Este artículo aborda un problema técnico relacionado con la terminación de una VPN IPsec en una dirección VIP (cuando se utiliza DNAT) en dispositivos FortiGate. Este asunto es relevante porque, si no se soluciona adecuadamente, puede impedir el establecimiento exitoso de la conexión VPN, afectando la comunicación segura en las redes. A continuación, se ofrecerá una descripción detallada del problema, un diagnóstico paso a paso y las soluciones recomendadas para resolver esta limitación.
Índice
Descripción del problema
El artículo explica las limitaciones de culminar la VPN IPsec en la dirección VIP. En este escenario, se observa que el túnel IPsec no se puede establecer debido a la arquitectura de los dispositivos FortiGate y la forma en que procesan los paquetes.
Alcance
Este problema afecta a dispositivos FortiGate, particularmente en escenarios donde se utiliza DNAT para la terminación de VPN.
Diagnóstico paso a paso
En el siguiente escenario se describe el proceso:
En el diagrama se observa que dos FortiGates están estableciendo un túnel VPN S2S IPsec. FortiGate2 está configurado de tal manera que el túnel IPsec termina en la dirección VIP (DNAT).
En tal escenario, un túnel IPsec nunca se establece. FortiGate2 descarta el tráfico VPN con el siguiente comando de depuración de IPsec: ‘invalid SPI XXXXX, IPsec SA just negotiated‘.
Este escenario, tal como se describe, no es compatible debido a cómo funcionan la arquitectura de FortiGate y el procesamiento de paquetes.
Solución recomendada
Explicación:
El gancho de pre-enrutamiento ejecuta la coincidencia de la SA IPsec entrante antes de que ocurra el DNAT. Dado que la dirección IP de destino no ha sido traducida, el paquete ESP no coincide con la IP asociada a la SA, lo que provoca que el paquete sea descartado. La coincidencia de la SA ha fallado.
Las alternativas posibles si se requiere DNAT incluyen:
- Configuración de una dirección IP secundaria en la interfaz subyacente para la IPsec.
- Uso de un router NAT separado delante del FortiGate.
- Uso de dos VDOM diferentes: uno para realizar NAT y otro para terminar el túnel IPsec.
Comandos CLI utilizados
Es importante utilizar los comandos adecuados para la depuración y la configuración del túnel IPsec. Algunos comandos relevantes son:
diagnose vpn ike gateway list
diagnose vpn ipsec tunnel list
Estos comandos permiten verificar el estado de las VPN y ayudar en el diagnóstico de problemas de conectividad.
Buenas prácticas y recomendaciones
Para asegurar una correcta configuración y funcionamiento de las VPN IPsec, se recomiendan las siguientes prácticas:
- Asegúrese de que las direcciones IP y los parámetros de configuración sean correctos.
- Revise los registros de depuración regularmente para identificar posibles fallos en la configuración.
- Considere el uso de una configuración de redundancia para mejorar la disponibilidad y la tolerancia a fallos.
Notas adicionales
Es crucial entender que el uso de DNAT puede complicar la terminación de las VPN IPsec y que algunas configuraciones pueden no ser apropiadas dependiendo de la topología de red utilizada. Asegúrese de consultar la documentación oficial de Fortinet para obtener más detalles y recomendaciones específicas según su caso de uso.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!