Este artículo aborda un error de conectividad IPsec que puede surgir al establecer VPNs con dispositivos de terceros. Este problema es crítico, ya que la incapacidad de establecer una conexión VPN segura puede afectar seriamente la comunicación y la interoperabilidad en entornos de red. A continuación, se presentarán los pasos para diagnosticar y resolver este error de manera efectiva.
Índice
Descripción del problema
Los usuarios pueden observar los siguientes errores durante la solución de problemas de VPN con dispositivos de terceros:
Error:
ike 0:VPN-to-xxx:5057: ignoring unsupported INFORMATIONAL message 0.
ike ::ffff:10x.1xx.1xx.58 truncated control message 0 16 0
ike 0:VPN-to-xxxx:5057: negotiation timeout, deleting
ike 0:VPN-to-xxxx: connection expiring due to phase1 down
Alcance
Este artículo es aplicable a dispositivos FortiGate.
Diagnóstico paso a paso
Para abordar el error mencionado, se pueden considerar las siguientes posibles soluciones:
- Verificar si hay un posible desajuste en el grupo DH (Diffie-Hellman) en ambos extremos de la conexión.
- Deshabilitar Perfect Forward Secrecy (PFS) en ambos lados.
- Asegurarse de que ambos extremos estén utilizando el puerto IKE correcto; forzar el uso del puerto NAT-T 4500 en ambos lados.
- Eliminar caracteres complejos en la clave compartida (Pre-shared key) en ambos extremos.
- Probar utilizando IKE V1 en lugar de V2 en ambos extremos.
- Intentar reducir el nivel de cifrado en ambos extremos.
- Configurar manualmente el tipo de localid en los ajustes de la interfaz de fase 1. Asegúrese de que este tipo coincida con lo que se configuró en el dispositivo de terceros. En la mayoría de los casos, se debe configurar el tipo de localid como ‘address’ y utilizar la dirección IP del gateway local de FortiGate como localid.
Solución recomendada
Si los pasos anteriores no resuelven el problema, se requiere la recolección de una captura de paquetes ISAKMP desde el extremo remoto para verificar si la propuesta está llegando o solo se reciben mensajes informativos en el extremo de FortiGate. Esto ayudará a identificar si el problema está relacionado con la configuración de la VPN o con la conexión misma.
Comandos CLI utilizados
diagnose vpn ike gateway list
diagnose debug enable
diagnose debug application ike -1
Estos comandos pueden ayudar a diagnosticar problemas de IKE en la configuración de la VPN, proporcionando información valiosa sobre el estado de la conexión y los mensajes intercambiados.
Buenas prácticas y recomendaciones
Al configurar VPNs con dispositivos de terceros, es recomendable seguir estas prácticas:
- Documentar cuidadosamente todas las configuraciones para referencia futura.
- Realizar pruebas de conectividad después de realizar cambios en la configuración.
- Seguir las actualizaciones de firmware y parches de seguridad para dispositivos FortiGate.
- Establecer alertas para problemas de conectividad que puedan surgir en entornos de producción.
Notas adicionales
Recuerde que cada implementación de VPN puede tener diferencias sutiles dependiendo del hardware y software del proveedor. Por lo tanto, es crucial adaptar las configuraciones y procedimientos de diagnóstico a las especificaciones de cada dispositivo involucrado en la conexión.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!