Resolver Problemas de Mobile VPN with SSL

Este mensaje de registro indica que el cliente no puede hacer una conexión HTTPS a la dirección IP especificada el cuadro de texto Servidor en el cliente Mobile VPN with SSL. Confirme que la configuración de la política en el Firebox permita las conexiones de Cualquiera-Externa al Firebox, y que ninguna otra política maneje el tráfico desde las direcciones IP que usted configuró como el grupo de direcciones IP virtuales para Mobile VPN with SSL.

Si especifica un puerto TCP que no sea el 443 como el Canal de Configuración en los ajustes de Mobile VPN with SSL, los usuarios móviles deben especificar el número de puerto como parte de la dirección en el cuadro de texto Servidor en el cliente Mobile VPN with SSL. Por ejemplo, si el puerto es TCP 444, especifique 203.0.113.2:444 en el cliente.

En Fireware v12.1.x, los ajustes compartidos el por Access Portal y Mobile VPN with SSL aparecen en una página llamada Portal VPN. El Canal de Datos de Configuración para Mobile VPN with SSL fue renombrado como el puerto del Portal VPN y aparece en los ajustes del Portal VPN. En Fireware v12.2, los ajustes del Portal VPN se movieron a las configuraciones de Access Portal y Mobile VPN with SSL. Para obtener instrucciones de configuración que se aplican a Fireware v12.1.x, consulte Configurar los ajustes del Portal VPN en Fireware v12.1.x en la Base de Consulta de WatchGuard.

Si el sistema operativo en su equipo no admite TLS 1.2, o bien si TLS 1.2 o una versión superior no están habilitados, es posible que vea este mensaje de error. En Fireware v12.5.4 o superior, Mobile VPN with SSL requiere TLS 1.2 o superior. Para evitar vulnerabilidades de seguridad en TLS 1.1 o inferior, recomendamos que deshabilite TLS 1.1 o inferior, y solo habilite TLS 1.2 o superior.

Algunos sistemas operativos más antiguos no son compatibles con TLS 1.2 o versiones superiores. Para obtener más información sobre TLS en sistemas operativos más antiguos, consulte Fallos de conexiones Mobile VPN with SSL en algunas versiones de Windows y macOS en la Base de Consulta de WatchGuard.

Este problema puede ser provocado por una acción de NAT estática (SNAT) para el tráfico HTTPS entrante, o puede ser un problema con la autenticación del cliente.

Cuando el Firebox recibe una solicitud HTTPS, podría remitir esa solicitud a un servidor interno si su configuración incluye una política de HTTPS con una acción NAT estática. Si esto ocurre para el tráfico desde el cliente Mobile VPN with SSL, el cliente no puede conectarse y se muestra un mensaje de la falla de autenticación:

(La autentificación de SSLVPN falló). No se pudo descargar la configuración desde el servidor. ¿Desea intentar conectarse usando la configuración más reciente?

Compruebe su configuración para asegurarse de que una política no remita solicitudes HTTPS en el puerto usado por el cliente Mobile VPN with SSL a otro servidor.

Este mensaje de error de autenticación también podría indicar un problema con la autenticación.

Para resolver problemas con la autenticación del cliente:

1. Conéctese al Firebox.
2. Revise la configuración de Mobile VPN with SSL.
3. Registre las direcciones IP principales y de respaldo configuradas.
   La dirección también podría ser un nombre de dominio. Si es un nombre de dominio, confirme qué dirección IP determina el nombre de dominio.
4. Registre el puerto TCP configurado del canal de Configuración.
   En Fireware v12.1.x, seleccione Autenticación > Configurar y registre el puerto del Portal VPN configurado. En Fireware v12.1.x, el ajuste del canal de configuración se nombró como el puerto del Portal VPN.
5. En su explorador web, ingrese https://<ip-address>/sslvpn.html donde <ip-address> es la dirección IP Primaria en la configuración de Mobile VPN with SSL. Si el puerto TCP del canal de Configuración no es 443, agregue el número de puerto a la dirección, separada por dos puntos. Por ejemplo, si el canal de Configuración es el puerto TCP 444, ingrese en el explorador https://<ip-address>:444/sslvpn.html.
   • Si aparece la página del Portal de Autenticación de WatchGuard para su Firebox, continúe con el Paso 6.
   • Si aparece una página que no sea el Portal de Autenticación de WatchGuard, revise su configuración del Firebox para identificar por qué el tráfico fue remitido a esta ubicación. Considere un cambio a la dirección IP configurada para la VPN.
6. En la página del Portal de Autenticación de WatchGuard, inicie sesión con las credenciales del cliente.
   Si se configura más de un tipo de autenticación, o si su servidor de autenticación no es la opción predeterminada, seleccione el servidor de autenticación de la lista desplegable.
   • Si la autenticación del usuario tiene éxito, continúe al Paso 7.
   • Si la autenticación del usuario falla, verifique las credenciales del usuario en el Firebox, o en el servidor de autenticación externa. Para los usuarios en un servidor de autenticación externa, verifique si otros usuarios que utilizan ese servidor pueden iniciar sesión. Podría haber un problema con la autenticación en general.
7. En su explorador web, ingrese https://<ip-address>/sslvpn.html. Si el puerto TCP del canal de Configuración no es 443, agregue el número de puerto a la dirección, separada por dos puntos.
   Por ejemplo, si el canal de Configuración es el puerto TCP 444, ingrese https://<ip-address>:444/sslvpn.html.
   Aparece el Portal de Autenticación de WatchGuard.
8. Inicie sesión con las credenciales del cliente que usó en el Paso 5.

Si la autenticación del usuario falla en la página de autenticación específica para Mobile VPN with SSL, pero las mismas credenciales funcionaron en la página del Portal de Autenticación de WatchGuard, es casi seguro que el problema esté en la membresía del grupo. Confirme que el usuario sea parte del grupo configurado para Mobile VPN with SSL. Por defecto, este grupo es Usuarios de SSLVPN.

Para resolver problemas con la autenticación de AuthPoint, consulte Integración de Firebox Mobile VPN with SSL con AuthPoint y Resolver Problemas de AuthPoint.

Este mensaje indica que existe un problema en el equipo cliente. Para resolverlo, verifique lo siguiente:

• Que el servicio SSL VPN esté activo
• Que el controlador TAP esté correctamente instalado
• Que otro cliente VPN del equipo no haya instalado controladores que estén ocasionando un conflicto
• Que el software de seguridad, como un antivirus o un software firewall, no bloquee el controlador TAP
• En Internet Explorer, en los ajustes Opciones de Internet > Avanzado, SSL 3.0 no está seleccionado.

Este problema puede ocurrir si un enrutador o módem en la red local del usuario evita la comunicación de retorno del Firebox al cliente VPN.

En el Administrador de Dispositivos de Windows, verifique el estado del adaptador virtual para asegurarse de que un enrutador o módem local no inspeccione, filtre o sustituya el tráfico VPN. Es posible que deba modificar los ajustes de seguridad en el enrutador o módem local.

Para resolver este problema, agregue una política de Primera Ejecución para las conexiones VPN salientes de los clientes de red al endpoint de VPN externo. Por ejemplo, en el Firebox administrado en la nube, cree una política de Primera Ejecución para el tráfico TCP 443 solo a la dirección IP pública configurada en el Firebox administrado localmente para conexiones VPN SSL.

Para obtener información sobre las políticas de primera ejecución en WatchGuard Cloud, consulte Tipos de Políticas de Firewall.

Durante el proceso de conexión VPN, el Firebox verifica la identidad del usuario y la pertenencia al grupo en la base de datos local o en un servidor RADIUS existente. El usuario debe ser miembro de:

• El grupo predeterminado SSLVPN-Users en el Firebox, o bien
• Un grupo agregado explícitamente durante la configuración del Firebox.

Para resolver este problema:

• Verifique que el grupo SSLVPN-Users existe en todos sus servidores de autenticación.
• Si agregó un grupo diferente a la configuración de Mobile VPN with SSL, asegúrese de que ese grupo exista en todos sus servidores de autenticación.
• Verifique que el usuario sea miembro del grupo SSLVPN-Users (u otro grupo que haya agregado a la configuración de Mobile VPN with SSL) en el servidor de autenticación.
• Si utiliza RADIUS para la autenticación de estos usuarios, asegúrese de que el servidor RADIUS regrese la membresía del grupo como el atributo ID del Filtro.

Para obtener más información acerca de cómo configurar los servidores de autenticación externa, consulte Configurar el Servidor de Autenticación Externa.

Si el cliente VPN puede conectarse con un recurso por dirección IP pero no por nombre, debe proporcionarle al cliente las direcciones IP de los servidores válidos DNS o WINS que pueden determinar el nombre de destino. Cuando el cliente se conecta y recibe una dirección IP virtual del Firebox, también recibe las direcciones IP para los servidores DNS y WINS globalmente configurados en el Firebox, o en la configuración de Mobile VPN with SSL.

Cuando configura Mobile VPN with SSL en Fireware v12.2.1 o superior, puede seleccionar lo siguiente:

• Asignar al dispositivo cliente el servidor WINS, el servidor DNS y el sufijo DNS configurado en los ajustes de Mobile VPN with SSL en el Firebox
• Asignar al dispositivo cliente el servidor WINS, el servidor DNS y el sufijo DNS configurado en los ajustes de DNS/WINS de Red (global) en el Firebox
• No asignar al dispositivo cliente los ajustes de DNS o WINS

Para obtener información sobre cómo configurar direcciones IP de WINS y DNS, consulte Determinación del Nombre para Mobile VPN with SSL.

Para obtener más información acerca de los ajustes globales de DNS en el Firebox, consulte Configurar los Servidores DNS y WINS de Red.

Si los usuarios no pueden utilizar un nombre de host de una sola parte para conectarse con los recursos internos de red, pero pueden utilizar un Nombre de Dominio Totalmente Calificado (FQDN) para conectarse, esto indica que el sufijo DNS no está definido en el cliente. Cuando configura Mobile VPN with SSL en Fireware v12.2.1 o superior, puede seleccionar lo siguiente:

• Asignar al dispositivo cliente el servidor WINS, el servidor DNS y el sufijo DNS configurado en los ajustes de Mobile VPN with SSL en el Firebox
• Asignar al dispositivo cliente el servidor WINS, el servidor DNS y el sufijo DNS configurado en los ajustes de DNS/WINS de Red (global) en el Firebox
• No asignar al dispositivo cliente los ajustes de DNS o WINS

Un cliente sin un sufijo DNS asignado debe utilizar el nombre completo del DNS para determinar el nombre de una dirección IP. Por ejemplo, si su servidor terminal tiene un nombre DNS RDP.ejemplo.net, los usuarios no pueden ingresar la dirección RDP para conectarse con sus clientes de servidor de terminal. Los usuarios también deben ingresar el sufijo DNS ejemplo.net.

Para obtener más información sobre DNS para Mobile VPN with SSL, consulte Determinación del Nombre para Mobile VPN with SSL.

Para obtener más información acerca de los ajustes globales de DNS en el Firebox, consulte Configurar los Servidores DNS y WINS de Red.

En Fireware v12.2 o inferior, si no configura los ajustes de WINS y DNS en la configuración de Mobile VPN with SSL, al cliente VPN SSL se le asignan los ajustes de DNS/WINS de Red (global). Esto incluye el servidor DNS, el servidor WINS y el sufijo de dominio. Si especifica un sufijo DNS en los ajustes de WINS/DNS de Red (global) para el Firebox, pero no especifica un sufijo DNS en los ajustes de Mobile VPN with SSL, el cliente VPN no recibe el sufijo DNS a menos que todos los demás ajustes de WINS y DNS en la configuración de Mobile VPN with SSL tampoco estén configurados.

Si el tráfico del cliente a través de la conexión Mobile VPN with SSL es negado por no ser controlado, el problema casi siempre está relacionado con la membresía del grupo. Por defecto, Mobile VPN with SSL requiere que un usuario sea miembro de un grupo llamado Usuarios de SSLVPN. Si utiliza un servidor RADIUS, SecurID o VASCO, la membresía del grupo debe regresar como un atributo ID del Filtro.

Para obtener más información acerca de cómo configurar los servidores de autenticación externa, consulte Configurar el Servidor de Autenticación Externa.

Si configura Mobile VPN with SSL para enviar todo el tráfico a través del túnel, pero el tráfico de Office 365 no pasa por el túnel, tiene estas opciones:

• Habilitar la opción default-route-client en la CLI de Fireware (Fireware v12.5.3 o superior)
• Configurar manualmente una puerta de enlace predeterminada en el cliente
• Utilizar otro método de VPN móvil de Fireware

Para obtener más información y configurar las dos primeras soluciones, consulte Office 365 falla para los usuarios de Mobile VPN with SSL en la Base de Consulta de WatchGuard.

Si selecciona Tráfico de VPN enrutado en las configuraciones de red de Mobile VPN with SSL, el Firebox enruta el tráfico de los clientes Mobile VPN with SSL hacia las redes y recursos permitidos.

Asegúrese de que los usuarios tengan la versión v11.10 o superior de Mobile VPN with SSL. El cliente Mobile VPN with SSL v11.10 y superior admite más de 24 rutas. Las versiones anteriores del cliente Mobile VPN with SSL admiten un máximo de 24 rutas.

Para los usuarios con cliente Mobile VPN with SSL v11.9.x e inferior, su configuración debe incluir menos de 24 rutas a los recursos para el cliente Mobile VPN with SSL. Si el número total de redes o recursos permitidos supera los 24, el cliente VPN no puede enrutar tráfico hacia todos los recursos permitidos. Para los usuarios con cliente Mobile VPN with SSL v11.9.x e inferior, su configuración Mobile VPN with SSL podría incluir demasiadas rutas si:

• En la configuración Mobile VPN with SSL, usted selecciona Permitir el acceso a redes conectadas a través de Redes de Confianza, Redes Opcionales y VLAN, y tiene más de 24 recursos en la lista Recursos Permitidos.
• En la configuración de Mobile VPN with SSL, usted seleccionó Especificar recursos permitidos, y agregó más de 24 recursos.

Las configuraciones de WINS y DNS también pueden agregar hasta cinco rutas adicionales al total si se configuran dos servidores DNS, dos servidores WINS, y un sufijo de dominio está totalmente configurado. Esto reduce aún más el número de recursos permitidos que el cliente puede enrutar.

Para reducir el número de rutas, puede especificar recursos permitidos de una manera que genere pocas rutas. Para hacer esto, seleccione Especificar recursos permitidos y luego utilice supernets para especificar los recursos permitidos en menos entradas. Por ejemplo, si su lista de Recursos Permitidos incluye los recursos 192.168.1.0/24, 192.168.25.0/24 y 192.168.26.0/24, puede expresar esto como un único recurso, 192.168.0.0/22, que incluya todas las direcciones de 192.168.1.0 a 192.168.31.255.

Para obtener más información acerca de cómo especificar recursos para Mobile VPN with SSL, consulte Configurar Manualmente el Firebox para Mobile VPN with SSL.

Cuando habilita Mobile VPN with SSL, la política Permitir-Usuarios-SSLVPN se crea automáticamente para permitir el tráfico desde los clientes hacia los recursos internos o externos de red. Si deshabilita o elimina esta política, los clientes no pueden enviar tráfico hacia redes internas o externas.

Para solucionar este problema, asegúrese de que la política existe y permite el tráfico hacia los recursos de red.

Para obtener más información acerca de esta política, consulte Configurar Manualmente el Firebox para Mobile VPN with SSL y Opciones de Acceso a Internet A Través de un Túnel de Mobile VPN with SSL.

Si sus clientes VPN pueden conectarse con algunas, pero no todas las partes de la red, o el tráfico falla de otra manera cuando los mensajes de registro muestran que el tráfico se permite, esto puede indicar un problema de enrutamiento. Confirme que cada uno de estos elementos es verdadero:

• El grupo de direcciones IP virtuales para clientes Mobile VPN with PPTP no se traslapa con ninguna de las direcciones IP asignadas a los usuarios internos de la red.
• El grupo de direcciones IP virtuales no se traslapa con otras redes enrutadas o VPN configuradas en el Firebox.
• Si su empresa tiene varios sitios con configuraciones de VPN móviles, cada sitio tiene un grupo de direcciones IP virtuales que no se superpone con los grupos de otros sitios.
• El grupo de direcciones IP virtuales no usa los rangos de la red privada 192.168.0.0/24 o 192.168.1.0/24 en sus redes corporativas o de invitados. Estos rangos se utilizan comúnmente en redes domésticas. Si un usuario de VPN móvil tiene un rango de red doméstica que se superpone con el rango de su red corporativa, el tráfico del usuario no pasa por el túnel VPN. Para resolver este problema, le recomendamos Migrar a un Nuevo Rango de Red Local.
• Si los usuarios de Mobile VPN with SSL deben tener acceso a una red enrutada o VPN, los hosts en esa red enrutada o VPN deben tener una ruta válida hacia el grupo de direcciones IP virtuales, o el Firebox debe ser la ruta predeterminada a Internet para dichos hosts.

Para obtener más información sobre cómo configurar un grupo de direcciones IP, consulte Configurar Manualmente el Firebox para Mobile VPN with SSL.

Determine si el problema afecta a algunos o todos los usuarios de VPN. Si el problema afecta solo a algunos de sus usuarios de VPN o afecta a los usuarios en una ubicación específica:

• Asegúrese de que cualquier firewall en la ubicación del usuario permita la conexión VPN.
• Determine si los usuarios afectados tienen una subred poco común que se superpone con la red detrás de su Firebox.

Si el problema afecta a la mayoría o a todos sus usuarios, determine si la red detrás de su Firebox tiene una subred que se usa comúnmente para redes domésticas.

Le recomendamos que no utilice los rangos de red privada 192.168.0.0/24 o 192.168.1.0/24 en sus redes corporativas o de invitados. Estos rangos se utilizan comúnmente en redes domésticas. Si un usuario de VPN móvil tiene un rango de red doméstica que se superpone con el rango de su red corporativa, el tráfico del usuario no pasa por el túnel VPN. Para resolver este problema, le recomendamos Migrar a un Nuevo Rango de Red Local.