Cómo solucionar la eliminación automática de selectores de fase 2 de IPsec al cambiar a modo de transporte en Fortinet

Este artículo aborda el comportamiento de los túneles IPsec en modo de transporte, una configuración que puede ser crucial para garantizar la seguridad de la comunicación entre dispositivos de red. Comprender cómo funciona esta característica y su configuración es fundamental, ya que errores en la sincronización o en la configuración pueden llevar a problemas de conectividad y seguridad. Aquí, proporcionaremos un diagnóstico detallado y recomendaciones para resolver posibles problemas relacionados con el modo de transporte en los túneles IPsec de FortiGate.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

El problema central se encuentra en la configuración predeterminada de los túneles IPsec en modo de transporte. Esta configuración requiere que se especifiquen las subredes locales y remotas que deben permitirse a través del túnel. Sin la mención de estas direcciones o objetos, la configuración no se podrá llevar a cabo correctamente, lo que podría resultar en problemas de conectividad.

Alcance

Este artículo es aplicable a dispositivos FortiGate que utilicen la funcionalidad de túneles IPsec.

Diagnóstico paso a paso

En algunos escenarios, es posible utilizar 0.0.0.0/0 como selectores abiertos. Al cambiar el modo de encapsulación de modo predeterminado (modo túnel) a modo de transporte, los selectores se eliminan, lo que puede causar inconvenientes si no se comprende el impacto de este cambio. Para investigar, utilice el siguiente comando en la CLI:

sh ful
config vpn ipsec phase2-interface
 edit "Test"
 set phase1name "Test"
 set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
 set pfs enable
 set ipv4-df disable
 set dhgrp 14 5
 set replay enable
 set keepalive disable
 set auto-negotiate disable
 set inbound-dscp-copy phase1
 set auto-discovery-sender phase1
 set auto-discovery-forwarder phase1
 set keylife-type seconds
 set encapsulation tunnel-mode
 set comments "VPN: Test (Created by VPN wizard)"
 set diffserv disable
 set protocol 0
 set src-addr-type name
 set src-port 0
 set dst-addr-type name
 set dst-port 0
 set keylifeseconds 43200
 set src-name "Test_local"
 set dst-name "Test_remote"
 next
end

Después de cambiar el modo a transport-mode:

set encapsulation transport-mode
end

Solución recomendada

Para revertir el túnel IPsec al modo de encapsulación predeterminado, es necesario definir las direcciones src-name y dst-name en la CLI. En algunas versiones de IOS, si estas no se especifican, por defecto se cambiarán los selectores a 0.0.0.0/0.

(Test) # set encapsulation tunnel-mode
(Test) # end

Una vez cambiado el modo, los selectores de fase 2 volverán a ser visibles. Dado que src-name y dst-name no están especificados, se tomarán selectores predeterminados.

Comandos CLI utilizados

Los comandos CLI que se deben conocer para resolver este tipo de problemas incluyen:

show full – Muestra la configuración completa de la interfaz de fase 2.
config vpn ipsec phase2-interface – Accede a la configuración de la fase 2 de IPsec.
set encapsulation transport-mode – Cambia el modo de encapsulación a transporte.

Buenas prácticas y recomendaciones

Utilizar el modo de transporte solo cuando el tráfico de dos endpoints de VPN necesite ser protegido, como conectar FortiAnalyzer a la interfaz de FortiGate.
Evitar el uso del protocolo AH debido a fallos de seguridad conocidos.
Tener en cuenta que el modo de transporte tiene un MTU más grande y menos sobrecarga en comparación con el modo túnel.

Notas adicionales

Es importante recalcar que el modo de transporte encapsula el tráfico solo entre las direcciones IP de los endpoints. A diferencia del modo túnel, en el cual el tráfico de subredes locales y remotas detrás de los endpoints se encapsula completamente. Comprender esta diferencia es fundamental para configurar correctamente las VPN y mantener la integridad y seguridad de la red.

Aspectos importantes:

El modo de transporte tiene un MTU más grande que el modo túnel.
El modo de transporte tiene menos sobrecarga que el modo túnel.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo solucionar el error de negociación de fase 1 de IPsec y configurar alertas por email en Fortinet
En este artículo, abordaremos el problema de la configuración de notificaciones por correo electrónico para errores en la negociación de IPsec fase 1 en dispositivos FortiGate. Este problema es importante porque los errores en la negociación pueden indicar intentos no autorizados de establecer una conexión VPN. Aprenderá cómo habilitar o deshabilitar las alertas por correo Leer
Cómo solucionar problemas al crear una VM de FortiGate en MacOS
En este artículo, abordamos el proceso de implementación de FortiGate en un sistema MacOS, utilizando imágenes de máquina virtual ARM. Este tema es importante porque garantizar un despliegue correcto de FortiGate asegura una protección eficaz de la red y optimiza el rendimiento. A continuación, se detallarán los pasos necesarios para llevar a cabo esta configuración Leer
Cómo solucionar la configuración de informes locales programados por correo electrónico en Fortinet
En este artículo se abordará un problema común en la configuración de correos electrónicos programados para informes locales en dispositivos FortiGate. Esta funcionalidad es crucial para mantener informados a los administradores sobre el estado de la red y la seguridad. A través de los pasos y comandos descritos, podrá resolver posibles inconvenientes relacionados con la Leer
Cómo resolver los cambios de tipo de servidor en la lista de servidores de gestión central en Fortinet v7.4.8 y v7.6.0
En este artículo técnico, abordamos un cambio importante en la configuración de gestión central de FortiGate, específicamente en la nomenclatura de los tipos de servidores. Comprender esta modificación es crucial para mantener una configuración óptima y evitar errores durante el proceso de sincronización. A continuación, se explicará cómo afecta esta actualización y se detallarán los Leer
Cómo solucionar la falta de subred en la tabla de enrutamiento OSPF de Fortinet
En este artículo, abordaremos un problema común en la configuración de FortiGate relacionado con la falta de subredes en la tabla de enrutamiento OSPF. Este problema es crítico ya que afecta la conectividad y la comunicación entre diferentes subredes. Al seguir las pautas y soluciones que se presentan aquí, podrá identificar y resolver este inconveniente Leer