Cuando una VPN deja de funcionar con el mensaje "VPN del mismo nivel no responde", la causa principal puede ser cualquier cosa, desde una interrupción de la red hasta una regla de cortafuegos que falta o está o mal configurada.

Problema

Una nueva VPN no se activa después de crearla o una VPN en funcionamiento falla después de actualizar o reconfigurar uno de los extremos o cambiar una tabla de rutas.

Causa

A diferencia de otros endpoints, cuya disponibilidad se puede verificar con comandos como ping, en realidad no se puede verificar la conectividad de VPN fuera de la propia VPN. IPsec utiliza UDP, por lo que se obtiene o no se obtiene una respuesta del elemento del mismo nivel. La accesibilidad de ping depende de si el elemento del mismo nivel lo ha habilitado y muchos no lo hacen.

Solución

  1. Asegúrese de que la dirección IP remota configurada en la VPN coincide con la dirección IP en la que el elemento del mismo nivel está escuchando.
  2. Asegúrese de que los firewalls del sitio remoto (local) están configurados para permitir el tráfico al puerto UDP 500. Si el endpoint remoto tiene NAT, los firewalls del sitio remoto deben permitir el tráfico al puerto UDP 4500.
  3. El tráfico de VPN de IPsec utiliza varios protocolos y todos ellos deben estar permitidos a través del firewall.
    Entre ellas se incluyen:
    • Protocolo IP 50 de carga útil de seguridad encapsulada (ESP, Encapsulating Security Payload)
    • Encabezado de autenticación (AH): protocolo IP 51
    • ISAKMP (Protocolo de administración de claves y asociación de seguridad de Internet) que a su vez utiliza IKE e IKE v2 (intercambio de claves por Internet)
  4. Asegúrese de que la misma versión de IKE esté configurada para ambos endpoints.
  5. Asegúrese de que esté implementado el enrutamiento para que cada lado pueda acceder al otro.
    Esto se puede validar mediante traceroute, pero la validación de ruta de extremo a extremo no siempre es posible, ya que muchos endpoints no responden a las solicitudes estándar de eco ICMP (ping) o traceroute. Cuando se configura la Dirección IP local de la VPN de SDDC como Pública, el tráfico de VPN siempre fluirá a través de la puerta de enlace de Internet del SDDC. En caso contrario (cuando la Dirección IP local de la VPN es Privada), el tráfico de VPN fluye a través del vínculo superior de la Intranet del SDDC. Asegúrese de que el lado remoto de la VPN envíe tráfico de respuesta a través de la misma ruta.