Cómo solucionar la pérdida repentina de conectividad en VPN IPSec entre sitios

En este artículo, abordaremos un problema común relacionado con la pérdida repentina de conectividad en las configuraciones de VPN IPsec en FortiGate, a pesar de que ambas fases, la 1 y la 2, estén operativas. Este problema es significativo ya que puede afectar la continuidad operacional de las organizaciones. Propondremos soluciones efectivas para resolver este inconveniente, mejorando así la estabilidad de la conexión VPN.

Descripción del problema

Este artículo describe la causa de la pérdida súbita de conectividad incluso cuando ambas fases (fase 1 y fase 2) están activas. Esto puede deberse a un desajuste en la máscara de subred entre el Sitio Local y el Sitio Remoto. Este problema ocurre cuando el sitio con la máscara de subred menos específica inicia la negociación del túnel.

Alcance

FortiGate v7.0.11 y superiores, v7.2.1 y superiores.

Diagnóstico paso a paso

Para identificar la causa del problema, verifique que la red local y la red remota en ambos sitios tengan el mismo tamaño de red. A continuación se ofrece un ejemplo del problema:

  • Sitio A:

Red Local: 10.100.0.0 /24

Red Remota: 10.221.0.0 /24

  • Sitio B:

Red Local: 10.221.0.0 /24

Red Remota: 10.100.0.0 /16

En este ejemplo, la Red Remota configurada en el Sitio B es más grande que la Red Local configurada en el Sitio A. Solo el Sitio A puede iniciar el túnel hacia el Sitio B. Si el Sitio B intenta hacer lo mismo, será rechazado por el Sitio A debido al mayor tamaño de la red del Sitio B. La razón por la que solo funciona para el Sitio A es que un tamaño de red más pequeño se considera más seguro y no será rechazado por el Sitio B.

Artículos relacionados  Cómo solucionar problemas de aprovisionamiento de certificados ACME en Fortinet

En las configuraciones de VPN IPsec, aunque los selectores de fase 2 no tienen que coincidir exactamente en ambos extremos del túnel, es esencial que estén configurados para acomodar el flujo de tráfico previsto. Esta flexibilidad permite a los administradores de red definir subredes diferentes en cada endpoint, permitiendo que tipos de tráfico específicos o segmentos crucen el túnel VPN de manera eficiente, gestionando así el ancho de banda y la seguridad en función de los requisitos organizacionales.

Solución recomendada

La solución a este problema consiste en asegurarse de que la red local y la red remota en ambos sitios tengan el mismo tamaño de red, lo que permitirá una negociación adecuada y una conectividad estable entre los sitios.

Comandos CLI utilizados

Para facilitar la resolución de problemas y la configuración de la red, se pueden utilizar los siguientes comandos en la CLI de FortiGate:

config vpn ipsec phase1-interface
edit 
set remote-gw 
next
end
                

Buenas prácticas y recomendaciones

Es recomendable que los administradores de red realicen las siguientes buenas prácticas para prevenir problemas similares en el futuro:

  • Verificar las máscaras de subred en ambos extremos de la conexión VPN.
  • Documentar las configuraciones de red para facilitar el diagnóstico.
  • Realizar pruebas de conectividad regularmente para detectar problemas proactivamente.

Notas adicionales

Recuerde que la correcta configuración de las VPN puede variar según el entorno y los requisitos específicos de seguridad de cada organización. Se recomienda revisar la documentación oficial de Fortinet para obtener información detallada sobre configuraciones avanzadas y mejores prácticas.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *