Este artículo aborda un problema común en la conexión de dispositivos finales a FortiAP, donde el tráfico atraviesa FortiGate, pero las respuestas no regresan a los dispositivos finales. Este inconveniente puede causar interrupciones en la conectividad y afectar la funcionalidad de la red. Aquí, proporcionaremos una solución detallada para mitigar este problema, garantizando así la correcta comunicación de los endpoints.
Índice
Descripción del problema
En el escenario presentado, un endpoint (IP 172.18.0.27) no puede acceder a Internet debido a consultas DNS fallidas, con FortiAP mostrando la acción ‘DNS-no-resp’. Además, el endpoint no puede realizar un ping a su IP de puerta de enlace (IP interna de FortiGate 172.18.0.1).
Alcance
Este problema afecta a las configuraciones de FortiOS, FortiGate, FortiSwitch y FortiAP.
Diagnóstico paso a paso
Los registros y depuraciones muestran que FortiGate está permitiendo el tráfico. Las respuestas DNS y replies ICMP son observadas saliendo de FortiGate hacia FortiSwitch pero nunca llegan al endpoint. A continuación, se presentan imágenes que ilustran los ICMP requests del endpoint llegando a FortiGate y la respuesta de la interfaz de FortiGate.
A continuación, se muestran más imágenes que indican el tráfico DNS permitido, así como las respuestas registradas por FortiGate en los logs.
Solución recomendada
Como solución temporal, desactive el offloading de CAPWAP y reinicie el controlador inalámbrico utilizando los siguientes comandos en FortiGate:
config system npu
set capwap-offload disable
end
execute wireless-controller restart-acdEl último comando generará el siguiente mensaje antes de reiniciar el controlador inalámbrico, requiriendo que presione ‘Y’ para proceder.
¡Esta operación reiniciará el daemon del controlador inalámbrico!
¿Desea continuar? (y/n)
Después del reinicio, el endpoint debería comenzar a recibir el tráfico. Si el problema persiste, abra un ticket de soporte para una investigación más profunda.
Comandos CLI utilizados
config system npu– Configura la unidad de procesamiento de la red.set capwap-offload disable– Desactiva el offloading de CAPWAP.execute wireless-controller restart-acd– Reinicia el controlador inalámbrico.
Buenas prácticas y recomendaciones
Al utilizar un procesador NP7, asegúrese de verificar la compatibilidad del offloading de CAPWAP para los FortiAPs. Recomendamos referirse a la documentación relacionada para obtener más detalles y evitar problemas de conectividad.
Notas adicionales
Para más información, consulte la siguiente documentación:
- Compatibilidad del offloading CAPWAP NP7
- Desactivar el offloading CAPWAP NP6 y NP6XLite
- Cómo desactivar el offloading CAPWAP para FortiAPs sin interrumpir el tráfico inalámbrico
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!