Este artículo aborda un problema común de conectividad en redes que utilizan FortiGate y FortiAP, específicamente, la falta de arrendamiento de IP al conectarse a un SSID de túnel con un VLAN ID opcional configurado. Es crucial resolver este problema, ya que la falta de una dirección IP puede impedir el acceso a recursos de red. A través de este artículo, aprenderá a diagnosticar y resolver esta cuestión de manera efectiva.
Índice
Descripción del problema
Cuando los dispositivos se conectan a un SSID de túnel en FortiGate configurado para arrendar DHCP, es posible que no se le asigne una dirección IP. Este problema puede ser frustrante para los administradores de red, ya que impide que los usuarios accedan a los recursos de la red.
Alcance
Este artículo se aplica a los dispositivos FortiGate y FortiAP que utilizan SSIDs de túnel para proporcionar conectividad a través de DHCP.
Diagnóstico paso a paso
Para diagnosticar el problema, primero verifique la configuración del SSID y cómo se están conectando los clientes. Desde el monitor de ‘Clientes Wi-Fi’, se puede observar que el dispositivo está conectado pero no se le asigna una IP. El siguiente registro es representativo de este estado:
12901.345 ee:b1:82:63:8c:36 cwAcStaRbtAdd: I2C_STA_ADD insert sta ee:b1:82:63:8c:36 192.168.98.2/1/1/1
75054.354 ee:b1:82:63:8c:36 <eh> send 1/4 msg of 4-Way Handshake
75054.357 ee:b1:82:63:8c:36 <eh> recv IEEE 802.1X ver=1 type=3 (EAPOL_KEY) data len=117
12901.497 ee:b1:82:63:8c:36 <dc> DHCP Request server 0.0.0.0 <== host iPhone mac ee:b1:82:63:8c:36 ip 192.168.151.2 xId aa427427
Este registro muestra que la autenticación se completó, pero no hay respuesta DHCP al mensaje de descubrimiento DHCP del cliente. Al verificar la configuración del SSID, se observa que el ‘ID de VLAN opcional’ está configurado en 5 en lugar de 0, que es el valor predeterminado.
Solución recomendada
Modifique la configuración del SSID para cambiar el ‘ID de VLAN opcional’ de 5 a 0. Luego, intente reconectar el dispositivo al SSID. Esto normalmente resuelve el problema de la falta de arrendamiento de IP.
Después de realizar el cambio, se espera el siguiente resultado cuando se vuelve a conectar:
El siguiente registro debe aparecer, indicando que la asignación de IP ha sido exitosa:
13394.131 ee:b1:82:63:8c:36 <dc> DHCP Offer server 192.168.151.1 ==> host mac ee:b1:82:63:8c:36 ip 192.168.151.2 mask 255.255.255.0 gw 192.168.151.1 xId aa427433
Comandos CLI utilizados
Para ayudar en el diagnóstico, pueden usarse varios comandos en la interfaz de línea de comandos (CLI). Algunos de los comandos relevantes incluyen:
- diag wireless client list: Este comando muestra la lista de clientes conectados y su estado.
- diag debug application hatalkd -1: Activa la depuración de hatalk, lo que permite ver los mensajes de depuración relevantes.
- show wifi ssid: Muestra la configuración actual del SSID, incluida la configuración del VLAN.
Buenas prácticas y recomendaciones
Se recomienda verificar regularmente la configuración de los SSIDs en su red para asegurar que se cumplen las mejores prácticas de seguridad y configuración. Además, siempre que se realicen cambios, documente las configuraciones y mantenga registros de las pruebas de conectividad.
Notas adicionales
Si el problema persiste después de realizar los cambios, considere reiniciar los dispositivos involucrados (FortiGate y FortiAP) y revisar las configuraciones de DHCP en general. Además, asegúrese de que no haya conflictos de IP en la red que puedan estar afectando la asignación de direcciones.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!