En este artículo se aborda un problema común relacionado con el acceso a servidores multicast a través de una VPN IPsec para usuarios remotos. Este problema es significativo ya que impide la correcta recepción del tráfico multicast en entornos de trabajo remoto. A lo largo del artículo, se presentarán las causas del problema y se ofrecerán soluciones efectivas para garantizar un acceso fluido a los servicios de multicast.
Índice
Descripción del problema
Al intentar acceder a un servidor multicast mediante una VPN IPsec, el cliente multicast recibe tráfico del servidor, pero el servicio no se ejecuta correctamente. Este problema ocurre debido a una desconfiguración en los selectores de fase 2 de la VPN, lo que genera registros de error en el diagnóstico.
El mensaje de error registrado es: ‘No matching IPsec selector, drop’, lo que indica que no se ha encontrado un selector IPsec coincidente y que el tráfico está siendo descartado.
Alcance
Este problema afecta a los dispositivos FortiGate y sus configuraciones de VPN, incluyendo tanto VPN IPsec como SSL VPN.
Diagnóstico paso a paso
Al realizar un diagnóstico del flujo de datos, es importante observar la configuración de los selectores de fase 2. En el siguiente gráfico, se puede apreciar la configuración de los selectores, donde todos los orígenes y destinos están permitidos:

Sin embargo, se ha detectado que FortiClient, cuando se conecta a través de una VPN dial-up, utiliza su dirección IP como dirección de destino en el selector de fase 2. Esto provoca que el tráfico de retorno de su dirección IP al multicast sea descartado, ya que la dirección de destino no coincide con la configurada en los selectores de fase 2.
Solución recomendada
Como solución alternativa, se recomienda utilizar una SSL VPN. Al aplicar esta configuración, el acceso a los servidores multicast se llevará a cabo de manera adecuada sin problemas de tráfico descartado:

Comandos CLI utilizados
Asegúrese de verificar las configuraciones de los selectores de fase 2 utilizando los siguientes comandos en la CLI de FortiGate:
# config vpn ipsec phase2
# show
Este comando permite revisar los atajos configurados y comprobar si se están aplicando correctamente tanto las direcciones de origen como de destino.
Buenas prácticas y recomendaciones
Para evitar futuros problemas relacionados con la configuración de VPN y el tráfico multicast, se recomienda:
- Mantener actualizados los dispositivos FortiGate.
- Documentar todas las configuraciones realizadas en las VPNs.
- Realizar pruebas periódicas de conectividad a los servicios multicast.
- Utilizar herramientas de monitoreo para detectar problemas de red de forma proactiva.
Notas adicionales
Para obtener más información sobre la configuración del reenvío multicast, consulte la documentación oficial de Fortinet en el siguiente enlace:
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!