Cómo resolver el problema de tráfico unidireccional a través del túnel IPsec en Fortinet

0
0
0

En este artículo, abordamos un problema común que afecta la conectividad entre dos dispositivos FortiGate a través de un túnel IPSec: el tráfico unidireccional. Este problema es crucial porque puede afectar la comunicación entre redes, lo que resulta en caídas de servicio y pérdidas de datos. A lo largo del artículo, proporcionaremos una guía práctica para diagnosticar y resolver este incidente, asegurando que la configuración de su red funcione óptimamente.

Descripción del problema

El tráfico unidireccional a través de un túnel IPSec puede ocurrir cuando una máquina de una subred puede alcanzar dispositivos en otra subred, pero no viceversa. Este problema se debe a diversas configuraciones que pueden estar mal establecidas, como las políticas de firewall o el enmascaramiento de direcciones.

Alcance

Este artículo se aplicará a dispositivos FortiGate con configuraciones de túneles IPSec.

Diagnóstico paso a paso

1. Información básica a verificar

Se recomienda revisar la tabla de rutas y los selectores de fase 2 del túnel IPSec.

2. Captura de paquetes en FGT-A

Si no hay tráfico de salida desde la interfaz del túnel, se debe ejecutar el flujo de depuración:

diagnose debug flow filter addr 10.171.0.10 10.122.0.10 and
diagnose debug flow filter proto 1
diagnose debug flow show function-name enable
diagnose debug flow show iprope enable
diagnose debug flow trace start 100
diagnose debug enable

Para desactivar la depuración, use:

diagnose debug disable
diagnose debug reset

La salida de la depuración mostrará cómo procesa el FortiGate el tráfico.

Artículos relacionados  Cómo solucionar el problema de carga de la página de reglas SD-WAN en la GUI secundaria al acceder desde la interfaz de gestión HA dedicada

3. Posibles razones del problema

  1. Falta de política de firewall que permita el tráfico iniciado desde la subred 10.171.0.0/20.
  2. Si se activa NAT de origen en la política de firewall:
    1. Si se utiliza una interfaz de salida, y la interfaz del túnel no tiene dirección IP asignada, FortiGate usará la dirección IP de la interfaz con el índice más pequeño. Esta dirección IP puede no ser enrutable en el entorno ni estar permitida dentro de los selectores de fase 2.
    2. Si la interfaz del túnel tiene una dirección IP asignada, asegúrese de que esta IP sea enrutable y permitida en la red de FGT-B.
  3. Si se utiliza una grupo de IP, asegúrese de que la dirección IP sea enrutable y permitida en los selectores de fase 2.
  • Si el tráfico ya está permitido y se está retransmitiendo a través de la interfaz del túnel, continúe con el paso 3.

4. Captura de paquetes en FGT-B

  • Si hay tráfico entrante, pero no hay salida, realice el mismo flujo de depuración. Ajuste el filtro para capturar el tráfico.
  • Si el tráfico entrante ya ha sido retransmitido, pero no hay respuesta, verifique si algún dispositivo vecino ha recibido el paquete del FortiGate. Intente realizar una captura de paquetes en el dispositivo de destino también.
  • En algunos escenarios, el lado remoto podría tener una ruta de vuelta a la IP del Firewall y podría enrutarse el tráfico, pero la subred del iniciador no es conocida y se prefiere enmascarar esta subred. Se puede habilitar SNAT en la política para este tráfico, lo que es útil en situaciones donde no se pueden hacer cambios en el extremo remoto.
  • En raras ocasiones, si no hay tráfico entrante, podría haber un problema con la red del ISP. Hay casos donde el ISP no procesa correctamente el tráfico ESP/IPSec.
Artículos relacionados  Cómo resolver el error de falta de 'FortiView Source Interfaces by Bytes' en los logs de Fortinet

Solución recomendada

Revisar todas las configuraciones mencionadas y realizar ajustes necesarios en las políticas de firewall y las reglas de NAT. Asegúrese de que toda la comunicación esté permitida y correctamente enrutada para restaurar el funcionamiento normal del túnel IPSec.

Comandos CLI utilizados

A continuación, se presentan los comandos CLI que se utilizaron durante la depuración, junto con su función:

  • diagnose debug flow filter addr: Filtra el tráfico según las direcciones IP especificadas para ver solo el tráfico relevante.
  • diagnose debug flow filter proto: Filtra el tráfico por protocolo, como ICMP.
  • diagnose debug enable: Activa la depuración para comenzar a recopilar información sobre el flujo de tráfico.
  • diagnose debug disable: Desactiva la depuración.
  • diagnose debug reset: Reinicia el estado de la depuración.

Buenas prácticas y recomendaciones

Para evitar problemas de conectividad en el futuro, es recomendable mantener actualizadas las configuraciones del firewall, verificar periódicamente las políticas de NAT y asegurarse de que todos los dispositivos en las diferentes subredes estén correctamente enrutados. Documentar estas configuraciones también puede ayudar en futuros diagnósticos.

Notas adicionales

Esto incluye la necesidad de comprender cómo diferentes configuraciones de seguridad pueden liberar o restringir el tráfico a través de túneles seguros. La planificación y la estructura adecuada de la red son esenciales para mantener la integridad y seguridad de la comunicación entre dispositivos FortiGate.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *