Este tema describe los tipos comunes de problemas que podría encontrar con Mobile VPN with IPSec y describe las soluciones que resuelven estos problemas con mayor frecuencia. Incluso después de que el cliente VPN IPSec se conecta, el tráfico del cliente no será capaz de alcanzar algunos recursos de red debido a problemas de configuración de la red o de la política.
Problemas de Instalación
Para obtener información sobre qué sistemas operativos son compatibles con cada tipo de VPN móvil, consulte la lista de Compatibilidad de Sistemas Operativos en las
Si selecciona Activación en Línea en el cliente Mobile VPN IPSec de WatchGuard y la activación falla, puede aparecer uno de estos mensajes de error:
Error de activación del software. Número de error: 10103-1. Se produjo un error al activar el software. Se superó el número máximo de activaciones.
Este error puede ocurrir cuando la llave de licencia está en uso en otro sistema. Si ha desinstalado el cliente de ese otro sistema, comuníquese con Atención al Cliente de WatchGuard y proporcione la siguiente información:
- El número de serie y la información de la licencia que recibió en su correo electrónico de confirmación
- Screenshots of the activation wizard with the serial number and license filled in, and the error message
Llave de licencia o número de serie inválidos
Este error puede ocurrir cuando:
- Instaló el Cliente IPsec desde NCP y no desde el Cliente Mobile VPN with IPsec de WatchGuard. Las llaves de licencia para el cliente de marca WatchGuard no funcionan para la activación del cliente desde NCP.
- Intentó activarlo con el número de serie incorrecto, como el número de serie de su Firebox. Asegúrese de utilizar el número de serie del cliente Mobile VPN IPSec que recibió en el correo electrónico de confirmación.
Problemas de Conexión
Si el equipo del usuario entra en suspensión mientras está conectado a la VPN y la VPN se cierra, el cliente VPN puede mostrar un mensaje de error si el usuario intenta volver a conectarse. Una vez transcurrido cierto tiempo, el usuario puede volver a conectarse.
Este problema puede deberse a una falta temporal de direcciones IP disponibles en el grupo de direcciones de Mobile VPN with IPSec. Para evitar este problema, agregue direcciones IP adicionales al grupo de direcciones de Mobile VPN with IPSec. Para obtener más información sobre la configuración del grupo de direcciones, consulte Configurar el Firebox para Mobile VPN with IPSec.
Problemas Después de la Conexión
Si el cliente VPN puede conectarse a un recurso de red por la dirección IP, pero no por nombre, el dispositivo cliente podría no tener la información correcta del DNS y WINS para su red.
En Fireware v12.2.1 o superior, puede seleccionar estas opciones en la configuración de Mobile VPN with IPSec:
- Asignar o no asignar a los clientes móviles los ajustes de DNS/WINS de Red (global)
- Asignar a los clientes móviles los ajustes de nombre de dominio, servidor DNS y servidor WINS especificados en la configuración de VPN móviles
En Fireware v12.2 o inferior, su Firebox proporciona automáticamente a los dispositivos cliente las direcciones IP de WINS y DNS configuradas en los ajustes de DNS/WINS de Red (global) en su dispositivo.
Para obtener información sobre cómo configurar direcciones IP de DNS y WINS, consulte Configurar el Firebox para Mobile VPN with IPSec.
Si los usuarios no pueden utilizar un nombre de host de una sola parte para conectarse con los recursos internos de red, pero pueden utilizar un Nombre de Dominio Totalmente Calificado para conectarse, esto indica que el sufijo DNS no está definido en el cliente.
En Fireware v12.2.1 o superior, puede seleccionar lo siguiente:
- Asignar o no asignar a los clientes móviles los ajustes de DNS/WINS de Red (global)
- Asignar a los clientes móviles los ajustes de nombre de dominio, servidor DNS y servidor WINS especificados en la configuración de VPN móviles
En Fireware v12.2 o inferior, cuando usa Mobile VPN with IPSec con cualquier otro cliente compatible, el Firebox asigna al cliente VPN los ajustes de DNS configurados para el Firebox. No asigna el sufijo DNS.
Un cliente sin un sufijo DNS asignado debe utilizar el nombre completo del DNS para determinar la dirección. Por ejemplo, si su servidor terminal tiene un nombre DNS RDP.ejemplo.net, los usuarios no pueden ingresar la dirección RDP para conectarse con sus clientes de servidor de terminal. Los usuarios también deben ingresar el sufijo DNS, ejemplo.net.
Para resolver este problema, puede agregar el sufijo DNS en la configuración del cliente Mobile VPN. Para obtener instrucciones, consulte estos artículos en la Base de Consulta de WatchGuard:
Configurar el DNS en el Cliente Mobile VPN IPSec de WatchGuard
Configurar los ajustes de DNS para las conexiones de VPN desde un dispositivo Android
En el servidor de autenticación usado para el Mobile VPN, verifique que el usuario sea un miembro de un grupo que coincide exactamente con el nombre de perfil del grupo de Mobile VPN with IPSec. Por ejemplo, si el nombre de perfil del grupo de VPN móviles with IPSec es usuarios de ipsec, y está configurado para utilizar un dominio Active Directory, debe asegurarse de que cada usuario de VPN móviles sea miembro del grupo usuarios de ipsec en el Active Directory server. Asegúrese de que el texto y el campo del nombre de grupo Active Directory coincide exactamente con el nombre de grupo de Mobile VPN with IPSec.
Para la autenticación de RADIUS, SecurID y VASCO, el servidor de autenticación debe regresar la membresía del grupo como el atributo Identificación del Filtro.
Para obtener más información acerca de la membresía del grupo Mobile VPN with IPSec, consulte Configurar el Servidor de Autenticación Externa.
Cuando crea inicialmente un perfil Mobile VPN with IPSec, se crea automáticamente una política que permite tráfico en todos los puertos y protocolos para todas las redes que fueron definidas en la sección Recursos Permitidos de la configuración de Mobile VPN. Si luego modifica los Recursos Permitidos en el perfil de Mobile VPN with IPSec, también debe editar los Recursos Permitidos en la política de Mobile VPN with IPSec para que coincida con las direcciones de red en el perfil Mobile VPN with IPSec actualizado.
Para obtener más información sobre cómo editar una política, consulte Configurar Políticas para Filtrar Tráfico de Mobile VPN IPSec.
Si sus clientes VPN pueden conectarse con ciertas partes de la red, pero no con otras, o el tráfico falla de otra manera cuando los mensajes de registro muestran que el tráfico está permitido, esto puede indicar un problema de enrutamiento. Confirme que cada uno de estos elementos es verdadero:
- El grupo de direcciones IP virtuales para clientes Mobile VPN with IPSec no se traslapa con ninguna de las direcciones IP asignadas a los usuarios internos de la red.
- El grupo de direcciones IP virtuales no se traslapa ni está en conflicto con otras redes enrutadas o VPN configuradas en el Firebox.
- Si los usuarios de Mobile VPN with IPSec deben acceder a una red enrutada o VPN, los hosts en esa red enrutada o VPN deben tener una ruta válida hacia el grupo de direcciones IP virtuales, o el Firebox debe ser la ruta predeterminada a Internet para dichos hosts.
Para obtener más información sobre cómo configurar un grupo de direcciones IP virtuales, consulte Modificar un Perfil de Grupo Existente de Mobile VPN with IPSec.
El cliente VPN NCP obliga al túnel a reingresar la clave después de que transcurre el 70 por ciento del valor de tiempo de espera. Sin embargo, el Firebox no admite reingresos de clave de Fase 1 y el túnel se desconecta. Si configura el cliente VPN para guardar las credenciales del usuario y volver a conectarse automáticamente, se crea un nuevo túnel automáticamente después de la desconexión.
Para aumentar los valores de tiempo de espera, en la configuración de Mobile VPN with IPSec en el Firebox:
- En la pestaña General, aumente los Tiempos de espera.
- En la pestaña Túnel IPSec, en los ajustes Avanzados de Fase 1 y 2, aumente los valores de tiempo de espera y del vencimiento de la clave.
Le recomendamos que no utilice los rangos de red privada 192.168.0.0/24 o 192.168.1.0/24 en sus redes corporativas o de invitados. Estos rangos se utilizan comúnmente en redes domésticas. Si un usuario de VPN móvil tiene un rango de red doméstica que se superpone con el rango de su red corporativa, el tráfico del usuario no pasa por el túnel VPN. Para resolver este problema, le recomendamos Migrar a un Nuevo Rango de Red Local.
Si no puede conectarse a los recursos de la red a través de un túnel VPN establecido, consulte Resolución de Problemas de Conectividad de Red para obtener información sobre otros pasos que puede seguir para identificar y resolver el problema.
Para resolver problemas de conexión de VPN móvil relacionados con la Aplicación de Host Sensor de TDR, consulte Resolver Problemas de la Aplicación de Host Sensor de TDR.