Cómo solucionar el acceso de usuarios remotos a un servidor multicast a través de VPN IPsec por marcación

En este artículo se aborda un problema común relacionado con el acceso a servidores multicast a través de una VPN IPsec para usuarios remotos. Este problema es significativo ya que impide la correcta recepción del tráfico multicast en entornos de trabajo remoto. A lo largo del artículo, se presentarán las causas del problema y se ofrecerán soluciones efectivas para garantizar un acceso fluido a los servicios de multicast.

Descripción del problema

Al intentar acceder a un servidor multicast mediante una VPN IPsec, el cliente multicast recibe tráfico del servidor, pero el servicio no se ejecuta correctamente. Este problema ocurre debido a una desconfiguración en los selectores de fase 2 de la VPN, lo que genera registros de error en el diagnóstico.

El mensaje de error registrado es: ‘No matching IPsec selector, drop’, lo que indica que no se ha encontrado un selector IPsec coincidente y que el tráfico está siendo descartado.

Alcance

Este problema afecta a los dispositivos FortiGate y sus configuraciones de VPN, incluyendo tanto VPN IPsec como SSL VPN.

Diagnóstico paso a paso

Al realizar un diagnóstico del flujo de datos, es importante observar la configuración de los selectores de fase 2. En el siguiente gráfico, se puede apreciar la configuración de los selectores, donde todos los orígenes y destinos están permitidos:

VPN Phase 2 selectors

Sin embargo, se ha detectado que FortiClient, cuando se conecta a través de una VPN dial-up, utiliza su dirección IP como dirección de destino en el selector de fase 2. Esto provoca que el tráfico de retorno de su dirección IP al multicast sea descartado, ya que la dirección de destino no coincide con la configurada en los selectores de fase 2.

Artículos relacionados  Cómo solucionar el error 'La conexión SSL está bloqueada debido a que no se puede recuperar el certificado del servidor' en Fortinet

Solución recomendada

Como solución alternativa, se recomienda utilizar una SSL VPN. Al aplicar esta configuración, el acceso a los servidores multicast se llevará a cabo de manera adecuada sin problemas de tráfico descartado:

SSL VPN functioning correctly

Comandos CLI utilizados

Asegúrese de verificar las configuraciones de los selectores de fase 2 utilizando los siguientes comandos en la CLI de FortiGate:

# config vpn ipsec phase2
# show
                

Este comando permite revisar los atajos configurados y comprobar si se están aplicando correctamente tanto las direcciones de origen como de destino.

Buenas prácticas y recomendaciones

Para evitar futuros problemas relacionados con la configuración de VPN y el tráfico multicast, se recomienda:

  • Mantener actualizados los dispositivos FortiGate.
  • Documentar todas las configuraciones realizadas en las VPNs.
  • Realizar pruebas periódicas de conectividad a los servicios multicast.
  • Utilizar herramientas de monitoreo para detectar problemas de red de forma proactiva.

Notas adicionales

Para obtener más información sobre la configuración del reenvío multicast, consulte la documentación oficial de Fortinet en el siguiente enlace:

Configuring multicast forwarding

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *