. También es aconsejable utilizar un sistema de nombres de dominio dinámico (DDNS) que se sincronice correctamente con su configuración de red.
Notas adicionales
Para realizar depuraciones de IKE, puede ser útil seguir los siguientes pasos:
- Utilizar el siguiente comando para habilitar la depuración de IKE:
diag debug enable¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!