Cómo solucionar el error de VPN ‘Paquete ESP inválido detectado (paquete repetido)’ en Fortinet

En este artículo, abordaremos el error ‘Se detectó un paquete ESP no válido (paquete reenviado)’, que puede causar problemas en los túneles VPN de FortiGate. Comprender este error es crucial para garantizar una comunicación segura y eficiente a través de conexiones IPsec. A través de este artículo, aprenderás a diagnosticar y solucionar el problema, optimizando así la disponibilidad y seguridad de tu red.

Descripción del problema

El error ‘Se detectó un paquete ESP no válido (paquete reenviado)’ se presenta cuando se reciben paquetes en un túnel VPN que han sido marcados como duplicados. Esto ocurre debido a un número de secuencia que IPsec utiliza para protegerse contra ataques de repetición. Cuando el número de secuencia de un paquete recibido ya ha sido procesado, FortiGate lo descarta, lo que puede afectar el flujo normal de tráfico.

Alcance

Este problema es relevante para versiones de FortiOS que utilizan la tecnología IPsec para configuraciones VPN.

Diagnóstico paso a paso

Para diagnosticar si el problema está relacionado con números de secuencia duplicados, se puede realizar una captura de paquetes ESP. Esto implica la necesidad de entender cómo se asignan estos números a los paquetes.

Los paquetes ESP son una parte crucial de IPsec, encargados de mantener la confidencialidad y la integridad de los datos en tránsito. Al capturar y analizar estos paquetes, se puede verificar si el número de secuencia ya ha sido utilizado anteriormente, lo que confirmaría el problema.

Solución recomendada

El Error:
Se detectó un paquete ESP no válido (paquete reenviado).
Causa:
IPsec asigna un número de secuencia que aumenta monotonamente a cada paquete cifrado para ofrecer protección contra repetición. Cuando se recibe tráfico IPsec en FortiGate con un número de secuencia ya procesado, este paquete se marca como duplicado y se descarta.

Existen dos opciones principales para resolver este problema:

Opción 1: Deshabilitar la protección contra repetición en el túnel VPN

config vpn ipsec phase2-interface

edit <phase2-name>

set replay <enable | disable>

end

Para más información sobre la protección contra repetición, consulta:

Consejo Técnico: Explicación de IPsec Anti-replay y prevención de pérdidas de paquetes.

Opción 2: Reducir el tiempo de vida de la fase 2 de IPsec para la creación de un nuevo SA

Para keylifeseconds:

config vpn ipsec phase2-interface

edit <phase2-name>

set keylifeseconds <tiempo en segundos>

end

Para keylifekbs:

config vpn ipsec phase2-interface

edit <phase2-name>

set keylife-type

set keylifekbs <entero>

end

Asegúrate de que la misma configuración esté implementada en ambos extremos de la puerta de enlace IPsec (local y par).

Comandos CLI utilizados

A continuación, se presentan los comandos CLI utilizados para las soluciones anteriores:

Deshabilitar protección contra repetición:


config vpn ipsec phase2-interface
edit <phase2-name>
set replay <enable | disable>
end


Reducir tiempo de vida:


config vpn ipsec phase2-interface
edit <phase2-name>
set keylifeseconds <tiempo en segundos>
end


También se puede ajustar keylifekbs siguiendo pasos similares.

Buenas prácticas y recomendaciones

Es aconsejable mantener la vida útil de las asociaciones de seguridad (SA) lo más corta posible para evitar el uso de números de secuencia duplicados. Además, asegúrate de que ambos extremos de la conexión VPN tengan configuraciones compatibles y revisa periódicamente los registros de eventos para identificar posibles problemas de rendimiento o seguridad.

Notas adicionales

Considera la posibilidad de implementar monitoreo y alertas en tu infraestructura. Esto no solo permite la detección temprana de errores como el mencionado, sino que también ayuda a mantener la salud general de tu red. Por último, siempre realiza respaldos de la configuración antes de realizar cambios significativos para facilitar una recuperación rápida en caso de problemas.