Sophos Firewall – Resolución de problemas y soluciones para conexiones IPsec
Las conexiones IPsec Site-to-Site (S2S) son una parte esencial de muchas redes, especialmente cuando se trata de conectar de forma segura distintas ubicaciones. Sin embargo, si una conexión de este tipo no es estable o no puede establecerse en primer lugar, esto puede tener un grave impacto en toda la comunicación de la red. Este artículo está dirigido a los administradores informáticos que buscan soluciones a problemas comunes de IPsec en el Sophos Firewall. A continuación se describen los pasos y comandos que se pueden utilizar para solucionar problemas.
Temas
Por qué las conexiones IPsec pueden causar problemas
Las conexiones IPsec pueden volverse inestables o fallar por varias razones. Las causas más comunes son
- Configuraciones de red incorrectas a ambos lados del túnel
- Versiones IKE no coincidentes
- Desajustes en los ID de conexión
- Claves precompartidas defectuosas
- Reglas del cortafuegos configuradas incorrectamente
Estos problemas pueden tener un grave impacto en la funcionalidad de la conexión VPN y requieren una cuidadosa resolución de problemas.
Primeros pasos: Registros y depuración
Antes de identificar y resolver problemas concretos, es crucial reunir la información adecuada. Los registros y las herramientas de depuración disponibles en el Sophos Firewall pueden ayudar a ello.
Monitoriza los registros en tiempo real
Para obtener una visión detallada del servicio IPsec en ejecución, es útil supervisar los registros en tiempo real. Esto puede hacerse con el siguiente comando en la CLI del Sophos Firewall:
tail -f /log/strongswan.log | grep azure-vpn
Este comando filtra las entradas del registro según el túnel concreto (en este ejemplo «azure-vpn») y sólo muestra la información relevante.
Esto es especialmente útil para ver qué ocurre exactamente durante la configuración de la conexión o en caso de errores.
Activar el modo de depuración para el servicio StrongSwan
Si los registros estándar no son suficientes para diagnosticar el problema, se puede activar el modo de depuración del servicio Strongswan.
Esto proporciona información más detallada:
service strongswan:debug -ds nosync
El modo de depuración proporciona una visión más profunda de los procesos del servicio IPsec, lo que facilita el diagnóstico de problemas complejos.
⚠️ El registro IPsec puede requerir rápidamente mucho espacio de almacenamiento en los SSD, por lo que el modo de depuración debe desactivarse de nuevo inmediatamente después del análisis.
Problemas habituales y cómo resolverlos
Una vez recopilados los registros y la información de depuración, puedes empezar a identificar y solucionar problemas concretos.
Selectores de tráfico incorrectos
Un problema habitual en las conexiones IPsec es que los selectores de tráfico (también conocidos como asociaciones de seguridad o SA) de ambos lados del túnel no coinciden. Esto puede provocar que el túnel no se configure correctamente. Es importante asegurarse de que las redes que se van a conectar a través del túnel están configuradas de forma idéntica en ambos lados.
No se ha encontrado configuración IKE
Otro problema se produce si las versiones IKE de ambos lados de la conexión no coinciden. En este caso, la conexión no se establece y aparece un mensaje de error en el registro. Debes comprobar si las versiones IKE de ambos cortafuegos coinciden y ajustarlas en consecuencia.
Fallo en la autenticación de pares
Si falla la autenticación entre pares, suele deberse a que los ID de conexión no coinciden. Debes asegurarte de que los ID de conexión local y remota están configurados correctamente en ambos lados. Estos ID deben ser idénticos para que la fase 1 de la conexión pueda completarse con éxito.
No hay tráfico a través del túnel IPsec
Si el túnel se establece pero no se dirige tráfico a través de él, el problema suele deberse a las reglas del cortafuegos. Debes asegurarte de que las reglas están configuradas correctamente para permitir el tráfico de la VPN. Además, debes comprobar si la prioridad de la VPN y de las rutas estáticas está configurada correctamente para garantizar que el tráfico se enruta a través del túnel.
Carga útil HASH_V1 no válida
Una carga útil HASH_V1 no válida suele indicar una clave precompartida incorrecta. Debes comprobar la clave precompartida en ambos cortafuegos para asegurarte de que coinciden. Una clave incorrecta significa que la conexión no puede autenticarse y, por tanto, impide el establecimiento con éxito del túnel.
Conclusión
Solucionar los problemas de las conexiones IPsec en Sophos Firewall puede ser complejo, pero con las herramientas y métodos adecuados es posible identificar y resolver la mayoría de los problemas. Supervisando los registros en tiempo real y activando el modo de depuración, puedes obtener la información necesaria para buscar específicamente la causa de los problemas de conexión. Si conoces los problemas más comunes y sus soluciones, podrás hacer funcionar las conexiones IPsec de forma estable y fiable.
Sin embargo, si se producen problemas que no se pueden resolver, puede ser útil recopilar los registros con TCPDump para analizarlos y enviárnoslos a nosotros o al servicio de asistencia de Sophos para obtener más ayuda.
Ayuda adicional
Si la solución de problemas de la conexión IPsec en Sophos Firewall sigue causando dificultades, hay recursos adicionales que pueden ser útiles. Incluyen instrucciones detalladas y soluciones comunes para la resolución de problemas:
- Sophos Firewall: Solución de problemas de VPN IPsec de sitio a sitio – Una guía detallada para solucionar problemas de conexiones IPsec de sitio a sitio en el Sophos Firewall.
- Soporte de Sophos: KBA sobre resolución de problemas de IPsec – Un artículo de la base de conocimientos que describe los problemas más comunes de IPsec y sus soluciones.
Estas fuentes proporcionan información valiosa y pueden ayudar a resolver con éxito problemas persistentes con las conexiones IPsec.