Problema con el flujo de tráfico a través de IPSEC o Policy routing

Hola amig@s ​🙌, para los que nos os acordéis de mí soy César Sánchez y me apetecía escribir sobre: ⏬
Problema con el flujo de tráfico a través de IPSEC o Policy routing

Muchas veces se da una situación en la que el túnel IPSEC es estable y el enrutamiento/política también está correctamente configurado, pero aún así el tráfico no puede llegar al destino.

Los paquetes encriptados se están incrementando y según el sniffer el paquete también está dejando la interfaz de salida correctamente pero el otro lado no ha recibido el paquete.

El mismo problema se reporta en el otro extremo también.

Especialmente para una conexión TCP, hay un montón de retransmisiones de sincronización TCP en Wireshark ya que el handshake nunca se completó debido a esto.

El marcado DSCP/TOS personalizado de la máquina de origen en un paquete de datos puede causar un marcado erróneo en el extremo del receptor.

Para superar esta situación, vale la pena administrar los siguientes comandos en la política ipv4 de entrada y salida en ambos extremos del túnel.

# config firewall policy
editar <id>
set vlan-cos-fwd 0
set diffserv-forward enable
set diffservcode-forward 000000
set diffservcode-rev 000000
end

En el caso del enrutamiento de políticas, este desajuste también puede ocurrir si el ISP asigna una cola diferente a cada valor de TOS, y luego en base a la configuración se permitirá/denegará/pondrá en la cola de baja prioridad.

En este caso, vale la pena comprobar con el ISP cuál es la configuración del TOS en su extremo.

​✅ Para terminar, felicitarte por haber leído hasta el final de esta publicación. Esperamos que haya servido para solucionar tus problemas y que recibamos pronto otra visita tuya.
Si no consigues dar con la solución a tu duda utiliza el buscador o pregúntanos en los comentarios.
¡Hasta luego!

Artículos relacionados  Restablecer una contraseña de administrador perdida en una unidad fortigate (recuperación de contraseña)

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *