Cuando un túnel de VPN IPSec se vuelva inestable, recopile los registros del producto NSX Data Center for vSphere para comenzar el procedimiento básico de solución de problemas. Puede establecer sesiones de captura de paquetes en la ruta de datos y ejecutar algunos comandos de la CLI de NSX Edge para determinar las causas de la inestabilidad del túnel.

Use el siguiente procedimiento para solucionar los problemas de las causas de la inestabilidad del túnel de VPN IPSec.

Requisitos previos

Antes de configurar las sesiones de captura de paquetes en la ruta de datos, asegúrese de que se cumplan los siguientes requisitos:
  • Se pueden enviar y recibir paquetes en los puertos UDP 500 y 4500.
  • Las reglas de firewall permiten que el tráfico de datos pase mediante los puertos 500 y 4500.
  • Las reglas de firewall admiten los paquetes de carga de seguridad encapsuladora (ESP).
  • La subred local que se enruta mediante la interfaz IPSec está configurada correctamente.
  • Compruebe la configuración MTU para los problemas de fragmentación enviando una pequeña carga útil de ping y, a continuación, una carga útil de ping mayor a la IP al final del túnel.

Procedimiento

  1. Recopile los registros de soporte de los dos sitios.
    • Si desea recopilar información de diagnóstico para NSX Data Center for vSphere, consulte el artículo http://kb.vmware.com/kb/2074678 de la base de conocimientos de VMware.
    • Si desea recopilar información de diagnóstico para NSX Edge, consulte el artículo http://kb.vmware.com/kb/2079380 de la base de conocimientos de VMware.
    Importante: Debido al espacio de disco limitado del dispositivo NSX Edge, debe redireccionar los registros a un servidor syslog. Para obtener más información, consulte la sección sobre cómo configurar los servidores syslog remotos en la NSX Data Center for vSphereGuía de administración de .
  2. Asegúrese de que el servicio VPN IPSec de NSX Edge esté configurado correctamente para funcionar con las soluciones de firewall para VPN con hardware externo, como SonicWall y Watchguard, entre otros. Si es necesario, póngase en contacto con el proveedor de VPN para conocer la información de configuración específica que necesite.
  3. Configure una captura de paquetes de paquetes IKE o paquetes ESP entre NSX Edge y el firewall externo.
  4. En NSX Edge, registre el estado en tiempo real del momento en el que se produce el problema. Ejecute los siguientes comandos y registre los resultados.
    Comando Propósito
    show service ipsec Compruebe el estado del servicio VPN IPSec.
    show service ipsec sp Compruebe el estado de directiva de seguridad.
    show service ipsec sa Compruebe el estado de la asociación de seguridad (SA).
  5. Mientras el problema se sigue produciendo, capture los registros relativos a IPSec y extraiga los resultados de la solución VPN externa.
  6. Revise los registros relativos a IPSec y extraiga los resultados para identificar los problemas. Verifique que el servicio VPN IPSec se esté ejecutando, que las directivas de seguridad se crearon y que se configuraron las asociaciones de seguridad entre los dispositivo.
    Los problemas comunes que puede detectar a partir de los registros son los siguientes:
    • ID inválido: INVALID_ID_INFORMATION o PAYLOAD_MALFORMED.
    • Una CA que no es de confianza: INVALID_KEY_INFORMATION o un error más específico. Por ejemplo, no se encuentra clave pública RSA para "C=CN, ST=BJ, O=VMWare, OU=CINS, CN=left" o PAYLOAD_MALFORMED (no RSA public key known for 'C=CN, ST=BJ, O=VMWare, OU=CINS, CN=left‘, or PAYLOAD_MALFORMED).
    • No se encuentra el ID de proxy propuesto: INVALID_ID_INFORMATION o PAYLOAD_MALFORMED.
    • Sin respuesta DPD del par. Por ejemplo, DPD: sin respuesta DPD. Se declara el par inactivo (DPD: No response from peer - declaring peer dead).
  7. Compruebe el mensaje de error del túnel en vSphere Web Client, en la CLI de NSX Edge o ejecutando las REST API de NSX Data Center for vSphere.
    Por ejemplo, para ver el mensaje de error en vSphere Web Client, haga doble clic en NSX Edge, diríjase a la página VPN IPSec (IPSec VPN) y realice los siguientes pasos:
    1. Haga clic en Mostrar estadísticas de IPSec (Show IPSec Statistics).
    2. Seleccione el canal de IPSec que está inactivo.
    3. A continuación, seleccione el túnel que esté desactivado (deshabilitado) y consulte la información sobre el fallo del túnel.
      • En NSX 6.4.6 y versiones posteriores, haga clic en Deshabilitado (Disabled) en la columna Estado del túnel (Tunnel State).
      • En NSX 6.4.5 y versiones anteriores, haga clic en Ver detalles (View Details) en la columna Estado del túnel (Tunnel State).

    La siguiente tabla enumera las posibles causas de los problemas de conectividad del túnel IPSec y el mensaje de error asociado a cada uno de ellos.

    Causas Mensaje de error
    No se puede acceder al par IKEv1. Versión IKEv1: se retransmite el mensaje IKE sin respuesta desde el par. (Version-IKEv1 Retransmitting IKE Message as no response from Peer).
    Error de coincidencia en propuesta de la fase 1 de IKEv1. Versión IKEv1: sin propuesta elegida. Compruebe la versión de IKE, el cifrado, la autenticación y el DH configurados. (Version-IKEv1 No Proposal Chosen. Check configured Encryption/Authentication/DH/IKE-Version).
    Error de coincidencia en cualquiera de los siguientes datos:
    • PSK de IKEv1
    • ID de IKEv1
    • Certificado de IKEv1
    Versión IKEv1: error de autenticación. Compruebe el secreto configurado o la configuración del ID local o del mismo nivel. (Version-IKEv1 Authentication Failed. Check the configured secret or local/peer ID configuration).
    Error de coincidencia en propuesta de la fase 2 de IKEv1. Los selectores de tráfico o las propuestas de SA IPSec no coinciden. (IPSec-SA Proposals or Traffic Selectors did not match).
    No se puede acceder al par IKEv2. Versión IKEv2: se retransmite el mensaje IKE sin respuesta desde el par. (Version-IKEv2 Retransmitting IKE Message as no response from Peer).
    Error de coincidencia en la propuesta SA IKE de IKEv2. Versión IKEv2: sin propuesta elegida. Compruebe la versión de IKE, el cifrado, la autenticación y el DH configurados. (Version-IKEv2 No Proposal Chosen. Check configured Encrypt/Authentication/DH/IKEversion).
    Error de coincidencia en la propuesta SA IPSec de IKEv2. Los selectores de tráfico o las propuestas de SA IPSec no coinciden. (IPSec-SA Proposals or Traffic Selectors did not match).
    Error de coincidencia en los selectores de tráfico SA IPSec de IKEv2. Los selectores de tráfico no coincidieron. Compruebe la configuración de subred izquierda/derecha. (Traffic selectors did not match. Check left/right subnet configuration).
    Error de coincidencia en cualquiera de los siguientes datos:
    • PSK de IKEv2
    • ID de IKEv2
    • Certificado de IKEv2
    Versión IKEv2: error de autenticación. Compruebe el secreto configurado o la configuración del ID local o del mismo nivel. (Version-IKEv2: Authentication Failed. Check the configured secret or local/peer ID configuration).
  8. Mientras sigue sucediendo el problema, capture el estado del tiempo de ejecución, el estado del tráfico y las sesiones de captura de paquetes de toda la ruta de datos.
    Para determinar el lugar en el que el tráfico tiene problemas, haga ping desde una subred privada en un lado del túnel IPSec a otra subred privada del otro lado del túnel IPSec.
    1. Configure la captura de paquetes en los puntos 1, 2, 3 y 4, como aparece en la siguiente imagen.
    2. Haga ping de la máquina virtual 1 al host 2.
    3. Haga ping del host 2 a la máquina virtual 1.
    4. Compruebe en qué punto la transferencia del paquete falló o se descartó.
    Figura 1. Captura de paquetes en varios puntos de la ruta de datos

    El diagrama muestra los puntos 1, 2, 3 y 4 donde puede capturar paquetes.