En este artículo, abordaremos un problema común que afecta a la conectividad en redes que utilizan túneles GRE (Generic Routing Encapsulation) sobre IPsec. Es fundamental comprender cómo monitorear el estado de estos túneles para mantener la continuidad del servicio y evitar interrupciones en la comunicación. A través de esta guía, aprenderás a configurar y gestionar la funcionalidad de keepalive para asegurar que el túnel GRE esté siempre activo y operativo.
Índice
Descripción del problema
El principal desafío al utilizar túneles GRE es que, por defecto, la interfaz del túnel se muestra como ‘en funcionamiento’, incluso si el túnel remoto está inactivo. Esto puede causar confusión al momento de la gestión de rutas, ya que la ruta seguirá utilizando el túnel considerado ‘activado’ cuando en realidad no está operativo.
Alcance
Esta solución está diseñada para dispositivos FortiGate que utilizan túneles GRE en combinación con IPsec. La configuración y supervisión adecuadas son esenciales para garantizar la conectividad robusta y la operación eficiente de las redes.
Diagnóstico paso a paso
Para diagnosticar y resolver el problema, primero es necesario verificar la configuración de keepalive en la interfaz del túnel GRE. Por defecto, esta opción está desactivada (valor de 0), lo que significa que no se llevará a cabo un monitoreo activo de la conexión. Comenzaremos por configurar un intervalo de keepalive adecuado, seguido de la verificación del estado del túnel.
Solución recomendada
Se recomienda habilitar y configurar la funcionalidad de keepalive para que el FortiGate pueda monitorear de manera eficaz el túnel GRE. Configurar esto permite que el dispositivo elimine las rutas a través del túnel de la tabla de rutas cuando detecta que el túnel ha fallado usando intervalos y temporizadores de fallos predefinidos.
Para configurar el monitor de enlace (link monitor):
Monitoreo de túneles GRE
1. Ajusta el ‘keepalive-interval’ a tu preferencia.
2. Ten en cuenta que si no se establece un valor para ‘keepalive-failtimes’, FortiGate utilizará el valor por defecto de ’10’.
Comandos CLI utilizados
Para habilitar y configurar keepalive, utiliza los siguientes comandos en la CLI (Interfaz de Línea de Comandos):
config system gre-tunnel
edit <tunnel-name>
set keepalive-interval <intervalo-en-segundos>
set keepalive-failtimes <número-de-fallos>
next
end
Después de configurar el intervalo deseado, se podrá iniciar el monitoreo del túnel ejecutando:
diagnose sys gre keepalive
La salida mostrará el estado del keepalive, indicando si es ‘OK’ o ‘no OK’.
Buenas prácticas y recomendaciones
Al implementar el monitoreo de túneles GRE, considera lo siguiente:
- Asegúrate de que la configuración de keepalive sea coherente en ambos extremos del túnel (local y remoto).
- Realiza pruebas periódicas para verificar que las configuraciones funcionan como se espera.
- Monitorea las métricas de rendimiento de la red para identificar cualquier problema potencial antes de que afecte gravemente los servicios.
Notas adicionales
Cuando el keepalive falla de acuerdo a los temporizadores de ‘intervalo’ y ‘fallo’, las rutas a través del túnel GRE serán removidas de la tabla de rutas, lo que significa que el tráfico no será dirigido a través del túnel inactivo.
Ejemplo de salida de diagnóstico:
- Keepalive OK:
- Keepalive no OK:
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!