¿Qué debo hacer si falla mi conexión VPN IPsec?
Contenido
Pasos para solucionar problemas
Este artículo proporciona pasos detallados para la solución de problemas de conexión VPN IPsec.
Siga los pasos de solución de problemas según su modo VPN IPsec.
En esta sección se presentan las condiciones requeridas, como el modelo del dispositivo, el tipo de controlador, la versión del software, etc. Cada línea utiliza una viñeta para representar una condición.
- Condición 1
- Condición 2
El protocolo de seguridad de Internet (IPsec) es un conjunto de protocolos y servicios que brindan seguridad a las redes IP. Es una tecnología de red privada virtual (VPN) ampliamente utilizada.
IPsec VPN requiere que los usuarios remotos instalen un cliente VPN dedicado o implementen una puerta de enlace VPN en el sitio. El cliente o la puerta de enlace verifica el acceso de los usuarios en términos de reglas de autenticación de usuarios, reglas de políticas de seguridad o filtrado de seguridad de contenido.
Pasos para solucionar problemas
Paso 1. Asegúrese de que las direcciones IP WAN de ambos Site Gateways puedan hacer ping entre sí.
Paso 2. Inicie sesión en el controlador, vaya a Configuración > Seguridad de red > Defensa contra ataques , deshabilite Bloquear ping desde WAN .
Paso 3. En la PC conectada a la Puerta de enlace 1, haga ping a la IP WAN de la Puerta de enlace 2.
Paso 4. Verifique si la Puerta de enlace 1 tiene una IP pública y si la Puerta de enlace 2 está detrás de un dispositivo NAT.
Complete la configuración IPsec de la puerta de enlace remota de la puerta de enlace 1 con 0.0.0.0 o la IP pública del dispositivo NAT frente a la puerta de enlace 2. Configure el modo de negociación de la puerta de enlace 1 y la puerta de enlace 2 en los modos de respondedor e iniciador respectivamente, y use NOMBRE como la identidad.
Nota: El modo NOMBRE en el tipo de ID local y el tipo de ID remota puede tener nombres diferentes en dispositivos de distintos proveedores, como FQDN.
Paso 5. Verifique si tanto el Gateway 1 como el Gateway 2 están detrás de dispositivos NAT.
Configure las reglas de reenvío NAT (UDP 500, 4500) para el dispositivo NAT frente al Gateway 1. Las demás configuraciones son las mismas que en el paso anterior.
Paso 6. Verifique si las configuraciones básicas de los dos Site Gateways coinciden: Gateway remoto, subred local, subred remota, clave precompartida e interfaz WAN.
Paso 7. Verifique si las configuraciones de la Fase 1 de las dos puertas de enlace del sitio coinciden: versión IKE, propuesta, modo de intercambio, ID local e ID remota. Si hay un dispositivo NAT entre las dos puertas de enlace, utilice el modo NOMBRE como identidad.
Paso 8. Verifique si las configuraciones de la Fase 2 de los dos Site Gateways coinciden: modo de encapsulación, propuesta y secreto directo perfecto (PFS). De manera predeterminada, se utiliza el protocolo ESP porque AH no puede pasar por NAT.
Paso 9. Verifique si se está utilizando IPsec automático. Es posible que IPsec automático no establezca una conexión en el modo Controlador. Se recomienda utilizar IPsec manual.
Paso 10. Confirme si el ISP permite el paso del tráfico relacionado con IPsec (UDP 500, 4500).
Paso 11. Verifique si ambas puertas de enlace tienen reglas ACL que bloquean el tráfico relacionado con IPsec.
Paso 1. Asegúrese de que el dispositivo cliente pueda hacer ping a la IP WAN del Gateway.
En la web del controlador, vaya a Configuración > Seguridad de red > Defensa contra ataques , deshabilite Bloquear ping desde WAN y luego haga ping a la IP WAN del Gateway en el dispositivo cliente.
Paso 2. Inicie sesión en el controlador, vaya a Configuración > Seguridad de red > Defensa contra ataques , deshabilite Bloquear ping desde WAN .
Paso 3. Confirme el modelo del dispositivo cliente.
- Si el dispositivo cliente utiliza el sistema operativo iOS, puede haber dispositivos NAT frente al Gateway. Tanto el tipo de ID local como el tipo de ID remoto deben configurarse en modo NOMBRE.
- Si el dispositivo cliente es un dispositivo Samsung, puede haber dispositivos NAT frente al Gateway. Tanto el tipo de ID local como el tipo de ID remoto deben permanecer en el modo de dirección IP predeterminado.
- Si el dispositivo cliente es un dispositivo Android (excepto dispositivos Samsung), no debe haber ningún dispositivo NAT frente a la puerta de enlace. Establezca el tipo de ID local en el modo de dirección IP y el tipo de ID remota en el modo NOMBRE.
Paso 4. Confirme la configuración de su puerta de enlace.
- Configuración básica: complete el Host remoto con 0.0.0.0 o la IP pública del front-end del dispositivo cliente.
- Configuración de la fase 1: asegúrese de que la versión de IKE sea coherente con la del cliente. La propuesta se puede configurar como sha256-aes256-dh14. Seleccione el modo de respuesta para el modo de negociación. Configure el tipo de ID local y el tipo de ID remoto según el paso 2.
- Configuración de la fase 2: la propuesta se puede configurar en sha256-aes256-dh14.
Paso 5. Verificar si la propuesta coincide.
Habilite la duplicación de puertos para la captura de paquetes y capture los paquetes de tráfico de la interfaz WAN asociada con la entrada IPsec.
Utilice Wireshark para filtrar los paquetes ISAKMP. Si el primer paquete ISAKMP que responde el Gateway contiene la carga útil: Notify (41) - NOPROPOSALCHOSEN, significa que las propuestas no coinciden, como se muestra en la siguiente figura.
El primer paquete ISAKMP iniciado por el cliente contiene todas las propuestas de seguridad. Puede configurar la propuesta del Gateway para que incluya las opciones especificadas en el paquete.
Si el problema de IPsec VPN aún no se resuelve con los pasos anteriores, comuníquese con TP-Link a través de la línea directa o por correo electrónico para obtener ayuda.
Para conocer más detalles de cada función y configuración, vaya al Centro de Descargas para descargar el manual de su producto.