Cómo solucionar el error al crear una plantilla HUB con el Asistente IPSec en Fortinet

En este artículo, abordamos un problema común al crear una configuración de ADVPN utilizando el asistente IPSec en FortiGate, donde la opción HUB aparece deshabilitada. Este problema es importante porque impide que los usuarios configuren adecuadamente su red VPN, lo que puede afectar la conectividad y la seguridad de la red. A continuación, se detallará cómo diagnosticar y resolver este inconveniente de forma efectiva.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

El artículo describe un problema en el que la opción HUB está en gris cuando se intenta crear una configuración ADVPN utilizando el asistente IPSec. Esto puede ser confuso para los administradores de red que buscan establecer una conexión de red de tipo HUB-and-Spoke.

Alcance

Este problema afecta a las configuraciones de FortiOS relacionadas con la creación de túneles VPN IPSec, específicamente en la configuración de ADVPN.

Diagnóstico paso a paso

La causa principal de que la opción HUB esté desactivada es una configuración de Spoke que todavía está presente en la configuración de VPN IPSec del FortiGate. Por tanto, es crucial realizar un diagnóstico para identificar y eliminar dicha configuración incorrecta.

Solución recomendada

Para poder seleccionar la plantilla HUB, se debe desactivar la opción auto-discovery-receiver. Aquí están los pasos para hacerlo:

config vpn ipsec phase1-interface

edit <VPN_Name>

set auto-discovery-receiver disable

end

Alternativamente, puede considerar eliminar toda la configuración del túnel phase1-interface de IPSec.

Nota: Debe eliminar primero todas las referencias de la interfaz Phase1 de IPSec antes de poder eliminar completamente el túnel, incluyendo las políticas de firewall y la interfaz Phase2.

Una vez completado uno de estos pasos, la plantilla HUB debería poder seleccionarse nuevamente en el asistente IPSec.

Comandos CLI utilizados

A continuación se presentan los comandos utilizados en la solución:

config vpn ipsec phase1-interface
    edit <VPN_Name>
        set auto-discovery-receiver disable
end

Este conjunto de comandos permite desactivar la configuración de auto-descubrimiento, lo que habilitará la opción HUB en el asistente IPSec.

Buenas prácticas y recomendaciones

Es recomendable verificar siempre las configuraciones de las interfaces IPSec antes de realizar cambios significativos. Mantener un registro claro de las configuraciones y las políticas de firewall facilitará el diagnóstico de problemas futuros. También se sugiere realizar copias de seguridad de la configuración del FortiGate regularmente para prevenir la pérdida de configuraciones importantes.

Notas adicionales

Este problema puede surgir por varias razones, por lo que es importante prestar atención a otros parámetros de configuración del VPN IPSec para asegurarse de que no haya conflictos. Además, es aconsejable consultar la documentación oficial de Fortinet o el soporte técnico en caso de dificultades persistentes.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo solucionar el error ‘Timeout del Watchdog SSL VPN’ y el fallo del daemon sslvpnd con señal 11 en Fortinet
En este artículo se aborda un problema crítico relacionado con el proceso de la VPN SSL en FortiGate, que puede causar que el demonio sslvpnd se bloquee con un error de señal 11 (fallo de segmentación) tras un ‘timeout del watchdog de la VPN SSL’. Comprender y resolver este problema es esencial para mantener la Leer
Cómo resolver la falla en la autenticación de usuarios de Active Directory en Fortinet
En este artículo, abordamos un problema común que puede surgir al utilizar FortiGate para la autenticación LDAP (Protocolo Ligero de Acceso a Directorios) en un entorno de Active Directory. Es crucial resolver esto, ya que puede resultar en credenciales de usuario incorrectas, lo que afecta el acceso y la seguridad en tu red. A través Leer
Cómo solucionar la visualización del latido de Fabric Switch en chasis 7K de Fortinet
En este artículo, abordaremos el problema de la sincronización entre el Fabric Management Processor (FPM) y el Fabric Interface Module (FIM) en un chasis FortiGate 7000. Este asunto es fundamental ya que una falla en la sincronización puede impactar en la gestión del tráfico y la estabilidad del sistema. Aquí proporcionaremos un diagnóstico detallado y Leer
Cómo solucionar la alta utilización de recursos y la inestabilidad del dispositivo debido al tráfico SFLOW en Fortinet
En este artículo, abordaremos problemas de alta utilización de recursos en dispositivos FortiGate, que pueden manifestarse como mensajes de fallo de apertura del IPS en los registros de fallos, alta carga de CPU, alta SoftIrq en algunos o todos los núcleos vCPU, y respuestas lentas al tráfico. Estos problemas son cruciales ya que pueden afectar Leer
Cómo solucionar sitios lentos o inaccesibles con SD-WAN al usar el control de aplicaciones en ‘Permitir’
Este artículo aborda un problema que afecta a la conectividad de ciertos sitios web cuando se configura el balanceo de carga de SD-WAN en las reglas de SD-WAN y se habilita el Control de Aplicaciones con la acción establecida en ‘Permitir’. Este problema es relevante porque puede causar lentitud o inaccesibilidad en el acceso a Leer