Solución de problemas comunes en la conexión VPN de Cisco

Como con todos los aspectos de la tecnología de la información, eventualmente te enfrentarás a problemas que necesitarás corregir. En el caso de Cisco VPN, esto puede ser un verdadero desafío, ya que Cisco tiene diferentes formas de manejar la conectividad VPN, que van desde capacidades VPN incluidas en algunos enrutadores, hasta los servicios VPN ofrecidos por los firewall PIX de Cisco, hasta el Concentrador de VPN de Cisco, cada uno con sus propias peculiaridades. Como tal, no todos estos consejos se aplicarán necesariamente a todas las configuraciones VPN disponibles de Cisco. Sin embargo, te darán un punto de partida a medida que trabajas para solucionar problemas con tu VPN.

Índice de Contenido
  1. Un usuario que ejecuta Compartir conexión a Internet tiene problemas para instalar el cliente Cisco 3000 VPN
  2. Si estás utilizando claves compartidas, asegúrate de que coincidan
  3. Los usuarios que ejecutan algún software de firewall informan errores al intentar conectarse a la VPN
  4. Los usuarios de VPN doméstica se quejan de que no pueden acceder a otros recursos de su red doméstica cuando se establece la conexión VPN
  5. La red remota del usuario utiliza el mismo rango de direcciones IP que la red local del servidor VPN (Cliente VPN versión 4.6 con adaptador virtual, Windows 2000/XP)
  6. Combinaciones de routers/firmware específicos introducen problemas de conexión al cliente VPN
  7. Los usuarios informan que el cliente se desconecta cuando intentan establecer una conexión
  8. Tienes problemas para establecer una conexión VPN desde detrás de un dispositivo NAT o hacia un servidor VPN detrás de un dispositivo NAT
  9. Los usuarios establecen correctamente una conexión VPN, pero la conexión se desconecta periódicamente
  10. Un usuario informa que su máquina ya no es "visible" en su red local, incluso cuando el cliente VPN está desactivado

Un usuario que ejecuta Compartir conexión a Internet tiene problemas para instalar el cliente Cisco 3000 VPN

Este es un problema fácil de solucionar. El usuario necesita desactivar el Compartir conexión a Internet en su máquina antes de instalar el cliente VPN. Recomiendo al usuario que reemplace el Compartir conexión a Internet con un enrutador hogareño decente con un firewall. Ten en cuenta que esto no es necesario si la máquina VPN simplemente se conecta a través de otra máquina que utiliza Compartir conexión a Internet. Para desactivar el Compartir conexión a Internet, ve a Inicio | Panel de control | Herramientas administrativas | Servicios | Compartir conexión a Internet y desactiva la opción "Cargar al inicio". En una nota algo no relacionada, asegúrate de que los usuarios también sepan que el cliente VPN deshabilita la pantalla de bienvenida de XP y el Cambio rápido de usuario, que se utilizan comúnmente en máquinas domésticas de múltiples usuarios.

El viejo recurso, [Ctrl][Alt][Del], todavía funciona, sin embargo, y los usuarios deberán escribir sus nombres de usuario y contraseñas en lugar de hacer clic en una imagen de un gato. (Nota: El Cambio rápido de usuario se puede habilitar desactivando la función "Iniciar antes de iniciar sesión" del cliente. Esto podría tener sus propios problemas, así que no lo recomendaría a menos que realmente lo necesites).

Otra cosa sobre la instalación del cliente: Cisco no recomienda instalar múltiples clientes VPN en la misma PC. Si tienes un problema y necesitas llamar al soporte, desinstala otros clientes y realiza pruebas antes de hacer esa llamada.

Si estás utilizando claves compartidas, asegúrate de que coincidan

Si estás obteniendo errores en tus registros relacionados con claves precompartidas, es posible que tengas claves no coincidentes en ambos extremos de la conexión VPN. Si este es el caso, tus registros pueden indicar que los intercambios entre el cliente y el servidor VPN están bien hasta las asociaciones de seguridad del modo principal IKE. Algún tiempo después de esta parte del intercambio, los registros indicarán un problema con las claves. En el concentrador, ve a Configuración | Sistema | Protocolos de túnel | Opción LAN a LAN IPSec y selecciona tu configuración IPSec. En el campo de la clave precompartida, ingresa tu clave precompartida. En un firewall Cisco PIX utilizado en conjunto con el concentrador, utiliza el comando isakmp key contraseña dirección xx.xx.xx.xx máscara de red 255.255.255.255 donde contraseña es tu clave precompartida. La clave utilizada en tu concentrador y en tu PIX deben coincidir exactamente.

Los usuarios que ejecutan algún software de firewall informan errores al intentar conectarse a la VPN

Es posible que se deba abrir algunos puertos en el software de firewall, como BlackIce (BlackIce también tiene otros problemas con respecto al cliente Cisco VPN. Consulta las notas de lanzamiento del cliente para obtener más información), ZoneAlarm, Symantec y otros programas de seguridad en Internet para Windows, y ipchains o iptables en máquinas Linux. En general, si tus usuarios abren los siguientes puertos en su software, deberías ver una disminución en las quejas:

Comandos de Cisco IFS: cómo manipular archivos en un router Cisco
  • Puertos UDP 500, 1000 y 10000
  • Protocolo IP 50 (ESP)
  • Puerto TCP configurado para IPSec/TCP
  • Puerto NAT-T 4500

También es posible que tengas puertos personalizados configurados para IPSec/UDP e IPSec/TCP. Asegúrate de que los puertos que configuraste también estén abiertos en el software del cliente.

Los usuarios de VPN doméstica se quejan de que no pueden acceder a otros recursos de su red doméstica cuando se establece la conexión VPN

Esto generalmente ocurre cuando se deshabilita el enrutamiento dividido. Si bien el enrutamiento dividido puede plantear riesgos de seguridad, estos riesgos pueden mitigarse hasta cierto punto mediante la implementación de políticas de seguridad sólidas y aplicadas de manera automática en el cliente al conectarse (por ejemplo, una política podría requerir que se instale el software antivirus actual o que haya un firewall presente). En un PIX, utiliza el siguiente comando para habilitar el enrutamiento dividido:

vpngroup nombredelgrupo enrutamiento-dividido acl_enrutamiento_dividido

Debes tener un comando de access-list correspondiente que defina qué se enviará a través del túnel cifrado y qué se enviará de forma clara. Por ejemplo, access-list acl_enrutamiento_dividido permit ip 10.0.0.0 255.255.0.0 any, o cualquier otro rango de IP que tengas.

En un Concentrador de VPN Serie 3000 de Cisco, debes indicar al dispositivo qué redes deben incluirse en el túnel cifrado. Ve a Configuración | Administración de usuarios | Grupo base y, desde la pestaña Configuración de cliente, elige la opción Solo las redes del túnel en la lista y crea una lista de redes que deben estar cubiertas por la VPN y selecciona esta lista de redes en el cuadro desplegable Redes de enrutamiento dividido.

La red remota del usuario utiliza el mismo rango de direcciones IP que la red local del servidor VPN (Cliente VPN versión 4.6 con adaptador virtual, Windows 2000/XP)

Esto es algo específico de estos sistemas operativos particulares, pero puede ser bastante frustrante de solucionar. La versión 4.6 del cliente Cisco VPN intenta manejar este tipo de conflictos de direcciones IP, pero no siempre puede hacerlo. En estos casos, el tráfico que se supone que debe pasar por el túnel VPN permanece local debido al conflicto.

Cómo sincronizar la hora en tu red y dispositivos para mejorar la eficiencia y seguridad de tu red

En el cliente afectado, ve a Inicio | Panel de control | Conexiones de red y de acceso telefónico | adaptador local. Haz clic derecho en el adaptador y elige Propiedades. En la página de propiedades, elige TCP/IP y haz clic en el botón Propiedades. Ahora, haz clic en la opción Avanzado, encuentra la opción Métrica de interfaz y aumenta el número en el cuadro en 1. Esto le indica a tu computadora que utilice el adaptador local en segundo lugar. Es probable que el adaptador VPN tenga una métrica de 1 (inferior a esta nueva métrica), lo que lo convierte en la primera opción como destino del tráfico.

Combinaciones de routers/firmware específicos introducen problemas de conexión al cliente VPN

El cliente Cisco VPN tiene problemas con algunos routers domésticos más antiguos (y a veces más nuevos), generalmente con versiones de firmware específicas. Si tienes usuarios con problemas de conexión consistentes, pídeles que actualicen el firmware de su router, especialmente si tienen una unidad más antigua. Entre los modelos de routers que se sabe que tienen problemas con el cliente Cisco se encuentran:

  • Linksys BEFW11S4 con versiones de firmware anteriores a 1.44
  • Asante FR3004 Cable/DSL routers con versiones de firmware anteriores a 2.15
  • Routers Nexland Cable/DSL modelo ISB2LAN

Si todo lo demás falla, ten un enrutador de repuesto a mano para prestarle al usuario y ayudar a reducir los posibles problemas. En última instancia, es posible que el enrutador deba ser reemplazado.

Los usuarios informan que el cliente se desconecta cuando intentan establecer una conexión

En esta situación, los usuarios verán un mensaje de error similar a La conexión VPN finalizó localmente por el cliente. Motivo 403: No se puede contactar con la puerta de enlace de seguridad. Este error puede ser causado por varias cosas:

  1. El usuario puede haber ingresado una contraseña de grupo incorrecta
  2. El usuario puede no haber escrito correctamente el nombre o la dirección IP del punto final remoto de VPN
  3. El usuario puede tener otros problemas con su conexión a Internet.

Básicamente, por alguna razón, la negociación IKE falló. Verifica los registros del cliente, habilitados yendo a Registro | Habilitar, e intenta encontrar errores que indiquen "Error de verificación de hash" para tratar de acotar aún más el problema.

Tienes problemas para establecer una conexión VPN desde detrás de un dispositivo NAT o hacia un servidor VPN detrás de un dispositivo NAT

Este problema puede ocurrir en todo el hardware VPN de Cisco, ya que es inherente a la forma en que IPSec funcionaba antes de la introducción de estándares que permitieron la modificación de encabezados de paquetes durante la transmisión. Para corregir este problema, habilita el Traversal NAT (NAT-T) en tu hardware y permite que el puerto UDP 4500 atraviese tu firewall.

Cómo configurar y ver el registro de eventos en Cisco IOS

Si estás utilizando un firewall PIX tanto como cortafuegos como punto de conexión VPN, asegúrate de abrir el puerto 4500 y habilitar el nat-traversal en tu configuración con el comando isakmp nat-traversal 20, donde 20 es el período de tiempo de vigilancia NAT. Si tienes un firewall separado y un Concentrador de VPN de Cisco, asegúrate de abrir el puerto UDP 4500 en tu firewall con un destino del concentrador. Luego, en el concentrador, ve a Configuración | Túneles y seguridad | IPSec | Transparencia NAT y marca la opción "IPSec sobre NAT-T".

Los usuarios establecen correctamente una conexión VPN, pero la conexión se desconecta periódicamente

Nuevamente, hay varios lugares donde puedes verificar para tratar de resolver este problema. Primero, verifica que la computadora del usuario no haya entrado en modo de espera o hibernación, y que no haya aparecido un protector de pantalla. El modo de espera y la hibernación pueden interrumpir la conexión de red cuando el cliente VPN espera una conexión constante a un servidor VPN. El usuario también puede haber configurado su máquina para apagar un adaptador de red después de cierto tiempo para ahorrar energía.

Si se está utilizando una conexión inalámbrica, es posible que el usuario se haya desplazado a un lugar con una señal inalámbrica baja (o nula) y que la VPN se haya desconectado como resultado. Además, el usuario puede tener un cable de red defectuoso, problemas con su enrutador o conexión a Internet, o cualquier otro problema de conexión física.

También ha habido algunos informes de que un punto de enlace VPN (PIX o concentrador 3000) que ha agotado su grupo de direcciones IP también puede provocar este error en el cliente, aunque personalmente nunca he visto esto.

Un usuario informa que su máquina ya no es "visible" en su red local, incluso cuando el cliente VPN está desactivado

Otros síntomas pueden incluir la incapacidad de cualquier otra máquina en la red del usuario para hacer ping a la máquina VPN, aunque esta máquina sea perfectamente capaz de ver todas las demás máquinas en la red. Si este es el caso, es posible que el usuario haya habilitado el firewall incorporado del cliente VPN. Si este firewall está habilitado, seguirá funcionando incluso cuando el cliente no esté en ejecución. Para cambiar esto, abre el cliente y, desde la página de opciones, desmarca la casilla junto a la opción de firewall stateful.

Qué información puedes obtener con el comando show interfaces de Cisco IOS

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Solución de problemas comunes en la conexión VPN de Cisco , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.