En este tema se analizan problemas de configuración comunes relacionados con la VPN de Capa 2.

En el siguiente procedimiento:
  • Los pasos 1, 2 y 3 solo son aplicables cuando el servicio VPN de Capa 2 se ejecuta en un túnel SSL.
  • Los pasos 4, 5 y 6 se pueden aplicar cuando el servicio VPN de Capa 2 se ejecuta en los túneles SSL e IPSec.

Problema

Los siguientes problemas de configuración son específicos a los clientes de VPN de Capa 2 que usen túneles de SSL VPN para enrutar el tráfico:
  • El cliente de VPN de Capa 2 está configurado, pero el firewall de Internet no permite el flujo de tráfico por el túnel a través del puerto de destino 443.
  • El cliente de VPN de Capa 2 está configurado para validar el certificado del servidor, pero no con el FQDN o certificado de entidad de certificación correctos.
Los siguientes problemas de configuración son comunes a los clientes de VPN de Capa 2 que usen túneles de SSL VPN o túneles de VPN IPSec para enrutar el tráfico:
  • El servidor de VPN de Capa 2 está configurado, pero no se creó la regla de firewall o NAT en el firewall de Internet.
  • La interfaz de enlace troncal no está respaldada por un grupo de puertos estándar o distribuidos.
Nota: Para la VPN de Capa 2 en túneles SSL, recuerde:
  • El servidor de VPN de Capa 2 escucha en el puerto 443 de forma predeterminada. Este puerto se puede configurar desde los ajustes del servidor de VPN de Capa 2.
  • El cliente de VPN de Capa 2 realiza una conexión saliente con el puerto 443 de forma predeterminada. Este puerto se puede configurar en los ajustes del cliente de VPN de Capa 2.

Solución

  1. Compruebe si se está ejecutando el proceso del servidor VPN de Capa 2.
    1. Inicie sesión en la máquina virtual de NSX Edge.
    2. Ejecute el comando show process monitor y verifique que aparezca un proceso con el nombre l2vpn.
    3. Ejecute el comando show service network-connections y verifique si el proceso l2vpn realiza la escucha en el puerto 443.
  2. Compruebe si se está ejecutando el proceso del cliente VPN de Capa 2.
    1. Inicie sesión en la máquina virtual de NSX Edge.
    2. Ejecute el comando show process monitor y verifique que aparezca un proceso con el nombre naclientd.
    3. Ejecute el comando show service network-connections y verifique si el proceso naclientd realiza la escucha en el puerto 443.
  3. Compruebe si se puede acceder al servidor VPN de Capa 2 desde Internet.
    1. Abra el navegador y acceda a la página https://<l2vpn-public-ip>.
    2. Debe aparecer una página de inicio de sesión del portal. Si es así, significa que se puede acceder al servidor de VPN de Capa 2 a través de Internet.
  4. Compruebe si la interfaz de enlace troncal cuenta con un grupo de puertos estándar o distribuidos.
    1. Si cuenta con un grupo de puertos distribuidos, se configurará automáticamente un puerto de recepción.
    2. Si cuenta con un grupo de puertos estándar, debe configurar manualmente vSphere Distributed Switch de la siguiente forma:
    • Defina el modo promiscuo para el puerto.
    • Seleccione Aceptar (Accept) en Transmisiones falsificadas (Forged Transmits).
  5. Mitigue el problema relacionado con los bucles de la VPN de Capa 2.
    1. Se observan dos problemas principales cuando la formación de equipos de NIC no se configura correctamente: cambio de MAC y paquetes duplicados. Verifique que la configuración se corresponda con lo descrito en Opciones de VPN de Capa 2 para mitigar los bucles.
  6. Compruebe si las máquinas virtuales de la VPN de Capa 2 pueden comunicarse entre sí.
    1. Inicie sesión en la CLI del servidor de VPN de Capa 2 y capture el paquete en la interfaz TAP debug packet capture interface name correspondiente.
    2. Inicie sesión en la CLI del cliente de VPN de Capa 2 y capture el paquete en la interfaz TAP debug packet capture interface name correspondiente.
    3. Analice estas capturas para comprobar el flujo del tráfico de datos y si se solucionan los problemas de ARP.
    4. Compruebe si la propiedad Allow Forged Transmits: dvSwitch está definida como puerto de enlace de la VPN de Capa 2.
    5. Compruebe si el puerto de recepción está definido como puerto de enlace de la VPN de Capa 2. Para ello, inicie sesión en el host y ejecute el comando net-dvs -l. Busque la propiedad de recepción definida como puerto interno de Edge de la VPN de Capa 2 (com.vmware.etherswitch.port.extraEthFRP = SINK). El puerto interno se refiere al puerto dvPort al que está conectado el enlace de NSX Edge.
    El resultado del comando muestra que el puerto de recepción está habilitado para el dvPort al que está conectada la interfaz troncal de Edge.