Temas Relacionados
Solucionar Problemas de Mobile VPN with IPSec
Este tema describe los tipos comunes de problemas que podría encontrar con Mobile VPN with IPSec y describe las soluciones que resuelven estos problemas con mayor frecuencia. Incluso después de que el cliente VPN IPSec se conecta, el tráfico del cliente no será capaz de alcanzar algunos recursos de red debido a problemas de configuración de la red o de la política.
Si selecciona Activación en Línea en el cliente Mobile VPN IPSec de WatchGuard y la activación falla, puede aparecer uno de estos mensajes de error:
Error de activación del software. Número de error: 10103-1. Se produjo un error al activar el software. Se superó el número máximo de activaciones.
Este error puede ocurrir cuando la llave de licencia está en uso en otro sistema. Si ha desinstalado el cliente de ese otro sistema, comuníquese con Atención al Cliente de WatchGuard y proporcione la siguiente información:
- El número de serie y la información de la licencia que recibió en su correo electrónico de confirmación
- Capturas de pantalla del asistente de activación con el número de serie y la licencia prellenados, y el mensaje de error
Llave de licencia o número de serie inválidos
Este error puede ocurrir cuando:
- Instaló el Cliente IPsec desde NCP y no desde el Cliente Mobile VPN with IPsec de WatchGuard. Las llaves de licencia para el cliente de marca WatchGuard no funcionan para la activación del cliente desde NCP.
- Intentó activarlo con el número de serie incorrecto, como el número de serie de su Firebox. Asegúrese de utilizar el número de serie del cliente Mobile VPN IPSec que recibió en el correo electrónico de confirmación.
Si el cliente VPN puede conectarse a un recurso de red por la dirección IP, pero no por nombre, el dispositivo cliente podría no tener la información correcta del DNS y WINS para su red.
En Fireware v12.2.1 o posterior, puede seleccionar estas opciones en la configuración de Mobile VPN with IPSec:
- Asignar o no asignar a los clientes móviles los ajustes de DNS/WINS de Red (global)
- Asignar a los clientes móviles los ajustes de nombre de dominio, servidor DNS y servidor WINS especificados en la configuración de mobile VPN
En Fireware v12.2 o anterior, su Firebox proporciona automáticamente a los dispositivos cliente las direcciones IP de WINS y DNS configuradas en los ajustes de DNS/WINS de Red (global) en su dispositivo.
Para obtener información sobre cómo configurar direcciones IP de DNS y WINS, consulte Configurar el Firebox para Mobile VPN with IPSec.
Si los usuarios no pueden utilizar un nombre de host de una sola parte para conectarse con los recursos internos de red, pero pueden utilizar un Nombre de Dominio Totalmente Calificado para conectarse, esto indica que el sufijo DNS no está definido en el cliente.
En Fireware v12.2.1 o posterior, puede seleccionar lo siguiente:
- Asignar o no asignar a los clientes móviles los ajustes de DNS/WINS de Red (global)
- Asignar a los clientes móviles los ajustes de nombre de dominio, servidor DNS y servidor WINS especificados en la configuración de mobile VPN
En Fireware v12.2 o anterior, cuando usa Mobile VPN with IPSec con el cliente Shrew Soft, el cliente Mobile VPN with IPSec de WatchGuard (NCP), o cualquier otro cliente compatible, el Firebox asigna al cliente VPN los ajustes de DNS configurados para el Firebox. No asigna el sufijo DNS.
Un cliente sin un sufijo DNS asignado debe utilizar el nombre completo del DNS para determinar la dirección. Por ejemplo, si su servidor terminal tiene un nombre DNS RDP.ejemplo.net, los usuarios no pueden ingresar la dirección RDP para conectarse con sus clientes de servidor de terminal. Los usuarios también deben ingresar el sufijo DNS, ejemplo.net.
Para resolver este problema, puede agregar el sufijo DNS en la configuración del cliente Mobile VPN. Para obtener instrucciones, consulte estos artículos en la Base de Consulta de WatchGuard:
Configurar el DNS en el Cliente Mobile VPN IPSec de WatchGuard
Configurar el DNS en el cliente Shrew Soft VPN IPSec
Configurar los ajustes de DNS para las conexiones de VPN desde un dispositivo Android
En el servidor de autenticación usado para el Mobile VPN, verifique que el usuario sea un miembro de un grupo que coincide exactamente con el nombre de perfil del grupo de Mobile VPN with IPSec. Por ejemplo, si el nombre de perfil del grupo de Mobile VPN with IPSec es usuarios de ipsec, y está configurado para utilizar un dominio Active Directory, debe asegurarse que cada usuario de Mobile VPN sea miembro del grupo usuarios de ipsec en el Active Directory server. Asegúrese de que el texto y el campo del nombre de grupo Active Directory coincide exactamente con el nombre de grupo de Mobile VPN with IPSec.
Para la autenticación de RADIUS, SecurID y VASCO, el servidor de autenticación debe regresar la membresía del grupo como el atributo Identificación del Filtro.
Para obtener más información acerca de la membresía del grupo Mobile VPN with IPSec, consulte Configurar el Servidor de Autenticación Externa.
Cuando crea inicialmente un perfil Mobile VPN with IPSec, se crea automáticamente una política que permite tráfico en todos los puertos y protocolos para todas las redes que fueron definidas en la sección Recursos Permitidos de la configuración de Mobile VPN. Si luego modifica los Recursos Permitidos en el perfil de Mobile VPN with IPSec, también debe editar los Recursos Permitidos en la política de Mobile VPN with IPSec para que coincida con las direcciones de red en el perfil Mobile VPN with IPSec actualizado.
Para obtener más información sobre cómo editar una política, consulte Configurar Políticas para Filtrar Tráfico de Mobile VPN IPSec.
Si sus clientes VPN pueden conectarse con ciertas partes de la red, pero no con otras, o el tráfico falla de otra manera cuando los mensajes de registro muestran que el tráfico está permitido, esto puede indicar un problema de enrutamiento. Confirme que cada uno de estos elementos es verdadero:
- El grupo virtual de direcciones IP para clientes Mobile VPN with IPSec no se traslapa con ninguna de las direcciones IP asignadas a los usuarios internos de la red.
- El grupo virtual de direcciones IP no se traslapa ni está en conflicto con otras redes enrutadas o VPN configuradas en el Firebox.
- Si los usuarios de Mobile VPN with IPSec deben acceder a una red enrutada o VPN, los hosts en esa red enrutada o VPN deben tener una ruta válida hacia el grupo virtual de direcciones IP, o el Firebox debe ser la ruta predeterminada a Internet para dichos hosts.
Para obtener más información sobre cómo configurar un grupo virtual de direcciones IP, consulte Modificar un Perfil de Grupo Existente de Mobile VPN with IPSec.
Si no puede conectarse a los recursos de la red a través de un túnel VPN establecido, consulte Resolución de Problemas de Conectividad de Red para obtener información sobre otros pasos que puede seguir para identificar y resolver el problema.