Cómo resolver el problema de tráfico de ping entre máquinas finales a través de un túnel IPSec Site-to-Site

En este artículo, abordaremos un problema común relacionado con la comunicación de Ping entre máquinas finales conectadas a través de un túnel IPSec Site-to-Site. Este problema es crítico porque puede interrumpir la conectividad entre sucursales o entornos de trabajo, lo que afecta la productividad y la colaboración. Proporcionaremos un enfoque paso a paso para diagnosticar y solucionar este problema, garantizando así una configuración óptima de FortiGate.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

Este artículo describe cómo solucionar problemas de comunicación de Ping entre máquinas finales que se encuentran conectadas a través de un túnel IPSec Site-to-Site. Es esencial asegurar que la configuración de IPSec esté correctamente implementada para facilitar la conexión entre dos redes diferentes.

Alcance

Este tutorial es relevante para dispositivos FortiGate que están configurados en un entorno de red con túneles IPSec.

Diagnóstico paso a paso

Para evaluar el problema de Ping, tomamos en cuenta las siguientes observaciones clave:

La configuración del túnel IPSec está correctamente implementada en ambos dispositivos FortiGate, incluyendo las políticas de firewall y las rutas necesarias para las subredes locales y remotas.
El tráfico de Ping se procesa exitosamente a través de ambos FortiGate, pero se observa un mensaje de «Request timed out» en la línea de comandos.
A través de las salidas de Flow Debug y Sniffer, se puede ver que el tráfico de Ping fluye hacia dentro y hacia fuera de los FortiGate a través de las políticas de firewall correspondientes; sin embargo, no hay respuesta de las máquinas finales.

Solución recomendada

Existen dos enfoques para solucionar el problema:

Deshabilitar temporalmente el Firewall de Windows y el Antivirus (opcional).
Implementar los siguientes pasos para crear una regla personalizada en el Firewall de Windows Defender con Configuración Avanzada:

Inicie sesión en la máquina con Windows.
Acceda al Firewall de Windows Defender y seleccione Configuración Avanzada.
En la pantalla del Firewall de Windows con Seguridad Avanzada, seleccione Reglas de Entrada y el enlace Nueva Regla ubicado en el Panel de Acciones.
Seleccione Personalizada y luego haga clic en ‘Siguiente’.
Seleccione Todos los programas y haga clic en ‘Siguiente’.
Seleccione el tipo de protocolo como ICMPv4 y haga clic en el botón Personalizar.
En la siguiente pantalla, seleccione Tipos ICMP específicos y luego Solicitud de Eco. Seleccione ‘OK’ y luego ‘Siguiente’.
Elija bien Todas las direcciones IP o Estas direcciones IP en las opciones ‘¿A qué direcciones IP locales se aplica esta regla?‘ y ‘¿A qué direcciones IP remotas se aplica esta regla?‘. Si selecciona ‘Estas direcciones IP’, especifique las direcciones IP permitidas.
Una vez que haya realizado la configuración necesaria, seleccione el botón Siguiente.
En la siguiente pantalla, seleccione Permitir la Conexión y luego ‘Siguiente’.
En la siguiente pantalla, seleccione el nombre del perfil (Doméstico, Privado, Público) al que se debe aplicar esta regla, y luego seleccione Siguiente.
En la siguiente pantalla, asigne un nombre a la regla y especifique una descripción (opcional). Seleccione Finalizar.

Nota:
De manera predeterminada, la regla ICMPv4-In solo permite tráfico de subred local. Para que funcione el tráfico de Ping, habilite NAT en la política o cambie el alcance a ‘Cualquiera‘.

Comandos CLI utilizados

A la hora de resolver problemas de configuración en FortiGate, es útil conocer algunos comandos CLI:

# Diagnóstico de tráfico con el comando:
diagnose sniffer packet any 'icmp' 4

El comando anterior permite capturar y mostrar paquetes ICMP, lo que puede ayudar a determinar si el tráfico está siendo bloqueado.

Buenas prácticas y recomendaciones

Para minimizar problemas de conectividad en el futuro, considere las siguientes recomendaciones:

Realizar revisiones periódicas de las políticas de firewall y configuraciones del túnel IPSec.
Documentar todas las configuraciones y cambios realizados en el sistema.
Implementar registros y alertas para monitorear la conectividad.

Notas adicionales

Asegúrese de que el firmware de su dispositivo FortiGate esté actualizado, ya que las versiones más nuevas pueden contener mejoras y correcciones de errores que podrían influir en la conectividad y la seguridad del tráfico de red.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo solucionar el problema de FortiClient que se desconecta al 70-80% sin mensaje de error
Este artículo aborda un problema común que pueden experimentar los usuarios de FortiClient: la desconexión de la VPN cuando se completa entre un 70 y un 80%, sin mostrar un error claro. Este problema puede interrumpir el flujo de trabajo y afectar la productividad, por lo que es importante entender las causas subyacentes y las Leer
Configuración de la opción 43 de DHCP de fortigate para unidades Cisco y Ubiquiti
Descripción Este artículo describe el formato de la opción 43 de DHCP para especificar mientras FortiGate está configurado como servidor DHCP. Documentos relacionados. RFC 2132: opciones de DHCP y extensiones de proveedor de BOOTP (rfc-editor.org) Configuración de la opción 43 de DHCP (cisco.com) UniFi: adopción de capa 3 para aplicaciones de red UniFi remotas: solución Leer
Cómo resolver el problema de la opción de edición en gris de FortiGate como controlador de FortiSwitch
error code: 524 ¿Te ha resultado útil?? SiNo 0 / 0 Mila y CésarHola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite. ¡Si te gusta nuestro contenido Leer
Cómo resolver la alerta de correo electrónico por picos en un solo núcleo de CPU en Fortinet
En este artículo, abordaremos cómo generar alertas por correo electrónico para un pico de uso en un solo núcleo de CPU en dispositivos FortiGate. Este problema es crítico, ya que un uso excesivo de la CPU puede afectar el rendimiento del dispositivo y, en consecuencia, la seguridad de la red. A través de los pasos Leer
Cómo configurar FortiGate para que actualice la lista CRL cada ‘x’ minutos
Hola amig@s, me llamo César Sánchez y hoy os vengo a contar: Cómo configurar FortiGate para que actualice la lista CRL cada ‘x’ minutos Descripción Este artículo describe los métodos para controlar la frecuencia con la que FortiGate busca una CRL actualizada. Alcance Todas las versiones de FortiOS. Solución Esto puede ser configurado por-crl como Leer