Omada Pro Logo official website Vigi Logo official website
Contact Us
Brasil / Português

O que devo fazer se minha conexão VPN IPsec falhar?

Knowledgebase
Troubleshooting Guide
VPN
BookmarksCopiar link
07-08-2024
18774

Conteúdo

Objetivo

Requisitos

Introdução

Etapas de Solução de Problemas

Modo Site to Site (Site a Site)

Modo Client to Site (Cliente a Site)

Conclusão

 

Objetivo

Este artigo fornece etapas detalhadas de solução de problemas para problemas de conexão VPN IPsec.

Siga as etapas de solução de problemas com base no seu modo de VPN IPsec.

Requisitos

  • Gateway Omada / Omada Pro / Festa

Introdução

O Internet Protocol Security (IPsec) é um conjunto de protocolos e serviços que fornecem segurança para redes IP. É uma tecnologia de rede privada virtual (VPN) amplamente utilizada.

A VPN IPsec exige que os usuários remotos instalem um cliente VPN dedicado ou implantem um gateway VPN no site. O acesso do usuário é verificado pelo cliente ou gateway em termos de regras de autenticação de usuário, regras de política de segurança ou filtragem de segurança de conteúdo.

Etapas de Solução de Problemas

Modo Site to Site (Site a Site)

Passo 1. Certifique-se de que os endereços IP WAN de ambos os Gateways dos Sites consigam pingar um ao outro.

Passo 2. Faça login no Controller, vá em Settings > Network Security > Attack Defense, e desabilite Block ping from WAN.

Passo 3. No PC conectado ao Gateway 1, pingue o IP WAN do Gateway 2.

Passo 4. Verifique se o Gateway 1 possui um IP público e se o Gateway 2 está atrás de um dispositivo NAT.

Preencha o Remote Gateway nas configurações IPsec do Gateway 1 com 0.0.0.0 ou com o IP público do dispositivo NAT à frente do Gateway 2. Defina o Negotiation Mode do Gateway 1 e Gateway 2 para os modos responder e initiator, respectivamente, e use NAME como identidade.

Nota: O modo NAME em Local ID Type e Remote ID Type pode ter nomes diferentes em dispositivos de outros fabricantes, como FQDN.

Passo 5. Verifique se tanto o Gateway 1 quanto o Gateway 2 estão atrás de dispositivos NAT.

Configure regras de encaminhamento NAT (UDP 500, 4500) para o dispositivo NAT à frente do Gateway 1. As outras configurações são as mesmas da etapa anterior.

Passo 6. Verifique se as configurações básicas dos dois Gateways coincidem: Remote Gateway, Local Subnet, Remote Subnet, Pre-shared Key e interface WAN.

Passo 7. Verifique se as configurações de Fase 1 (Phase-1) dos dois Gateways coincidem: IKE Version, Proposal, Exchange Mode, Local ID e Remote ID. Se houver um dispositivo NAT entre os dois Gateways, use o modo NAME como identidade.

Passo 8. Verifique se as configurações de Fase 2 (Phase-2) dos dois Gateways coincidem: Encapsulation Mode, Proposal e Perfect Forward Secrecy (PFS). Por padrão, o protocolo ESP é usado porque o AH não consegue passar pelo NAT.

Passo 9. Verifique se o Auto IPsec está sendo usado. O Auto IPsec pode não estabelecer uma conexão no modo Controller. Recomenda-se usar o Manual IPsec.

Passo 10. Confirme se o provedor de internet (ISP) permite a passagem de tráfego relacionado ao IPsec (UDP 500, 4500).

Passo 11. Verifique se ambos os Gateways possuem regras de ACL que bloqueiam o tráfego relacionado ao IPsec.

Modo Client to Site (Cliente a Site)

Passo 1. Certifique-se de que o dispositivo cliente consiga pingar o IP WAN do Gateway.

No Controller web, vá em Settings > Network Security > Attack Defense, desabilite Block ping from WAN, e então pingue o IP WAN do Gateway no dispositivo cliente.

Passo 2. Faça login no Controller, vá em Settings > Network Security > Attack Defense, e desabilite Block ping from WAN.

Passo 3. Confirme o modelo do dispositivo cliente.

  • Se o dispositivo cliente estiver usando o sistema operacional iOS, pode haver dispositivos NAT à frente do Gateway. Tanto o Local ID Type quanto o Remote ID Type devem ser definidos para o modo NAME.
  • Se o dispositivo cliente for um dispositivo Samsung, pode haver dispositivos NAT à frente do Gateway. Tanto o Local ID Type quanto o Remote ID Type devem permanecer no modo padrão IP Address.
  • Se o dispositivo cliente for um dispositivo Android (exceto dispositivos Samsung), não deve haver dispositivos NAT à frente do Gateway. Defina o Local ID Type para o modo IP Address e o Remote ID Type para o modo NAME.

Passo 4. Confirme a configuração do seu Gateway.

  • Configuração básica: Preencha o Remote Host com 0.0.0.0 ou com o IP público do front-end do dispositivo cliente.
  • Configuração de Fase 1: Garanta que a versão IKE seja consistente com a do cliente. O Proposal pode ser definido como sha256-aes256-dh14. Selecione Responder Mode para o Negotiation Mode. Configure o Local ID Type e o Remote ID Type de acordo com o passo 2.
  • Configuração de Fase 2: O Proposal pode ser definido como sha256-aes256-dh14.

Passo 5. Verifique se o proposal coincide.

Habilite o espelhamento de porta (port mirroring) para captura de pacotes e capture os pacotes de tráfego da interface WAN associada à entrada IPsec.

 

Use o Wireshark para filtrar os pacotes ISAKMP. Se o primeiro pacote ISAKMP respondido pelo Gateway contiver o payload: Notify (41) - NOPROPOSALCHOSEN, significa que os proposals não coincidem, como mostrado na figura abaixo.

 

O primeiro pacote ISAKMP iniciado pelo cliente contém todos os security proposals. Você pode configurar o proposal do Gateway para incluir as opções especificadas no pacote.

Conclusão

Se o problema da VPN IPsec ainda não for resolvido com as etapas acima, entre em contato com a TP-Link via hotline ou e-mail para suporte.

Para saber mais detalhes de cada função e configuração, visite o Centro de Downloads para baixar o manual do seu produto.

Por favor, avalie este documento

Documentos relacionados

Como configurar túneis VPN IPsec manuais site-to-site no Omada Gateway por meio do Omada Controller usando o aplicativo Omada.

Configuration Guide
11-20-2025
10711

O que devo fazer quando a adoção do Omada Gateway falha?

Troubleshooting Guide
Controladora
06-27-2024
35049

Solução de problemas de falha de conexão OpenVPN no gateway

Troubleshooting Guide
VPN
10-30-2024
22044

Como configurar túneis VPN IPsec automáticos (L2L) no Omada Gateway em modo controlador

Configuration Guide
Gateway
06-27-2022
18748

Como configurar túneis VPN IPsec manuais site a site no Omada Gateway no modo controlador

Configuration Guide
Gateway
06-27-2022
28592

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Your Privacy Choices

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Cookies básicos

Esses cookies são necessários para o funcionamento do site e não podem ser desativados em seus sistemas.

TP-Link

SESSION, JSESSIONID, accepted_local_switcher, tp_privacy_banner, tp_privacy_base, tp_privacy_marketing, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Zendesk

OptanonConsent, __cf_bm, __cfruid, _cfuvid, _help_center_session, _pendo___sg__.<container-id>, _pendo_meta.<container-id>, _pendo_visitorId.<container-id>, _zendesk_authenticated, _zendesk_cookie, _zendesk_session, _zendesk_shared_session, ajs_anonymous_id, cf_clearance

Cookies de Marketing e Análise

Os cookies de análise nos permitem analisar suas atividades em nosso site para melhorar e adaptar a funcionalidade do mesmo.

Os cookies de marketing podem ser definidos por meio de nosso site por nossos parceiros publicitários para criar um perfil de seus interesses e exibir anúncios relevantes em outros sites.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au