Resolver Problemas de Conectividad de Red
Para probar y resolver problemas de su red, puede usar las herramientas disponibles en su computadora cliente y en su Firebox. Para las pruebas que involucran comandos emitidos desde una computadora cliente de Windows, use una computadora en una red de confianza, opcional o personalizada, conectada al Firebox.
Herramientas de Resolución de Problemas de Red
Use estas herramientas y métodos para probar la conectividad de la red y la resolución de nombre de host en su red. Estos métodos de prueba se mencionan en los pasos de resolución de problemas en las secciones siguientes.
- Ubique el cuadro de texto de búsqueda en la barra de tareas de Windows o en el Menú de Inicio.
- En el cuadro de texto de búsqueda, ingrese cmd y presione Enter.
Aparece la Ventana de Comandos. - En la ventana, ingrese enviar ping [dirección IP de destino o nombre del host] y presione Enter.
Puede usar la barra de diagnóstico Ping para enviar paquetes de ping desde el Firebox a una dirección IP o un nombre de host.
- Seleccione Estado del Sistema > Diagnósticos.
Aparece la página Diagnósticos con la pestaña Archivo de Diagnósticos seleccionada. - Seleccione la pestaña Red.
Aparece la página Red. - En la lista desplegable Tarea, seleccione el comando Ping.
Aparecerá el cuadro de texto Dirección. - En el cuadro de texto Dirección, ingrese una dirección IP y nombre de host.
- Haga clic en Ejecutar tarea.
El resultado del comando aparece en el panel Resultados. - Para detener el comando Ping, haga clic en Detener Tarea.
Para obtener más información sobre las tareas de diagnóstico en Fireware Web UI, consulte Ejecutar las Tareas de Diagnóstico en el Firebox:.
- Seleccione Herramientas > Tareas de Diagnóstico.
Aparece el cuadro de diálogo Tareas de Diagnóstico, con la tarea Ping IPv4 seleccionada por defecto. - En el cuadro de texto Dirección, ingrese una dirección IP o nombre de host.
- Haga clic en Ejecutar tarea.
El resultado del comando aparece en el panel Resultados.
Para obtener más información sobre las tareas de diagnóstico en Firebox System Manager, consulte Ejecutar tareas de diagnóstico para obtener más información acerca de los mensajes de registro.
- Ubique el cuadro de texto de búsqueda en la barra de tareas de Windows o en el Menú de Inicio.
- En el cuadro de texto de búsqueda, ingrese cmd y presione Enter.
Aparece la Ventana de Comandos. - En la ventana, ingrese nslookup [nombre de host de destino] [opcional; dirección IP de servidor DNS] y presione Enter.
Puede usar la tarea de diagnóstico Búsqueda de DNS para probar la resolución del nombre DNS desde Firebox a un host.
- Seleccione Estado del Sistema > Diagnósticos.
Aparece la página Diagnósticos con la pestaña Archivo de Diagnósticos seleccionada. - Seleccione la pestaña Red.
Aparece la página Red. - En la lista desplegable Tarea, seleccione Búsqueda de DNS.
Aparecerá el cuadro de texto Dirección. - En el cuadro de texto Dirección, ingrese el nombre de host.
- Haga clic en Ejecutar tarea.
El resultado del comando aparece en el panel Resultados. - Para detener el comando Búsqueda de DNS, haga clic en Detener Tarea.
- Seleccione Herramientas > Tareas de Diagnóstico.
- En la lista desplegable Tarea, seleccione Búsqueda de DNS.
- En el cuadro de texto Dirección, ingrese el nombre de host.
- Haga clic en Ejecutar tarea.
El resultado del comando aparece en el panel Resultados.
Por defecto, Firebox no crea mensajes de registro para conexiones que están permitidas por políticas de filtrado de paquetes, tal como la política Ping. Puede ser útil habilitar la generación de registros de paquetes permitidos para una política como Ping, mientras resuelve problemas de conectividad de red.
Use estos pasos para editar los ajustes de generación de registros en una política, de manera que Firebox cree mensajes de registro para las conexiones que esta política permite.
- Seleccione Firewall > Políticas de Firewall.
Aparecerá la página Políticas. - Haga clic en el nombre de la política para editarla.
Aparece la página Políticas de Firewall > Editar. - En la sección Generación de Registros, seleccione la casilla de selección Enviar un mensaje de registro.
- Haga clic en Guardar para guardar el cambio en la configuración.
- Haga doble clic en una política para editarla.
Aparece el cuadro de diálogo Editar Propiedades de Política. - Seleccione la pestaña Propiedades.
- Haga clic en Generación de Registros.
- Marque la casilla de selección Enviar mensaje de registro.
- Guardar la configuración en el Firebox.
Después de que realice este cambio, Firebox crea mensajes de registro para las conexiones permitidas por la política. En Traffic Monitor, puede filtrar los mensajes de registro para ver los mensajes de registro creados para las conexiones permitidas por una política específica, o para las conexiones desde o hacia una dirección IP específica.
- Seleccione Panel de Control > Traffic Monitor.
- En el cuadro de texto filtrar en la parte superior de la página, ingrese el término para buscar solo los mensajes de registro que contengan ese término. Por ejemplo, este puede ser la dirección IP de una computadora en su red, un nombre de usuario, o el nombre de la política por la que habilitó la generación de registros.
- Para eliminar el filtro, haga clic en .
Para obtener más información acerca del Panel de Control de Traffic Monitor, vea Traffic Monitor.
- Seleccione la pestaña Traffic Monitor.
- En el cuadro de texto filtrar en la parte superior de la página, ingrese el término para buscar solo los mensajes de registro que contengan ese término. Por ejemplo, este puede ser la dirección IP de una computadora en su red, un nombre de usuario, o el nombre de la política por la que habilitó la generación de registros.
- Para eliminar el filtro, haga clic en .
Para obtener más información sobre Traffic Monitor en Firebox System Manager, vea Mensajes de Registro de Dispositivo (Traffic Monitor).
Para obtener más información sobre cómo leer un mensaje de registro, vea Leer un Mensaje de Registro.
- Ubique el cuadro de texto de búsqueda en la barra de tareas de Windows o en el Menú de Inicio.
- En el cuadro de texto de búsqueda, ingrese cmd y presione Enter.
Aparece la Ventana de Comandos. - Para ver la dirección IP asignada, la subnet mask y la puerta de enlace predetermina en la ventana, ingrese ipconfig y presione Enter.
- Para ver más información, incluidas las direcciones IP de servidor DNS, ingrese ipconfig/all y presione Enter.
Resolver Problemas de Conexiones Salientes
Para identificar la causa de los problemas de conexión a Internet desde computadores en su red local, comience con pruebas de ping desde una computadora local en su red al Firebox o un servidor local en su red. Si eso no funciona, el próximo paso es probar el enrutamiento y la resolución de DNS a hosts fuera de su red local. Siga las instrucciones en la sección anterior para ejecutar los comandos de diagnóstico usados en estas pruebas y para mirar los mensajes de registro.
Prueba 1 — Enviar un Ping a una Dirección IP Interna
Desde su computadora local, intente enviar un ping a otras direcciones IP internas en la misma red local. Por ejemplo, intente enviar un ping a un servidor de una red local o la dirección IP de una interfaz interna de Firebox. Para iniciar un ping desde una computadora de Windows, siga las instrucciones en la sección anterior.
Si no puede enviar el ping a la dirección IP interna del Firebox, esto puede indicar un problema con la configuración del Firebox o un problema con su configuración de red local o el cableado. Para ver la dirección IP y la puerta de enlace en la configuración de la red local en una computadora cliente, use el comando ipconfig en la ventana de comandos de Windows.
Busque los resultados del comando ipconfig y considere estas posibles causas para fallas en el ping:
Si el resultado del comando ipconfig es en la computadora cliente, busque la dirección IPv4 asignada a la computadora local y la dirección IP de la puerta de enlace predeterminada. La computadora cliente debe tener una dirección IPv4. En la mayoría de los casos, la puerta de enlace predeterminada debe ser la dirección IP de la interfaz Firebox a la que se conecta la red local.
Si la computadora del cliente usa DHCP para obtener una dirección IP y el resultado de ipconfig muestra que no hay dirección IP asignada, verifique la configuración de la interfaz Firebox a la que se conecta la red local. Asegúrese de que el servidor DHCP esté habilitado y que el grupo de la dirección DHCP configurado para la interfaz Firebox contiene suficientes direcciones IP para asignar direcciones a todos los clientes que se conectan.
Si la computadora cliente usa DHCP para obtener una dirección IP, y la dirección IP y puerta de enlace asignada al cliente no coincide con la configuración del servidor DHCP ajustada en la interfaz Firebox a la que se conecta esta red, es posible que un Servidor DHCP rogue esté en su red y haya asignado la dirección IP no esperada.
Compruebe la configuración de la interfaz Firebox a la que se conecta la red local. Asegúrese de que la dirección IP de interfaz y la subnet mask son las correctas para su red. Para más información acerca de direcciones IP de interfaz y las subnet masks, consulte Acerca de las Direcciones IP.
Si hay un conmutador o un enrutador entre la computadora cliente y la interfaz Firebox interna, el conmutador o la configuración del enrutador podrían ser el problema. Para probar si el conmutador o el enrutador son el problema, conecte la computadora cliente directamente a la interfaz Firebox interna y luego trate de enviar un ping al Firebox nuevamente.
Los problemas de conectividad de red pueden surgir por un cable dañado o desconectado, una falla en la interfaz de red en la computadora, Firebox o algún conmutador o enrutador conectados. Para detectar este tipo de problemas, mire las luces de enlace y actividad en la interfaz de red en cada extremo de cada cable, pruebe con un cable de red diferente o intente probar la conexión al Firebox desde una computadora diferente en el mismo segmento de red.
Para obtener más información sobre los indicadores en sus interfaces Firebox, vea la Guía de Hardware para su modelo de Firebox.
Si el problema afecta a todos o a muchos usuarios en su red, puede que haya un conflicto de dirección IP entre la dirección IP interna de Firebox y otro dispositivo en su red. Para probar esto, desconecte el cable de la interfaz Firebox y luego trate de enviar un ping a la interfaz interna del Firebox desde una computadora cliente. Si el ping obtiene una respuesta cuando la red no está conectada la interfaz Firebox, algún otro host en la red usa una dirección IP que entra en conflicto con la dirección IP de la interfaz Firebox.
Prueba 2 — Enviar un ping a la Puerta de Enlace Predeterminada del Firebox
Si logra enviar un ping a la dirección IP de la interfaz Firebox, pruebe si el tráfico enviado desde la computadora cliente puede enrutarse a las direcciones fuera del Firebox. Para probar esto, desde su computadora Windows, intente enviar un ping a la puerta de enlace predeterminada para la interfaz externa del Firebox. Esto confirmará que su computadora puede enrutarse a un host fuera de Firebox y que su Firebox está configurado para permitir estas solicitudes de ping.
Si su red tiene una puerta de enlace de Internet distinta al Firebox, el tráfico proveniente de Internet de los clientes en su red puede que no se enrute a través del Firebox. Para verificar que el tráfico saliente hacia Internet pasa por Firebox, habilite la generación de registros de paquetes permitidos en la política ping y verifique que los mensajes de registro son creados para solicitudes de ping desde su red. Para obtener detalles sobre cómo hacer esto, consulte la sección anterior titulada Herramientas de Resolución de Problemas de Red.
Si su ping enviado a la puerta de enlace predeterminada de la interfaz externa de Firebox falla, compruebe alguna de estas causas:
Si su red local no usa una de las subredes privadas RFC 1918, las reglas de NAT dinámica no enmascaran el tráfico enviado desde su red privada a la Internet. Para ver si este puede ser el problema, mire los mensajes de registro para sus solicitudes de ping. Confirme que aparece el atributo src_ip_nat y que la dirección IP indicada coincide con la dirección IP externa del Firebox.
Si su Firebox está configurado en modo Puente o Directo, el atributo src_ip_nat no aparece en los mensajes de registro para el tráfico saliente.
Para más información acerca de NAT dinámica y las reglas NAT dinámicas predeterminadas, vea Acerca de NAT Dinámica.
Para ver si esta es la causa, busque los mensajes de registro para las solicitudes de ping rechazadas. El mensaje de registro le dice qué política rechazó el tráfico. Por defecto, la configuración de Firebox incluye una política Ping que permite el tráfico Ping saliente.
Para ver si este es el caso, conecte su computadora directamente al Firebox para bypass (derivar) su red interna. Asegúrese de que su computadora cliente tiene una dirección IP en la subred correcta para conectarse al Firebox, y que puerta de enlace predeterminada está establecida en la dirección IP de la interfaz de Firebox a la que se conecta la red local.
Prueba 3 — Prueba de Resolución DNS
Si logra enviar un ping a la puerta de enlace predeterminada de su Firebox, el próximo paso es probar la resolución DNS. Para probar la resolución DNS, intente enviar un ping a un host web remoto, tal como www.watchguard.com. Si esto falla, intente enviar un ping a una dirección IP remota, tal como el DNS Server: [Servidor DNS] para su ISP, o un DNS Server: [Servidor DNS] público como 8.8.8.8 o 4.2.2.2. Si logra enviar un ping a una dirección IP remota, pero no puede enviar un ping a un nombre de host, eso indica un problema con la resolución DNS.
Si falla la resolución DNS, investigue estas posibles causas:
Use la línea de comandos de Windows en su computadora cliente para probar la resolución DNS. Si no especifica la dirección IP de un servidor DNS, el comando nslookup usa el DNS Server: [Servidor DNS] predeterminado.
En primer lugar, pruebe el DNS con el Servidor DNS:
nslookup www.watchguard.com
Luego, agregue la dirección IP a un Servidor DNS público:
nslookup www.watchguard.com 8.8.8.8
Si la resolución DNS no funciona con el Servidor DNS predeterminado, pero funciona con el Servidor DNS público, compruebe los servidores DNS utilizados por la computadora cliente y el Firebox.
- Para ver el Servidor DNS predeterminado en la computadora cliente, utilice el comando ipconfig/all en la ventana de comandos de Windows. El Servidor DNS en el cliente debería ser, normalmente, el mismo que el Servidor DNS utilizado por el Firebox.
- Para ver las direcciones IP de servidor DNS para el Firebox en Fireware Web UI, seleccione Panel de Control > Interfaces > Detalle. Para ver Servidores DNS en Firebox System Manager, expanda el estado Interfaces para Firebox en la pestaña Panel Delantero.
Para verificar si el tráfico puede enrutarse en un Servidor DNS, y si un Servidor DNS está respondiendo, puede tratar de enviar un ping a la dirección IP del Servidor DNS desde la computadora cliente, y desde Firebox.
Si logra enviar un ping al Servidor DNS desde una computadora cliente en su red, la resolución DNS falla si la configuración de Firebox no tiene una política que permita solicitudes de DNS saliente.
Para seguir intentando resolver esto, puede probar la resolución DNS desde Firebox tal como se describe arriba, para ver si la resolución DNS funciona desde Firebox. Si la resolución DNS funciona desde Firebox, pero no desde clientes en la red interna, es probable que no haya política en el Firebox que permita solicitudes de DNS salientes. Para ver si este es el caso, examine los mensajes de registro en Traffic Monitor mientras prueba DNS o intenta resolver nombres de host externos. Busque mensajes de registro para ver conexiones rechazadas con un Destination Port (Puerto de destino) 53.
Si desactiva o elimina la política Saliente predeterminada, Firebox no permite solicitudes de DNS salientes salvo que agregue otra política que sí permita estas conexiones. Si elimina esta política Saliente, asegúrese de que sus otras políticas permitan hosts en su red o, por lo menos, servidores fundamentales, para conectarse de forma saliente a DNS, NTP y otras funciones necesarias.
Para obtener más información acerca de esta política Saliente, consulte Acerca de la Política Saliente.