Cómo solucionar el problema de que el selector de Fase 2 no aparece en el monitor de IPSec en Fortinet

Este artículo aborda un problema común en los túneles IPSec de FortiGate: la ausencia de uno de los selectores de Fase 2 en el monitor IPSec. Esta situación puede afectar la conectividad y funcionalidad del túnel, lo que resulta crucial para mantener la integridad y seguridad de las comunicaciones. A continuación, se detallarán los pasos para diagnosticar y resolver este inconveniente.

Descripción del problema

En algunos casos, un túnel IPSec puede incluir más de un selector de Fase 2. Si se observa que un selector no aparece en el monitor IPSec, esto puede indicar un problema en la configuración o en la sincronización de los selectores de Fase 2.

Alcance

Este problema es relevante para dispositivos FortiGate que implementan túneles IPSec, especialmente en configuraciones que requieren múltiples selectores de Fase 2.

Diagnóstico paso a paso

Para comprobar si el selector de Fase 2 está presente y operativo, siga estos pasos:

• Acceda al monitor IPSec para verificar los selectores de Fase 2 asociados a su túnel.
• Observe si algún selector de Fase 2 está ausente, tal como se muestra en la captura de pantalla siguiente:

En la captura de pantalla se puede observar que hay 3 selectores de Fase 2 en el túnel IPSec.

A continuación, desde la CLI, verifique la conexión de Fase 1 y observe la ausencia del selector de Fase 2:

diagnose vpn tunnel list
list all ipsec tunnel in vd 0
——————————————————
name=IPsecTunnel ver=1 serial=1 10.9.11.193:0->11.11.11.11:0 nexthop=10.9.15.254 tun_id=11.11.11.11 tun_id6=::11.11.11.11 dst_mtu=0 dpd-link=off weight=1
bound_if=3 real_if=3 lgwy=static/1 tun=intf mode=auto/1 encap=none/552 options[0228]=npu frag-rfc run_state=0 role=primary accept_traffic=1 overlay_id=0

proxyid_num=2 child_num=0 refcnt=4 ilast=44775664 olast=44775664 ad=/0
stat: rxp=0 txp=0 rxb=0 txb=0
dpd: mode=on-demand on=0 idle=20000ms retry=3 count=0 seqno=0
natt: mode=none draft=0 interval=0 remote_port=0
fec: egress=0 ingress=0
proxyid=IPsecTunnel proto=0 sa=0 ref=1 serial=1
src: 0:192.168.1.0-192.168.1.255:0
dst: 0:192.168.100.0-192.168.100.255:0
proxyid=Secondsubnet proto=0 sa=0 ref=1 serial=2
src: 0:192.168.2.0-192.168.2.255:0
dst: 0:192.168.100.0-192.168.100.255:0
run_tally=0

Cuando se consulta bajo las referencias de este túnel IPSec, el selector de Fase 2 en cuestión aparece, aunque está ligeramente desplazado hacia el lado derecho:

Si este es el caso, entonces el selector de Fase 2 es repetitivo. En el ejemplo anterior, el primer y el tercer selector de Fase 2 tienen la misma subred remota y local.

Solución recomendada

Para resolver el problema, se recomienda revisar la configuración de los selectores de Fase 2 y asegurarse de que no haya duplicados. Debe eliminar o modificar los selectores repetidos para que el monitor IPSec pueda mostrar adecuadamente todos los selectores en uso.

Comandos CLI utilizados

Los siguientes comandos pueden ser útiles para verificar la configuración de los túneles IPSec:

• diagnose vpn tunnel list: Lista todos los túneles IPSec en el dispositivo, permitiendo verificar la conectividad y el estado de los selectores de Fase 2.

Buenas prácticas y recomendaciones

Para evitar problemas similares en el futuro, se recomienda seguir estas mejores prácticas:

• Documente todas las configuraciones de túneles IPSec y sus selectores de Fase 2 para facilitar la resolución de problemas.
• Realice auditorías regulares de la configuración de IPSec para detectar duplicados o configuraciones incorrectas.
• Use herramientas de monitoreo de red para recibir alertas sobre problemas de conectividad relacionados con túneles IPSec.

Notas adicionales

Recuerde que los selectores de Fase 2 deben coincidir en ambas extremidades del túnel. En caso de modificar alguno, realice las configuraciones pertinentes en ambos dispositivos para asegurar la conectividad.