En este artículo, abordaremos un problema común relacionado con la pérdida repentina de conectividad en las configuraciones de VPN IPsec en FortiGate, a pesar de que ambas fases, la 1 y la 2, estén operativas. Este problema es significativo ya que puede afectar la continuidad operacional de las organizaciones. Propondremos soluciones efectivas para resolver este inconveniente, mejorando así la estabilidad de la conexión VPN.
Índice
Descripción del problema
Este artículo describe la causa de la pérdida súbita de conectividad incluso cuando ambas fases (fase 1 y fase 2) están activas. Esto puede deberse a un desajuste en la máscara de subred entre el Sitio Local y el Sitio Remoto. Este problema ocurre cuando el sitio con la máscara de subred menos específica inicia la negociación del túnel.
Alcance
FortiGate v7.0.11 y superiores, v7.2.1 y superiores.
Diagnóstico paso a paso
Para identificar la causa del problema, verifique que la red local y la red remota en ambos sitios tengan el mismo tamaño de red. A continuación se ofrece un ejemplo del problema:
- Sitio A:
Red Local: 10.100.0.0 /24
Red Remota: 10.221.0.0 /24
- Sitio B:
Red Local: 10.221.0.0 /24
Red Remota: 10.100.0.0 /16
En este ejemplo, la Red Remota configurada en el Sitio B es más grande que la Red Local configurada en el Sitio A. Solo el Sitio A puede iniciar el túnel hacia el Sitio B. Si el Sitio B intenta hacer lo mismo, será rechazado por el Sitio A debido al mayor tamaño de la red del Sitio B. La razón por la que solo funciona para el Sitio A es que un tamaño de red más pequeño se considera más seguro y no será rechazado por el Sitio B.
En las configuraciones de VPN IPsec, aunque los selectores de fase 2 no tienen que coincidir exactamente en ambos extremos del túnel, es esencial que estén configurados para acomodar el flujo de tráfico previsto. Esta flexibilidad permite a los administradores de red definir subredes diferentes en cada endpoint, permitiendo que tipos de tráfico específicos o segmentos crucen el túnel VPN de manera eficiente, gestionando así el ancho de banda y la seguridad en función de los requisitos organizacionales.
Solución recomendada
La solución a este problema consiste en asegurarse de que la red local y la red remota en ambos sitios tengan el mismo tamaño de red, lo que permitirá una negociación adecuada y una conectividad estable entre los sitios.
Comandos CLI utilizados
Para facilitar la resolución de problemas y la configuración de la red, se pueden utilizar los siguientes comandos en la CLI de FortiGate:
config vpn ipsec phase1-interface editset remote-gw next end
Buenas prácticas y recomendaciones
Es recomendable que los administradores de red realicen las siguientes buenas prácticas para prevenir problemas similares en el futuro:
- Verificar las máscaras de subred en ambos extremos de la conexión VPN.
- Documentar las configuraciones de red para facilitar el diagnóstico.
- Realizar pruebas de conectividad regularmente para detectar problemas proactivamente.
Notas adicionales
Recuerde que la correcta configuración de las VPN puede variar según el entorno y los requisitos específicos de seguridad de cada organización. Se recomienda revisar la documentación oficial de Fortinet para obtener información detallada sobre configuraciones avanzadas y mejores prácticas.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!