{"id":161471,"date":"2024-09-03T12:06:59","date_gmt":"2024-09-03T11:06:59","guid":{"rendered":"https:\/\/www.avanet.com\/kb\/sophos-firewall-ipsec-troubleshooting\/"},"modified":"2024-09-03T12:09:52","modified_gmt":"2024-09-03T11:09:52","slug":"sophos-firewall-ipsec-troubleshooting","status":"publish","type":"kb","link":"https:\/\/www.avanet.com\/es\/kb\/sophos-firewall-ipsec-troubleshooting\/","title":{"rendered":"Sophos Firewall &#8211; Resoluci\u00f3n de problemas y soluciones para conexiones IPsec"},"content":{"rendered":"\n<p>Las conexiones IPsec Site-to-Site (S2S) son una parte esencial de muchas redes, especialmente cuando se trata de conectar de forma segura distintas ubicaciones.\nSin embargo, si una conexi\u00f3n de este tipo no es estable o no puede establecerse en primer lugar, esto puede tener un grave impacto en toda la comunicaci\u00f3n de la red.\nEste art\u00edculo est\u00e1 dirigido a los administradores inform\u00e1ticos que buscan soluciones a problemas comunes de IPsec en el Sophos Firewall.\nA continuaci\u00f3n se describen los pasos y comandos que se pueden utilizar para solucionar problemas.   <\/p>\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Temas<\/h2><nav><ul><li class=\"\"><a href=\"#warum-i-psec-verbindungen-probleme-bereiten-konnen\"><a href=\"#warum-i-psec-verbindungen-probleme-bereiten-konnen\">Por qu\u00e9 las conexiones IPsec pueden causar problemas<\/a><\/a><\/li><li class=\"\"><a href=\"#erste-schritte-logs-und-debugging\"><a href=\"#erste-schritte-logs-und-debugging\">Primeros pasos: Registros y depuraci\u00f3n<\/a><\/a><ul><li class=\"\"><a href=\"#echtzeit-logs-uberwachen\"><a href=\"#echtzeit-logs-uberwachen\">Monitoriza los registros en tiempo real<\/a><\/a><\/li><li class=\"\"><a href=\"#debug-modus-fur-den-strong-swan-dienst-aktivieren\"><a href=\"#debug-modus-fur-den-strong-swan-dienst-aktivieren\">Activar el modo de depuraci\u00f3n para el servicio StrongSwan<\/a><\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#haufige-probleme-und-deren-behebung\"><a href=\"#haufige-probleme-und-deren-behebung\">Problemas habituales y c\u00f3mo resolverlos<\/a><\/a><ul><li class=\"\"><a href=\"#falsche-traffic-selectors\"><a href=\"#falsche-traffic-selectors\">Selectores de tr\u00e1fico incorrectos<\/a><\/a><\/li><li class=\"\"><a href=\"#keine-ike-konfiguration-gefunden\"><a href=\"#keine-ike-konfiguration-gefunden\">No se ha encontrado configuraci\u00f3n IKE<\/a><\/a><\/li><li class=\"\"><a href=\"#peer-authentifizierung-fehlgeschlagen\"><a href=\"#peer-authentifizierung-fehlgeschlagen\">Fallo en la autenticaci\u00f3n de pares<\/a><\/a><\/li><li class=\"\"><a href=\"#kein-traffic-durch-den-i-psec-tunnel\"><a href=\"#kein-traffic-durch-den-i-psec-tunnel\">No hay tr\u00e1fico a trav\u00e9s del t\u00fanel IPsec<\/a><\/a><\/li><li class=\"\"><a href=\"#ungultiger-hash-v-1-payload\"><a href=\"#ungultiger-hash-v-1-payload\">Carga \u00fatil HASH_V1 no v\u00e1lida<\/a><\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#abschluss\"><a href=\"#abschluss\">Conclusi\u00f3n<\/a><\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 class=\"wp-block-heading\" id=\"warum-i-psec-verbindungen-probleme-bereiten-konnen\">Por qu\u00e9 las conexiones IPsec pueden causar problemas<\/h2>\n\n<p>Las conexiones IPsec pueden volverse inestables o fallar por varias razones.\nLas causas m\u00e1s comunes son <\/p>\n\n<ul class=\"wp-block-list\">\n<li>Configuraciones de red incorrectas a ambos lados del t\u00fanel<\/li>\n\n\n\n<li>Versiones IKE no coincidentes<\/li>\n\n\n\n<li>Desajustes en los ID de conexi\u00f3n<\/li>\n\n\n\n<li>Claves precompartidas defectuosas<\/li>\n\n\n\n<li>Reglas del cortafuegos configuradas incorrectamente<\/li>\n<\/ul>\n\n<p>Estos problemas pueden tener un grave impacto en la funcionalidad de la conexi\u00f3n VPN y requieren una cuidadosa resoluci\u00f3n de problemas.<\/p>\n\n<h2 class=\"wp-block-heading\" id=\"erste-schritte-logs-und-debugging\">Primeros pasos: Registros y depuraci\u00f3n<\/h2>\n\n<p>Antes de identificar y resolver problemas concretos, es crucial reunir la informaci\u00f3n adecuada.\nLos registros y las herramientas de depuraci\u00f3n disponibles en el Sophos Firewall pueden ayudar a ello. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"echtzeit-logs-uberwachen\">Monitoriza los registros en tiempo real<\/h3>\n\n<p>Para obtener una visi\u00f3n detallada del servicio IPsec en ejecuci\u00f3n, es \u00fatil supervisar los registros en tiempo real.\nEsto puede hacerse con el siguiente comando en la CLI del Sophos Firewall: <\/p>\n\n<pre class=\"wp-block-code\"><code>tail -f \/log\/strongswan.log | grep azure-vpn<\/code><\/pre>\n\n<p><br\/>Este comando filtra las entradas del registro seg\u00fan el t\u00fanel concreto (en este ejemplo \u00abazure-vpn\u00bb) y s\u00f3lo muestra la informaci\u00f3n relevante.\nEsto es especialmente \u00fatil para ver qu\u00e9 ocurre exactamente durante la configuraci\u00f3n de la conexi\u00f3n o en caso de errores. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"debug-modus-fur-den-strong-swan-dienst-aktivieren\">Activar el modo de depuraci\u00f3n para el servicio StrongSwan<\/h3>\n\n<p><br\/>Si los registros est\u00e1ndar no son suficientes para diagnosticar el problema, se puede activar el modo de depuraci\u00f3n del servicio Strongswan.\nEsto proporciona informaci\u00f3n m\u00e1s detallada: <\/p>\n\n<pre class=\"wp-block-code\"><code>service strongswan:debug -ds nosync<\/code><\/pre>\n\n<p><br\/>El modo de depuraci\u00f3n proporciona una visi\u00f3n m\u00e1s profunda de los procesos del servicio IPsec, lo que facilita el diagn\u00f3stico de problemas complejos.<\/p>\n\n<p>\u26a0\ufe0f El registro IPsec puede requerir r\u00e1pidamente mucho espacio de almacenamiento en los SSD, por lo que el modo de depuraci\u00f3n debe desactivarse de nuevo inmediatamente despu\u00e9s del an\u00e1lisis.<\/p>\n\n<h2 class=\"wp-block-heading\" id=\"haufige-probleme-und-deren-behebung\">Problemas habituales y c\u00f3mo resolverlos<\/h2>\n\n<p>Una vez recopilados los registros y la informaci\u00f3n de depuraci\u00f3n, puedes empezar a identificar y solucionar problemas concretos.<\/p>\n\n<h3 class=\"wp-block-heading\" id=\"falsche-traffic-selectors\">Selectores de tr\u00e1fico incorrectos<\/h3>\n\n<p>Un problema habitual en las conexiones IPsec es que los selectores de tr\u00e1fico (tambi\u00e9n conocidos como asociaciones de seguridad o SA) de ambos lados del t\u00fanel no coinciden.\nEsto puede provocar que el t\u00fanel no se configure correctamente.\nEs importante asegurarse de que las redes que se van a conectar a trav\u00e9s del t\u00fanel est\u00e1n configuradas de forma id\u00e9ntica en ambos lados.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"keine-ike-konfiguration-gefunden\">No se ha encontrado configuraci\u00f3n IKE<\/h3>\n\n<p>Otro problema se produce si las versiones IKE de ambos lados de la conexi\u00f3n no coinciden.\nEn este caso, la conexi\u00f3n no se establece y aparece un mensaje de error en el registro.\nDebes comprobar si las versiones IKE de ambos cortafuegos coinciden y ajustarlas en consecuencia.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"peer-authentifizierung-fehlgeschlagen\">Fallo en la autenticaci\u00f3n de pares<\/h3>\n\n<p>Si falla la autenticaci\u00f3n entre pares, suele deberse a que los ID de conexi\u00f3n no coinciden.\nDebes asegurarte de que los ID de conexi\u00f3n local y remota est\u00e1n configurados correctamente en ambos lados.\nEstos ID deben ser id\u00e9nticos para que la fase 1 de la conexi\u00f3n pueda completarse con \u00e9xito.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"kein-traffic-durch-den-i-psec-tunnel\">No hay tr\u00e1fico a trav\u00e9s del t\u00fanel IPsec<\/h3>\n\n<p>Si el t\u00fanel se establece pero no se dirige tr\u00e1fico a trav\u00e9s de \u00e9l, el problema suele deberse a las reglas del cortafuegos.\nDebes asegurarte de que las reglas est\u00e1n configuradas correctamente para permitir el tr\u00e1fico de la VPN.\nAdem\u00e1s, debes comprobar si la prioridad de la VPN y de las rutas est\u00e1ticas est\u00e1 configurada correctamente para garantizar que el tr\u00e1fico se enruta a trav\u00e9s del t\u00fanel.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"ungultiger-hash-v-1-payload\">Carga \u00fatil HASH_V1 no v\u00e1lida<\/h3>\n\n<p>Una carga \u00fatil HASH_V1 no v\u00e1lida suele indicar una clave precompartida incorrecta.\nDebes comprobar la clave precompartida en ambos cortafuegos para asegurarte de que coinciden.\nUna clave incorrecta significa que la conexi\u00f3n no puede autenticarse y, por tanto, impide el establecimiento con \u00e9xito del t\u00fanel.  <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"abschluss\">Conclusi\u00f3n<\/h2>\n\n<p>Solucionar los problemas de las conexiones IPsec en Sophos Firewall puede ser complejo, pero con las herramientas y m\u00e9todos adecuados es posible identificar y resolver la mayor\u00eda de los problemas.\nSupervisando los registros en tiempo real y activando el modo de depuraci\u00f3n, puedes obtener la informaci\u00f3n necesaria para buscar espec\u00edficamente la causa de los problemas de conexi\u00f3n.\nSi conoces los problemas m\u00e1s comunes y sus soluciones, podr\u00e1s hacer funcionar las conexiones IPsec de forma estable y fiable.  <\/p>\n\n<p>Sin embargo, si se producen problemas que no se pueden resolver, puede ser \u00fatil <a href=\"https:\/\/www.avanet.com\/es\/kb\/sophos-firewall-recopilar-registros-de-la-herramienta-tcpdump\/\">recopilar los registros con TCPDump para analizarlos<\/a> y envi\u00e1rnoslos a nosotros o al servicio de asistencia de Sophos para obtener m\u00e1s ayuda.<\/p>\n\n<p><strong>Ayuda adicional<\/strong><\/p>\n\n<p>Si la soluci\u00f3n de problemas de la conexi\u00f3n IPsec en Sophos Firewall sigue causando dificultades, hay recursos adicionales que pueden ser \u00fatiles.\nIncluyen instrucciones detalladas y soluciones comunes para la resoluci\u00f3n de problemas: <\/p>\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/community.sophos.com\/sophos-xg-firewall\/f\/recommended-reads\/123740\/sophos-firewall-troubleshooting-site-to-site-ipsec-vpn-issues\" target=\"_blank\" rel=\"noopener\">Sophos Firewall: Soluci\u00f3n de problemas de VPN IPsec de sitio a<\/a> sitio &#8211; Una gu\u00eda detallada para solucionar problemas de conexiones IPsec de sitio a sitio en el Sophos Firewall.<\/li>\n\n\n\n<li><a href=\"https:\/\/support.sophos.com\/support\/s\/article\/KBA-000006520?language=en_US\" target=\"_blank\" rel=\"noopener\">Soporte de Sophos: KBA sobre resoluci\u00f3n de problemas de IPsec<\/a> &#8211; Un art\u00edculo de la base de conocimientos que describe los problemas m\u00e1s comunes de IPsec y sus soluciones.<\/li>\n<\/ul>\n\n<p>Estas fuentes proporcionan informaci\u00f3n valiosa y pueden ayudar a resolver con \u00e9xito problemas persistentes con las conexiones IPsec.<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"template":"","format":"standard","kb_kategorie":[408],"class_list":["post-161471","kb","type-kb","status-publish","format-standard","hentry","kb_kategorie-sophos-firewall"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/kb\/161471","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/kb"}],"about":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/types\/kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/users\/1"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/media?parent=161471"}],"wp:term":[{"taxonomy":"kb_kategorie","embeddable":true,"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/kb_kategorie?post=161471"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}