Cómo solucionar problemas de conexión de dispositivos detrás de un cortafuegos de segmentación interna a través de Internet o túneles IPsec.

Este artículo aborda un problema común que pueden enfrentar los dispositivos detrás de un cortafuegos de segmentación interna, donde estos no logran comunicarse con dispositivos de destino a través de Internet o VPN IPsec. Comprender esta situación es fundamental, ya que puede afectar el rendimiento y la seguridad de la red. A lo largo de este artículo, se ofrecerá un análisis detallado del problema, un diagnóstico paso a paso y la solución recomendada.

Descripción del problema

Un dispositivo detrás del cortafuegos de segmentación interna puede tener dificultades para alcanzar el dispositivo de destino debido a una mala configuración del NAT en la política del cortafuegos o porque la fase II del túnel IPsec bloquea el tráfico debido a que las subredes de origen no están permitidas a través de la VPN.

Alcance

FortiGate.

Diagnóstico paso a paso

Se pueden utilizar comandos de ping en el símbolo del sistema de Microsoft Windows junto con un sniffer en el FortiGate para garantizar que el tráfico llegue a la CLI del FortiGate a través de SSH o GUI y ejecutar los siguientes comandos:

diagnose sniffer packet any ‘host w.x.y.z and icmp’ 4 <—– w.x.y.z es la dirección IP de origen.

• Abre el símbolo del sistema de Windows y realiza un ping al dispositivo de destino:

ping w.x.y.z <– w.x.y.z es la dirección IP de destino

• Verifica la salida del sniffer. Si el paquete no llegó al FortiGate, asegúrate de que la puerta de enlace predeterminada esté configurada en el PC.

ipconfig /all

2. Ejecuta el mismo comando sniffer en el FortiGate upstream y confirma si hay tráfico bidireccional. Si no, usa las herramientas de depuración para obtener más detalles.

diagnose debug reset

diagnose debug flow filter clear

diagnose debug console timestamp enable

diagnose debug flow show function-name enable

diagnose debug flow show iprope enable

diagnose debug flow filter addr w.x.y.z

diagnose debug flow trace start 99

diagnose debug enable

Repite la prueba de ping desde el PC y revisa la salida de depuración. En algunos casos, el problema fue provocado por un cortafuegos de software en el dispositivo de destino. Una manera de confirmar esto es ejecutar comandos de sniffer y depuración en el FortiGate de destino.

Además, se puede utilizar Wireshark para identificar si el paquete llegó al dispositivo de destino y si está respondiendo.

Solución recomendada

Es imprescindible verificar la configuración de NAT en la política del cortafuegos y asegurarse de que las subredes de origen estén permitidas a través de la VPN IPsec. Asegurarse de que no haya cortafuegos de software en el dispositivo de destino es igualmente crítico para garantizar la conectividad.

Comandos CLI utilizados

A continuación, se presentan los comandos CLI que fueron utilizados en el proceso de diagnóstico:

• diagnose sniffer packet any 'host w.x.y.z and icmp' 4
• ipconfig /all
• diagnose debug reset
• diagnose debug flow filter clear
• diagnose debug console timestamp enable
• diagnose debug flow show function-name enable
• diagnose debug flow show iprope enable
• diagnose debug flow filter addr w.x.y.z
• diagnose debug flow trace start 99
• diagnose debug enable

Buenas prácticas y recomendaciones

Cuando se enfrenta a problemas de conectividad, es esencial seguir un enfoque sistemático. Asegúrate de que las configuraciones de red y de NAT sean correctas y revisa cualquier cortafuegos de software que pueda interferir en el tráfico. Realiza siempre pruebas de ping desde diferentes puntos de la red para confirmar la dirección y la naturaleza del problema.

Notas adicionales

No olvides desactivar el sniffer y la depuración una vez que concluyas la solución de problemas:

• Desactiva el flujo de depuración usando: diagnose debug reset.
• Desactiva el sniffer presionando Ctrl+C en el teclado o cerrando la ventana de la CLI.