Resolucion de Problemas VPN Ipsec Cisco

Embed Size (px)

DESCRIPTION

Este manual ayudad a las personas a solucionar problemas que posean cuando utilicen el protocolo ipsec.

Text of Resolucion de Problemas VPN Ipsec Cisco

  • Resolucin de los problemas ms comunes con VPN IPSec L2L y deacceso remoto

    ContenidoIntroduccin Requisitos previos Requerimientos Componentes utilizados ConvencionesProblema: una configuracin de VPN IPSec no funciona Soluciones Activacin de NAT-Traversal (problema VPN RA n 1) Prueba de conectividad correcta Activacin de ISAKMP Borrado de las asociaciones de seguridad (tneles) antiguas o existentes Activacin de seales de mantenimiento de ISAKMP Reintroduccin de claves previamente compartidas Eliminacin y reemplazo de mapas de cifrados Verificacin de la presencia de comandos sysopt (slo PIX/ASA) Verificacin de que las ACL son correctas Verificacin de que el enrutamiento es correcto Verificacin de nmeros de secuencia del mapa de cifrado Desactivacin de XAUTH para pares L2LProblema: los usuarios de acceso remoto se conectan a la VPN y no tienen acceso a otros recursos Soluciones Tnel dividido Devolucin de llamadas Acceso LAN local

    IntroduccinEste documento contiene las soluciones ms comunes para los problemas de VPN IPSec. Estas soluciones provienen directamente de lassolicitudes de servicio que el Sitio de Soporte de Cisco ha resuelto. Muchas de estas soluciones pueden implementarse antes de profundizar en laresolucin de problemas relacionados con una conexin VPN IPSec. Por tanto, este documento se ha diseado como una lista de control de losprocedimientos ms comunes que se deben llevar a cabo antes de intentar resolver el problema o ponerse en contacto con el Sitio de Soporte deCisco.

    Nota: A pesar de que los ejemplos de configuracin de este documento se han diseado para routers y dispositivos de seguridad, casi todos losconceptos aqu contenidos pueden aplicarse a un concentrador VPN 3000.

    Nota: Puede buscar cualquier comando que contenga este documento mediante la herramienta Command Lookup Tool (slo para clientesregistrados).

    Advertencia: Muchas de las soluciones contenidas en este documento pueden causar una prdida temporal de conectividad VPN IPSec enun dispositivo. Se recomienda implementar estas soluciones con sumo cuidado y siguiendo las polticas de control de cambios pertinentes.

    Requisitos previosRequerimientos

    Cisco recomienda poseer ciertos conocimientos acerca de estos temas:

    Configuracin de VPN IPSec en dispositivos de Cisco:

    Dispositivo de seguridad de la serie PIX 500 de CiscoDispositivo de seguridad de la serie ASA 5500 de Cisco

  • Routers de Cisco IOSConcentradores de la serie VPN 3000 de Cisco (opcional)

    Componentes utilizados

    La informacin que contiene este documento se basa en las siguientes versiones de software y hardware:

    Dispositivo de seguridad de la serie ASA 5500 de CiscoDispositivo de seguridad de la serie PIX 500 de CiscoCisco IOS

    La informacin que contiene este documento se cre a partir de los dispositivos en un entorno de laboratorio especfico. Todos los dispositivosque se utilizan en este documento se iniciaron con una configuracin sin definir (predeterminada). Si la red est funcionando, asegrese de habercomprendido el impacto que puede tener cualquier comando.

    Convenciones

    Consulte Convenciones sobre consejos tcnicos de Cisco para obtener ms informacin sobre las convenciones del documento.

    Problema: una configuracin de VPN IPSec no funcionaUna solucin de VPN IPSec recientemente configurada o modificada no funciona.

    Una configuracin actual de VPN IPSec no funciona.

    SolucionesEsta seccin contiene soluciones a los problemas de VPN IPSec ms comunes. Aunque no estn enumeradas siguiendo un orden en particular,estas soluciones pueden servir como una lista de control de elementos que se deben verificar o probar antes de pasar a una resolucin deproblemas ms exhaustiva o ponerse en contacto con el Sitio de Soporte de Cisco. Todas estas soluciones provienen directamente de solicitudesde servicio del Sitio de Soporte de Cisco y han resuelto numerosos problemas de los clientes.

    Nota: Algunos de los comandos de estas secciones se han separado en dos lneas debido a problemas de espacio.

    Activacin de NAT-Traversal (problema VPN RA n 1)

    NAT-Traversal o NAT-T permite que el trfico VPN pase a travs de los dispositivos NAT o PAT, como un router Linksys SOHO. Si NAT-T noest activada, a menudo parece que los usuarios del cliente VPN pueden conectarse a PIX o ASA sin problemas, pero no pueden acceder a la redinterna detrs del dispositivo de seguridad.

    Nota: Con IOS 12.2(13)T y versiones posteriores, NAT-T est activada de forma predeterminada en IOS.

    ste es el comando para activar NAT-T en un dispositivo de seguridad de Cisco. En este ejemplo, 20 es el tiempo de seal de mantenimiento(predeterminado).

    PIX/ASA 7.1 y versiones anteriores

    pix(config)# isakmp nat-traversal 20PIX/ASA 7.2(1) y versiones posteriores

    securityappliance(config)# crypto isakmp nat-traversal 20

    Nota: Este comando es el mismo para PIX 6.x y PIX/ASA 7.x.

    Prueba de conectividad correcta

    Lo adecuado es que la conectividad VPN se pruebe desde dispositivos ubicados detrs de los dispositivos de puntos finales que realizan elcifrado. A pesar de ello, muchos usuarios prueban de conectividad VPN mediante el comando ping en los dispositivos que realizan el cifrado.Aunque el comando ping normalmente funciona para este propsito, es importante que se origine desde la interfaz correcta. Si el ping no seorigina correctamente, puede parecer que la conexin VPN falla cuando en realidad funciona. Tome este escenario como ejemplo:

  • ACL de cifrado en router A

    access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255

    ACL de cifrado en router B

    access-list 110 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255

    En esta situacin, se debe originar un ping desde la red "interna" detrs de cualquiera de los routers. Esto se debe a que las ACL de cifrado sloestn configuradas para cifrar trfico con esas direcciones de origen. Un ping originado desde las interfaces orientadas a Internet de cualquiera delos routers no se cifrar. Utilice las opciones extendidas del comando ping del modo EXEC con privilegios para originar un ping desde la interfaz"interna" de un router:

    routerA# pingProtocol [ip]:Target IP address: 192.168.200.10Repeat count [5]:Datagram size [100]:Timeout in seconds [2]:Extended commands [n]: ySource address or interface: 192.168.100.1Type of service [0]:Set DF bit in IP header? [no]:Validate reply data? [no]:Data pattern [0xABCD]:Loose, Strict, Record, Timestamp, Verbose[none]:Sweep range of sizes [n]:Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds:Packet sent with a source address of 192.168.100.1!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

    Imagine que los routers de este diagrama se han reemplazado con dispositivos de seguridad PIX o ASA. El ping que se utiliza para probar laconectividad tambin se puede originar desde la interfaz interna con la palabra clave inside:

    securityappliance# ping inside 192.168.200.10Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.200.10, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

    Nota: No se recomienda dirigir la interfaz interna de un dispositivo de seguridad mediante ping. Si debe dirigir una interfaz interna medianteping, deber activar management-access en dicha interfaz o el dispositivo no responder.

    securityappliance(config)# management-access inside

    Activacin de ISAKMP

    Si no existen indicaciones de ninguna activacin en un tnel de VPN IPSec, puede deberse a que ISAKMP no est activado. Asegrese de activarISAKMP en los dispositivos. Utilice uno de estos comandos para activar ISAKMP en los dispositivos:

    Cisco IOS

    router(config)#crypto isakmp enableCisco PIX 7.1 y versiones anteriores (reemplace outside con la interfaz deseada)

    pix(config)# isakmp enable outsideCisco PIX/ASA 7.2(1) y versiones posteriores (reemplace outside con la interfaz deseada)

    securityappliance(config)# crypto isakmp enable outside

    Borrado de las asociaciones de seguridad (tneles) antiguas o existentes

    Borrar las asociaciones de seguridad (SA) ISKAMP (fase I) y IPSec (fase II) es la forma ms simple, y a menudo la mejor, de resolver problemasde VPN IPSec. Si borra las SA, puede resolver una gran variedad de mensajes de error y comportamientos extraos sin necesidad de acudir a laresolucin de problemas. A pesar de que esta tcnica se puede emplear fcilmente en cualquier situacin, casi siempre es necesario borrar las SAuna vez modificadas o agregadas a una configuracin VPN IPSec actual. Adems, aunque es posible borrar slo determinadas asociaciones de

  • seguridad, lo ms recomendable es borrar todas las AS del dispositivo.

    Nota: Una vez que se han borrado las asociaciones de seguridad, puede que sea necesario enviar trfico a travs del tnel para poderreestablecerlas.

    Advertencia: A menos que especifique qu asociaciones de seguridad desea borrar, los comandos a continuacin pueden borrar todas lasasociaciones de seguridad del dispositivo. Acte con precaucin si hay algn otro tnel de VPN IPSec en uso.

    Revise las asociaciones de seguridad antes de borrarlas.1.

    Cisco IOSa.

    router#show crypto isakmp sarouter#show crypto ipsec sa

    Dispositivos de seguridad Cisco PIX/ASAb.

    securityappliance# show crypto isakmp sasecurityappliance# show crypto ipsec sa

    Nota: Estos comandos son los mismos para Cisco PIX 6.x y PIX/ASA 7.x

    Borre las asociaciones de seguridad. Cada uno de los comandos se puede introducir como se indica en negrita o con las opciones que semuestran con ellos.

    2.

    Cisco IOSa.

    ISAKMP (fase I)a.