En este artículo, abordaremos un problema relacionado con el establecimiento de túneles IPsec entre FortiGate y Cloudflare Magic WAN. Este es un asunto importante, ya que las configuraciones incorrectas de NAT-Traversal pueden afectar la conectividad y la seguridad de las comunicaciones. A través de esta guía, podrá identificar la razón por la que es necesario forzar NAT-T y aprender los pasos adecuados para solucionar el problema.
Índice
Descripción del problema
Después de que se establece un túnel IPsec entre FortiGate y Cloudflare Magic WAN, el tráfico IKE/IPsec continúa fluyendo a través del puerto UDP 500, incluso si se fuerza el NAT-Traversal (NAT-T). Esto se debe a que FortiGate iniciará primero el tráfico IKE sobre UDP Puerto 500 (para ambas versiones de IKE: v1 y v2) y luego cambiará a UDP 4500 si se fuerza NAT-T o si detecta que FortiGate está detrás de un dispositivo NAT.
Alcance
Este artículo es aplicable para dispositivos FortiGate.
Diagnóstico paso a paso
Es importante realizar un diagnóstico del estado del túnel y comprender cómo se establece la comunicación IKE. Para ello, examine la configuración actual del túnel y los puertos utilizados por el tráfico IPsec.
Solución recomendada
Para iniciar las sesiones de IKE directamente en el puerto UDP 4500, configure el puerto IKE en los ajustes del sistema utilizando el siguiente comando:
config system settings
set ike-port 4500
end
Nota importante:
Este cambio se aplica globalmente y afectará a todas las conexiones IPsec. Esta función solo es compatible con IKE versión 2 y esta opción debe configurarse también en los pares remotos.
Comandos CLI utilizados
A continuación, se presentan los comandos que se deben utilizar para realizar la configuración:
config system settings: Inicia la configuración del sistema.set ike-port 4500: Configura el puerto IKE en 4500.end: Finaliza la configuración.
Buenas prácticas y recomendaciones
Es recomendable realizar pruebas después de implementar cualquier cambio en la configuración. Asegúrese de validar que la comunicación IKE esté funcionando correctamente y que el túnel IPsec se haya establecido con éxito. Monitorice el tráfico y revise los registros para detectar posibles problemas.
Notas adicionales
Consulte la documentación de Magic WAN para obtener información sobre requisitos específicos y consideraciones para la configuración de túneles IPsec:
Documentación de Magic WAN IPsec: GRE y túneles IPsec.
Además, revise el siguiente documento sobre NAT-Traversal en VPN IPSec:
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!