Monitorizar y Resolver Problemas de Túneles BOVPN

Los túneles en las VPN de sucursal (BOVPN) requieren una conexión confiable y una configuración de VPN que coincida en ambos endpoints de VPN. Un problema de conectividad de red o un error de configuración pueden causar problemas.

Después de configurar un nuevo túnel BOVPN, verifique que funcione:

  • El envío de tráfico a través del túnel
  • El monitoreo del estado del túnel

Enviar Tráfico a Través del Túnel

Su Firebox negocia un túnel VPN solo cuando el tráfico necesita usar el túnel. Para probar un nuevo túnel VPN, debe intentar enviar datos a una dirección IP en la red remota. El túnel VPN generalmente no se crea hasta que intenta enviar datos. La ruta de túnel configurada para esa VPN debe permitir el origen y el destino de los datos que usted envía.

Por ejemplo, cuando hace ping a un dispositivo en la red remota, el ping falla si:

  • El túnel está caído.
  • La ruta de túnel no permite la dirección IP de origen o destino en la configuración de la VPN.
  • El dispositivo remoto está desconectado o no responde a un ping. Sin embargo, si el dispositivo remoto está desconectado o no responde a un ping, el tráfico de ping activa el túnel de todos modos.

Resolver Problemas

Para resolver problemas de una BOVPN, recomendamos que se centre en los ajustes, mensajes y registros de la VPN:

  1. Verifique que los ajustes de la VPN sean los mismos en ambos dispositivos.

    Por ejemplo, verifique que las claves precompartidas, y los ajustes de la Fase 1 y la Fase 2 sean los mismos en ambos dispositivos.
  2. En los ajustes de la ruta de túnel para ambos dispositivos, verifique que las direcciones IP y las máscaras de subred sean correctas:
  • Para BOVPN manuales, la dirección IP local debe coincidir con la dirección IP de un host o red local.
  • La dirección IP remota debe ser la dirección IP de un host o red privada en la puerta de enlace de la VPN remota.
  • Para las interfaces virtuales BOVPN, especifique una ruta que exista en el sitio remoto. Si especifica una ruta que no existe en el sitio remoto, el tráfico no pasa como se esperaba, incluso si se establece el túnel VPN.
  • Las rutas de túnel en los dos dispositivos deberían verse invertidas al verlas una al lado de la otra.
  1. Vea los mensajes de diagnóstico de la VPN.
  2. Ejecute el informe de diagnóstico de la VPN.
  3. Revise los mensajes de registro IKE en cada dispositivo durante la negociación del túnel.
  4. Para una conexión cuyo tiempo de espera se agota por completo, intente hacer ping a la interfaz externa del dispositivo remoto para verificar la conectividad.
    Asegúrese de que el dispositivo remoto esté configurado para responder a los pings. Para habilitar que un Firebox responda a un ping a la interfaz externa, debe editar la política de ping para permitir los pings del alias Cualquiera-Externa.
  5. Guarde un archivo de captura de paquetes (.PCAP) para ayudarlo a diagnosticar problemas con el tráfico BOVPN.

Para obtener información sobre cómo ejecutar tareas de diagnóstico en Fireware, como ping y TCP Dump, consulte:

Monitorizar Estado de Túnel VPN

Para monitorizar el estado actual de los túneles de VPN de sucursal, en Fireware Web UI, seleccione Estado del Sistema > Estadísticas de VPN. Para ver el estado de cualquier mensaje de diagnóstico de VPN si una conexión de túnel VPN falló, haga clic en puerta de enlace o túnel. En esta página también puede forzar el reingreso de un túnel VPN o generar el informe de Diagnóstico VPN para una puerta de enlace VPN.

Para más información sobre cómo monitorizar el estado VPN desde Fireware Web UI, consulte Estadísticas VPN.

Cuando está conectado a un Firebox puede monitorizar el estado actual de los túneles de VPN de sucursal en la pestaña Panel Delantero del Firebox System Manager o en la pestaña Estado del Dispositivo del WatchGuard System Manager. Para ver el estado de la puerta de enlace y del túnel, y cualquier mensaje de diagnóstico VPN si falló una conexión de túnel VPN, expanda la puerta de enlace. En Firebox System Manager, para generar el Informe de Diagnóstico VPN o para forzar un reingreso de todos los túneles asociados, puede hacer clic con el botón derecho en una puerta de enlace.

Para obtener más información sobre cómo monitorizar el estado de VPN en Firebox System Manager, consulte Servicios de Suscripción y Estado del Túnel VPN.

Usar Mensajes e Informes de Diagnóstico de VPN

Para buscar la causa de un problema de túnel VPN de sucursal, puede hacer lo siguiente:

Si ha confirmado que los endpoints de la VPN de sucursal están activados y que las configuraciones de VPN coinciden, y aun así la VPN no funciona correctamente, considere otras situaciones que pueden provocar problemas en la VPN de sucursal, y con qué acciones podría mejorar la disponibilidad de la VPN.

Para más información, consulte Mejorar la Disponibilidad del Túnel VPN de Sucursal (BOVPN).

Monitorizar el Respondedor

Cuando configure una VPN, el túnel no se establece hasta que Firebox tenga que enrutar tráfico a través del túnel. El endpoint de la puerta de enlace que primero intenta enrutar el tráfico a través del túnel inicia la negociación de túnel. Para cualquier negociación de VPN de sucursal, cada endpoint de la puerta de enlace cumple una de las dos funciones siguientes:

  • El iniciador es el endpoint que comienza la negociación del túnel. Envía las propuestas de fase 1 y 2 al endpoint remoto para comenzar la negociación.
  • El respondedor recibe las propuestas VPN fase 1 y 2 y las acepta o las rechaza, en base a si coinciden con las configuraciones locales.

Al resolver un problema de VPN de sucursal, es muy útil mirar los mensajes de diagnóstico de VPN y generar el Informe del Diagnóstico de VPN en el respondedor. Dado que el respondedor tiene información sobre ambas configuraciones propuestas por el iniciador y las configuraciones locales, los mensajes de diagnóstico de VPN y el Informe de Diagnóstico de VPN en el respondedor proporcionan información más completa.

Si la BOVPN usa IKEv2, los mensajes de registro de diagnóstico del respondedor contienen información más completa sobre las configuraciones que no coinciden. Para más información acerca de las configuraciones de IKEv2, consulte Configurar los Ajustes de Fase 1 IPSec VPN.

Para transformar al Firebox en el respondedor cuando monitorea las negociaciones del túnel, puede:

  • Obtener un dispositivo en la red remota para intentar enviar tráfico a través del túnel.
  • Solicitarle al administrador del endpoint de la puerta de enlace remota que fuerce un reingreso del túnel.

Para obtener más información acerca de las negociaciones de VPN de IPSec, vea Acerca de las Negociaciones VPN de IPSec.

Acerca de los Límites de Ruta de Túnel

Es posible configurar más rutas de túnel VPN de sucursal que el número de rutas de túnel activas que el Firebox puede admitir. Un Firebox no puede establecer rutas de túnel VPN de sucursal que superen el número máximo permitido por la licencia en la llave de licencia. Si el dispositivo intenta establecer un túnel BOVPN que superara el límite, este mensaje aparece en el archivo de registro:

Ejecución de la característica de licencia (BOVPN_TUNNEL): número máximo de túneles alcanzado.

Asimismo, aparece una advertencia en Firebox System Manager, en la pestaña Panel Delantero y en Fireware Web UI, en la página Estado del Sistema > Estadísticas de VPN.

Para más información sobre los límites y las advertencias de las licencias de túneles, consulte Licencias y Capacidad del Túnel VPN.

Otras Herramientas de Resolución de Problemas

Si no puede conectarse a los recursos de la red a través de un túnel VPN establecido, consulte Resolución de Problemas de Conectividad de Red para obtener información sobre otros pasos que puede seguir para identificar y resolver el problema.