Resolucin de los problemas ms comunes con VPN IPSec L2L y de

acceso remoto
Contenido
Introduccin
Requisitos previos
Requerimientos
Componentes utilizados
Convenciones
Problema: una configuracin de VPN IPSec no funciona
Soluciones
Activacin de NAT-Traversal (problema VPN RA n 1)
Prueba de conectividad correcta
Activacin de ISAKMP
Borrado de las asociaciones de seguridad (tneles) antiguas o existentes
Activacin de seales de mantenimiento de ISAKMP
Reintroduccin de claves previamente compartidas
Eliminacin y reemplazo de mapas de cifrados
Verificacin de la presencia de comandos sysopt (slo PIX/ASA)
Verificacin de que las ACL son correctas
Verificacin de que el enrutamiento es correcto
Verificacin de nmeros de secuencia del mapa de cifrado
Desactivacin de XAUTH para pares L2L
Problema: los usuarios de acceso remoto se conectan a la VPN y no tienen acceso a otros recursos
Soluciones
Tnel dividido
Devolucin de llamadas
Acceso LAN local

Introduccin
Este documento contiene las soluciones ms comunes para los problemas de VPN IPSec. Estas soluciones provienen directamente de las
solicitudes de servicio que el Sitio de Soporte de Cisco ha resuelto. Muchas de estas soluciones pueden implementarse antes de profundizar en la
resolucin de problemas relacionados con una conexin VPN IPSec. Por tanto, este documento se ha diseado como una lista de control de los
procedimientos ms comunes que se deben llevar a cabo antes de intentar resolver el problema o ponerse en contacto con el Sitio de Soporte de
Cisco.
Nota: A pesar de que los ejemplos de configuracin de este documento se han diseado para routers y dispositivos de seguridad, casi todos los
conceptos aqu contenidos pueden aplicarse a un concentrador VPN 3000.
Nota: Puede buscar cualquier comando que contenga este documento mediante la herramienta Command Lookup Tool (slo para clientes
registrados).

Advertencia: Muchas de las soluciones contenidas en este documento pueden causar una prdida temporal de conectividad VPN IPSec en
un dispositivo. Se recomienda implementar estas soluciones con sumo cuidado y siguiendo las polticas de control de cambios pertinentes.

Requisitos previos
Requerimientos
Cisco recomienda poseer ciertos conocimientos acerca de estos temas:
Configuracin de VPN IPSec en dispositivos de Cisco:
Dispositivo de seguridad de la serie PIX 500 de Cisco
Dispositivo de seguridad de la serie ASA 5500 de Cisco

Routers de Cisco IOS

Concentradores de la serie VPN 3000 de Cisco (opcional)

Componentes utilizados
La informacin que contiene este documento se basa en las siguientes versiones de software y hardware:
Dispositivo de seguridad de la serie ASA 5500 de Cisco
Dispositivo de seguridad de la serie PIX 500 de Cisco
Cisco IOS
La informacin que contiene este documento se cre a partir de los dispositivos en un entorno de laboratorio especfico. Todos los dispositivos
que se utilizan en este documento se iniciaron con una configuracin sin definir (predeterminada). Si la red est funcionando, asegrese de haber
comprendido el impacto que puede tener cualquier comando.

Convenciones
Consulte Convenciones sobre consejos tcnicos de Cisco para obtener ms informacin sobre las convenciones del documento.

Problema: una configuracin de VPN IPSec no funciona

Una solucin de VPN IPSec recientemente configurada o modificada no funciona.
Una configuracin actual de VPN IPSec no funciona.

Soluciones
Esta seccin contiene soluciones a los problemas de VPN IPSec ms comunes. Aunque no estn enumeradas siguiendo un orden en particular,
estas soluciones pueden servir como una lista de control de elementos que se deben verificar o probar antes de pasar a una resolucin de
problemas ms exhaustiva o ponerse en contacto con el Sitio de Soporte de Cisco. Todas estas soluciones provienen directamente de solicitudes
de servicio del Sitio de Soporte de Cisco y han resuelto numerosos problemas de los clientes.
Nota: Algunos de los comandos de estas secciones se han separado en dos lneas debido a problemas de espacio.

Activacin de NAT-Traversal (problema VPN RA n 1)

NAT-Traversal o NAT-T permite que el trfico VPN pase a travs de los dispositivos NAT o PAT, como un router Linksys SOHO. Si NAT-T no
est activada, a menudo parece que los usuarios del cliente VPN pueden conectarse a PIX o ASA sin problemas, pero no pueden acceder a la red
interna detrs del dispositivo de seguridad.
Nota: Con IOS 12.2(13)T y versiones posteriores, NAT-T est activada de forma predeterminada en IOS.
ste es el comando para activar NAT-T en un dispositivo de seguridad de Cisco. En este ejemplo, 20 es el tiempo de seal de mantenimiento
(predeterminado).
PIX/ASA 7.1 y versiones anteriores
pix(config)# isakmp nat-traversal 20

PIX/ASA 7.2(1) y versiones posteriores

securityappliance(config)# crypto isakmp nat-traversal 20

Nota: Este comando es el mismo para PIX 6.x y PIX/ASA 7.x.

Prueba de conectividad correcta

Lo adecuado es que la conectividad VPN se pruebe desde dispositivos ubicados detrs de los dispositivos de puntos finales que realizan el
cifrado. A pesar de ello, muchos usuarios prueban de conectividad VPN mediante el comando ping en los dispositivos que realizan el cifrado.
Aunque el comando ping normalmente funciona para este propsito, es importante que se origine desde la interfaz correcta. Si el ping no se
origina correctamente, puede parecer que la conexin VPN falla cuando en realidad funciona. Tome este escenario como ejemplo:

ACL de cifrado en router A

access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255

ACL de cifrado en router B

access-list 110 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255

En esta situacin, se debe originar un ping desde la red "interna" detrs de cualquiera de los routers. Esto se debe a que las ACL de cifrado slo
estn configuradas para cifrar trfico con esas direcciones de origen. Un ping originado desde las interfaces orientadas a Internet de cualquiera de
los routers no se cifrar. Utilice las opciones extendidas del comando ping del modo EXEC con privilegios para originar un ping desde la interfaz
"interna" de un router:
routerA# ping
Protocol [ip]:
Target IP address: 192.168.200.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.100.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.100.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Imagine que los routers de este diagrama se han reemplazado con dispositivos de seguridad PIX o ASA. El ping que se utiliza para probar la
conectividad tambin se puede originar desde la interfaz interna con la palabra clave inside:
securityappliance# ping inside 192.168.200.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.200.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Nota: No se recomienda dirigir la interfaz interna de un dispositivo de seguridad mediante ping. Si debe dirigir una interfaz interna mediante
ping, deber activar management-access en dicha interfaz o el dispositivo no responder.
securityappliance(config)# management-access inside

Activacin de ISAKMP
Si no existen indicaciones de ninguna activacin en un tnel de VPN IPSec, puede deberse a que ISAKMP no est activado. Asegrese de activar
ISAKMP en los dispositivos. Utilice uno de estos comandos para activar ISAKMP en los dispositivos:
Cisco IOS
router(config)#crypto isakmp enable

Cisco PIX 7.1 y versiones anteriores (reemplace outside con la interfaz deseada)
pix(config)# isakmp enable outside

Cisco PIX/ASA 7.2(1) y versiones posteriores (reemplace outside con la interfaz deseada)
securityappliance(config)# crypto isakmp enable outside

Borrado de las asociaciones de seguridad (tneles) antiguas o existentes

Borrar las asociaciones de seguridad (SA) ISKAMP (fase I) y IPSec (fase II) es la forma ms simple, y a menudo la mejor, de resolver problemas
de VPN IPSec. Si borra las SA, puede resolver una gran variedad de mensajes de error y comportamientos extraos sin necesidad de acudir a la
resolucin de problemas. A pesar de que esta tcnica se puede emplear fcilmente en cualquier situacin, casi siempre es necesario borrar las SA
una vez modificadas o agregadas a una configuracin VPN IPSec actual. Adems, aunque es posible borrar slo determinadas asociaciones de

seguridad, lo ms recomendable es borrar todas las AS del dispositivo.

Nota: Una vez que se han borrado las asociaciones de seguridad, puede que sea necesario enviar trfico a travs del tnel para poder
reestablecerlas.

Advertencia: A menos que especifique qu asociaciones de seguridad desea borrar, los comandos a continuacin pueden borrar todas las
asociaciones de seguridad del dispositivo. Acte con precaucin si hay algn otro tnel de VPN IPSec en uso.
1. Revise las asociaciones de seguridad antes de borrarlas.
a. Cisco IOS
router#show crypto isakmp sa
router#show crypto ipsec sa

b. Dispositivos de seguridad Cisco PIX/ASA

securityappliance# show crypto isakmp sa
securityappliance# show crypto ipsec sa

Nota: Estos comandos son los mismos para Cisco PIX 6.x y PIX/ASA 7.x
2. Borre las asociaciones de seguridad. Cada uno de los comandos se puede introducir como se indica en negrita o con las opciones que se
muestran con ellos.
a. Cisco IOS
a. ISAKMP (fase I)
router#clear crypto isakmp ?
<0 - 32766> connection id of SA
<cr>

b. IPSec (fase II)

router#clear crypto sa ?
counters Reset the SA counters
map
Clear all SAs for a given crypto map
peer
Clear all SAs for a given crypto peer
spi
Clear SA by SPI
<cr>

b. Dispositivos de seguridad Cisco PIX/ASA

a. ISAKMP (fase I)
securityappliance# clear crypto isakmp sa

b. IPSec (fase II)

security appliance# clear crypto ipsec sa ?
counters
entry
map
peer
<cr>

Clear
Clear
Clear
Clear

IPsec
IPsec
IPsec
IPsec

SA counters
SAs by entry
SAs by map
SA by peer

Activacin de seales de mantenimiento de ISAKMP

La configuracin de seales de mantenimiento de ISAKMP contribuye a evitar interrupciones espordicas de tneles de VPN LAN a LAN, as
como la interrupcin de tneles LAN a LAN tras un perodo de inactividad. Esta caracterstica permite que el punto extremo del tnel supervise
la presencia continua de un par remoto e informe de su propia presencia a dicho par. Si el par deja de responder, el punto extremo elimina la
conexin. Ambos puntos extremos de VPN deben admitir las seales de mantenimiento de ISAKMP para que stas funcionen.
Configure las seales de mantenimiento de ISAKMP en ISO mediante el siguiente comando:

router(config)# crypto isakmp keepalive 15

Utilice estos comandos para configurar las seales de mantenimiento de ISAKMP en los dispositivos de seguridad de PIX/ASA:
Cisco PIX 6.x
pix(config)# isakmp keepalive 15

Cisco PIX/ASA 7.x, para el grupo de tneles designado 10.165.205.222

securityappliance(config)# tunnel-group 10.165.205.222
ipsec-attributes
securityappliance(config-tunnel-ipsec)# isakmp keepalive
threshold 15 retry 10

Reintroduccin de claves previamente compartidas

En muchos casos, un simple error tipogrfico puede ser la causa de que un tnel de VPN IPSec no se active. Por ejemplo, en el dispositivo de
seguridad, las claves previamente compartidas se ocultan una vez que se han introducido. Esta confusin hace imposible comprobar si la clave es
incorrecta. Asegrese de que ha introducido correctamente todas las claves previamente compartidas en cada punto extremo de VPN.
Vuelva a introducir una clave para asegurarse de que es correcta; sta es una solucin sencilla que puede evitar pasar a una resolucin de
problemas ms exhaustiva.

Advertencia: Si elimina comandos relacionados con el cifrado, es probable que desactive uno o todos los tneles de VPN. Utilice estos
comandos con precaucin y consulte la poltica de control de cambios de su organizacin antes de seguir con estos pasos.
Utilice estos comandos para eliminar e introducir de nuevo la clave previamente compartida secretkey para el par 10.0.0.1 o el grupo
vpngroup en IOS:
VPN LAN a LAN de Cisco
router(config)# no crypto isakmp key secretkey
address 10.0.0.1
router(config)# crypto isakmp key secretkey
address 10.0.0.1

VPN de acceso remoto de Cisco

router(config)# crypto isakmp client configuration

group vpngroup
router(config-isakmp-group)# no key secretkey
router(config-isakmp-group)# key secretkey

Utilice estos comandos para eliminar e introducir de nuevo la clave previamente compartida secretkey para el par 10.0.0.1 en los
dispositivos de seguridad PIX/ASA:
Cisco PIX 6.x
pix(config)# no isakmp key secretkey address 10.0.0.1
pix(config)# isakmp key secretkey address 10.0.0.1

Cisco PIX/ASA 7.x

securityappliance(config)# tunnel-group 10.0.0.1
ipsec-attributes
securityappliance(config-tunnel-ipsec)# no pre-shared-key
securityappliance(config-tunnel-ipsec)# pre-shared-key
secretkey

Eliminacin y reemplazo de mapas de cifrados

Si borra asociaciones de seguridad, pero no se resuelve un problema de VPN IPSec, elimine y reemplace el mapa de cifrado pertinente para
resolver una amplia variedad de problemas.

Advertencia: Si elimina un mapa de cifrado de una interfaz, se desactivan de manera definitiva todos los tneles IPSec asociados a
dicho mapa de cifrado. Siga estos pasos con precaucin y tenga en cuenta la poltica de control de cambios de su organizacin antes de proceder.

Utilice estos comandos para eliminar y reemplazar un mapa de cifrado en IOS:

Comience con la eliminacin del mapa de cifrado de la interfaz. Utilice la forma no del comando crypto map.
router(config-if)# no crypto map mymap

Contine utilizando la forma no para eliminar un mapa de cifrado completo.

router(config)# no crypto map mymap 10

Reemplace el mapa de cifrado en la interfaz Ethernet0/0 para el par 10.0.0.1. Este ejemplo muestra la configuracin mnima necesaria para
un mapa de cifrado:
router(config)# crypto map mymap 10 ipsec-isakmp
router(config-crypto-map)# match address 101
router(config-crypto-map)# set transform-set mySET
router(config-crypto-map)# set peer 10.0.0.1
router(config-crypto-map)# exit
router(config)# interface ethernet0/0
router(config-if)# crypto map mymap

Utilice estos comandos para eliminar y reemplazar un mapa de cifrado en PIX o ASA:
Comience con la eliminacin del mapa de cifrado de la interfaz. Utilice la forma no del comando crypto map.
securityappliance(config)# no crypto map mymap interface outside

Contine utilizando la forma no para eliminar los comandos del otro mapa de cifrado.
securityappliance(config)# no crypto map mymap 10 match
address 101
securityappliance(config)# no crypto map mymap set
transform-set mySET
securityappliance(config)# no crypto map mymap set
peer 10.0.0.1

Reemplace el mapa de cifrado para el par 10.0.0.1. Este ejemplo muestra la configuracin mnima necesaria para un mapa de cifrado:
securityappliance(config)#
securityappliance(config)#
match address 101
securityappliance(config)#
transform-set mySET
securityappliance(config)#
peer 10.0.0.1
securityappliance(config)#

crypto map mymap 10 ipsec-isakmp

crypto map mymap 10
crypto map mymap 10 set
crypto map mymap 10 set
crypto map mymap interface outside

Verificacin de la presencia de comandos sysopt (slo PIX/ASA)

Los comandos sysopt connection permit-ipsec y sysopt connection permit-vpn permiten que los paquetes del tnel IPSec y sus cargas tiles
eludan las ACL de la interfaz del dispositivo de seguridad. Los tneles IPSec que finalizan en el dispositivo de seguridad pueden fallar si uno de
estos comandos no est activado.
En las versiones 7.0 y anteriores del software del dispositivo de seguridad, el comando sysopt pertinente para esta situacin es sysopt connection
permit-ipsec.
En las versiones 7.1(1) y posteriores del software del dispositivo de seguridad, el comando sysopt pertinente para esta situacin es sysopt
connection permit-vpn.
En PIX 6.x, esta funcionalidad est desactivada de manera predeterminada. En PIX/ASA 7.0(1) y versiones posteriores, esta funcionalidad est
activada de manera predeterminada. Utilice estos comandos show para determinar si el comando sysopt pertinente est activado en el
dispositivo:
1. Cisco PIX 6.x
pix# show sysopt
no sysopt connection timewait
sysopt connection tcpmss 1380
sysopt connection tcpmss minimum 0
no sysopt nodnsalias inbound

no
no
no
no

sysopt
sysopt
sysopt
sysopt

nodnsalias outbound
radius ignore-secret
uauth allow-http-cache
connection permit-ipsec

!--- sysopt connection permit-ipsec is disabled

no sysopt connection permit-pptp
no sysopt connection permit-l2tp
no sysopt ipsec pl-compatible

2. Cisco PIX/ASA 7.x

securityappliance# show running-config sysopt

no sysopt connection timewait
sysopt connection tcpmss 1380
sysopt connection tcpmss minimum 0
no sysopt nodnsalias inbound
no sysopt nodnsalias outbound
no sysopt radius ignore-secret
sysopt connection permit-vpn
!--- sysopt connection permit-vpn is enabled
!--- This device is running 7.2(2)

Utilice estos comandos para activar el comando sysopt correcto para el dispositivo:
Cisco PIX 6.x y PIX/ASA 7.0
pix(config)# sysopt connection permit-ipsec

Cisco PIX/ASA 7.1(1) y posteriores

securityappliance(config)# sysopt connection permit-vpn

Verificacin de que las ACL son correctas

En una configuracin VPN IPSec tpica se utilizan dos listas de acceso. Una de las listas de acceso sirve para liberar trfico destinado al tnel de
VPN desde el proceso NAT. La otra lista de acceso define qu trfico se debe cifrar; esto incluye una ACL de cifrado en una configuracin LAN
a LAN o una ACL de tunelizacin dividida (split-tunneling) en una configuracin de acceso remoto. Cuando estas ACL no estn o se encuentran
configuradas incorrectamente, el trfico no se enviar al tnel de VPN o fluir slo en una nica direccin a travs de ste.
Asegrese de que ha configurado todas las listas de acceso necesarias para completar la configuracin de VPN IPSec y que dichas listas de
acceso definen el trfico correcto. Esta lista contiene elementos simples que debe comprobar si sospecha que una ACL es la causa de los
problemas que est experimentando con VPN IPSec.
Asegrese de que la exencin de NAT y las ACL de cifrado especifican el trfico correcto.
Si tiene varios tneles de VPN y varias ACL de cifrado, asegrese de que dichas ACL no se superponen.
No reutilice las ACL. Aunque la ACL de exencin de NAT y la ACL de cifrado especifiquen el mismo trfico, utilice dos listas de acceso
diferentes.
Asegrese de que el dispositivo est configurado para utilizar la ACL de exencin de NAT. En un router, esto significa que debe utilizar el
comando route-map. En PIX o ASA, esto significa que debe utilizar el comando nat (0). Se necesita una ACL de exencin de NAT para
configuraciones LAN a LAN y de acceso remoto.
En el siguiente ejemplo, se configura un router IOS para liberar trfico que se enva entre 192.168.100.0 /24 y 192.168.200.0 /24 o
192.168.1.0 /24 desde NAT. El trfico destinado a cualquier otro sitio depende de la sobrecarga de NAT:
access-list 110 deny ip 192.168.100.0 0.0.0.255
192.168.200.0 0.0.0.255
access-list 110 deny ip 192.168.100.0 0.0.0.255
192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.100.0 0.0.0.255 any
route-map nonat permit 10
match ip address 110
ip nat inside source route-map nonat interface FastEthernet0/0 overload

En este ejemplo, se configura un PIX para liberar trfico que se enva entre 192.168.100.0 /24 y 192.168.200.0 /24 o 192.168.1.0 /24
desde NAT. El resto de trfico depende de la sobrecarga de NAT:
access-list noNAT extended permit ip 192.168.100.0
255.255.255.0 192.168.200.0 255.255.255.0

access-list noNAT extended permit ip 192.168.100.0

255.255.255.0 192.168.1.0 255.255.255.0
nat (inside) 0 access-list noNAT
nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 interface

Asegrese de que las ACL no estn configuradas en sentido inverso y que son el tipo correcto.
Las ACL de exencin NAT y de cifrado para configuraciones LAN a LAN se deben escribir desde la perspectiva del dispositivo en
el que se configura la ACL. Esto significa que las ACL deben reflejarse unas a otras. En este ejemplo, se configura un tnel LAN a
LAN entre 192.168.100.0 /24 y 192.168.200.0 /24.

ACL de cifrado en router A

access-list 110 permit ip 192.168.100.0 0.0.0.255
192.168.200.0 0.0.0.255

ACL de cifrado en router B

access-list 110 permit ip 192.168.200.0 0.0.0.255
192.168.100.0 0.0.0.255

Nota: Aunque no se ilustra en el presente documento, tambin se puede aplicar el mismo concepto a los dispositivos de seguridad
PIX y ASA.
Las ACL de tnel divido para configuraciones de acceso remoto deben ser listas de acceso estndar que permitan trfico hacia la red
a la que los clientes VPN necesitan acceso.

Cisco IOS
router(config)# access-list 10 permit ip 192.168.100.0
router(config)#crypto isakmp client configuration group MYGROUP
router(config-isakmp-group)#acl 10

Cisco PIX 6.x

pix(config)# access-list 10 permit 192.168.100.0

255.255.255.0
pix(config)# vpngroup MYGROUP split-tunnel 10

Cisco PIX/ASA 7.x

securityappliance(config)# access-list 10 standard

permit 192.168.100.0 255.255.255.0
securityappliance(config)# group-policy MYPOLICY internal
securityappliance(config)# group-policy MYPOLICY attributes
securityappliance(config-group-policy)# split-tunnel-policy
tunnelspecified
securityappliance(config-group-policy)# split-tunnel-network-list
value 10

Verificacin de que el enrutamiento es correcto

El enrutamiento es una parte crtica de casi todas las implementaciones de VPN IPSec. Asegrese de que todos los dispositivos de cifrado, como
routers y dispositivos de seguridad PIX o ASA, cuentan con la informacin de enrutamiento necesaria para enviar trfico a travs del tnel de
VPN. Asimismo, si existen otros routers detrs del dispositivo de puerta de enlace, asegrese de que dichos routers saben cmo llegar al tnel y
qu redes se encuentran en el otro lado.

En una implementacin VPN, uno de los componentes clave del enrutamiento es la inyeccin de ruta inversa (RRI). La RRI coloca entradas
dinmicas para redes remotas o clientes VPN en la tabla de enrutamiento de una puerta de enlace VPN. Estos routers son tiles para el dispositivo
en los que se encuentran instalados, as como para otros dispositivos en la red, porque las rutas instaladas por RRI se pueden redistribuir a travs
de un protocolo de enrutamiento como EIGRP u OSPF.
En una configuracin LAN a LAN es importante que cada punto extremo tenga una ruta o rutas hacia las redes para las que se supone que
se cifra el trfico. En este ejemplo, el router A debe tener rutas hacia las redes detrs del router B a travs de 10.89.129.2. El router B debe
tener una ruta similar a 192.168.100.0 /24:

La primera manera de comprobar que cada router conoce las rutas apropiadas consiste en configurar rutas estticas para cada red de
destino. Por ejemplo, el router A puede tener configuradas las siguientes declaraciones de ruta:
ip
ip
ip
ip
ip

route
route
route
route
route

0.0.0.0 0.0.0.0 172.22.1.1

192.168.200.0 255.255.255.0
192.168.210.0 255.255.255.0
192.168.220.0 255.255.255.0
192.168.230.0 255.255.255.0

10.89.129.2
10.89.129.2
10.89.129.2
10.89.129.2

Si el router A se ha reemplazado con un PIX o ASA, la configuracin puede ser as:

route
route
route
route
route

outside
outside
outside
outside
outside

0.0.0.0 0.0.0.0 172.22.1.1

192.168.200.0 255.255.255.0
192.168.200.0 255.255.255.0
192.168.200.0 255.255.255.0
192.168.200.0 255.255.255.0

10.89.129.2
10.89.129.2
10.89.129.2
10.89.129.2

Si existe un mayor nmero de redes detrs de cada punto extremo, la configuracin de rutas estticas puede llegar a ser difcil de
mantener. Como alternativa, se recomienda utilizar la inyeccin de ruta inversa, como se indica. La RRI coloca en la tabla de
enrutamiento rutas para todas las redes remotas incluidas en la ACL de cifrado. Por ejemplo, la ACL de cifrado y el mapa de cifrado
del router A pueden ser as:
access-list 110
192.168.200.0
access-list 110
192.168.210.0
access-list 110
192.168.220.0
access-list 110
192.168.230.0

permit ip
0.0.0.255
permit ip
0.0.0.255
permit ip
0.0.0.255
permit ip
0.0.0.255

192.168.100.0 0.0.0.255
192.168.100.0 0.0.0.255
192.168.100.0 0.0.0.255
192.168.100.0 0.0.0.255

crypto map myMAP 10 ipsec-isakmp

set peer 10.89.129.2
reverse-route
set transform-set mySET
match address 110

Si el router A se ha reemplazado con un PIX o ASA, la configuracin puede ser as:

access-list cryptoACL extended permit ip 192.168.100.0
255.255.255.0 192.168.200.0 255.255.255.0
access-list cryptoACL extended permit ip 192.168.100.0
255.255.255.0 192.168.210.0 255.255.255.0
access-list cryptoACL extended permit ip 192.168.100.0
255.255.255.0 192.168.220.0 255.255.255.0
access-list cryptoACL extended permit ip 192.168.100.0
255.255.255.0 192.168.230.0 255.255.255.0
crypto
crypto
crypto
crypto

map
map
map
map

myMAP
myMAP
myMAP
mymap

10
10
10
10

match address cryptoACL

set peer 10.89.129.2
set transform-set mySET
set reverse-route

En una configuracin de acceso remoto, los cambios de ruta no son siempre necesarios. A pesar de ello, si existen otros routers detrs del
router de puerta de enlace VPN o del dispositivo de seguridad, es necesario que dichos routers conozcan de alguna manera la ruta hacia los
clientes VPN. En este ejemplo se supone que a los clientes VPN se les asignan direcciones en el intervalo de 10.0.0.0 /24 cuando se
conectan.

Si no se utiliza ningn protocolo de enrutamiento entre la puerta de enlace y otros routers, se pueden utilizar rutas estticas en routers como
el router 2:
ip route 10.0.0.0 255.255.255.0 192.168.100.1

Si se utiliza un protocolo de enrutamiento como EIGRP u OSPF entre la puerta de enlace y otros routers, se recomienda que la inyeccin
de ruta inversa se utilice como se describe. La RRI agrega de manera automtica rutas para el cliente VPN en la tabla de enrutamiento de la
puerta de enlace. Estas rutas se pueden distribuir a los dems routers de la red.
Router Cisco IOS:
crypto dynamic-map dynMAP 10
set transform-set mySET
reverse-route
crypto map myMAP 60000 ipsec-isakmp dynamic dynMAP

Dispositivo de seguridad Cisco PIX o ASA:

crypto dynamic-map dynMAP 10 set transform-set mySET

crypto dynamic-map dynMAP 10 set reverse-route
crypto map myMAP 60000 ipsec-isakmp dynamic dynMAP

Verificacin de nmeros de secuencia del mapa de cifrado

Si los pares estticos y dinmicos estn configurados en el mismo mapa de cifrado, es muy importante el orden de las entradas del mapa de
cifrado. El nmero de secuencia de la entrada del mapa de cifrado dinmica debe ser mayor que el resto de entradas del mapa de cifrado
estticas. Si estas entradas estticas se numeran con cifras superiores a las de la entrada dinmica, las conexiones con dichos pares fallarn.
El siguiente ejemplo muestra un mapa de cifrado correctamente numerado que contiene una entrada esttica y una dinmica. Observe que la
entrada dinmica presenta el nmero de secuencia ms alto y que se ha dejado espacio para agregar otras entradas estticas adicionales:
crypto
crypto
crypto
crypto
crypto

dynamic-map cisco 20 set transform-set myset

map mymap 10 match address 100
map mymap 10 set peer 172.16.77.10
map mymap 10 set transform-set myset
map mymap 60000 ipsec-isakmp dynamic cisco

Desactivacin de XAUTH para pares L2L

Si un tnel LAN a LAN y un tnel de VPN de acceso remoto se configuran en el mismo mapa de cifrado, se solicitar informacin XAUTH al
par LAN a LAN y el tnel LAN a LAN fallar.
Nota: Este problema slo se aplica a Cisco IOS y PIX 6.x. Este problema no afecta a PIX/ASA 7.x, puesto que utiliza grupos de tneles.
Utilice la palabra clave no-xauth cuando introduzca la clave isakmp, de forma que el dispositivo no solicite al par informacin XAUTH (nombre
de usuario y contrasea). Esta palabra clave desactiva XAUTH para los pares IPSec estticos. Introduzca un comando similar a ste en el
dispositivo que tenga VPN L2L y RA configurados en el mismo mapa de cifrado.
router(config)# crypto isakmp key cisco123 address
172.22.1.164 no-xauth

Problema: los usuarios de acceso remoto se conectan a la VPN y no tienen acceso a otros
recursos
Los usuarios de acceso remoto no tienen conectividad con Internet una vez que se han conectado a la VPN.
Los usuarios de acceso remoto no pueden acceder a los recursos ubicados detrs de otras VPN en el mismo dispositivo.
Los usuarios de acceso remoto slo pueden tener acceso a la red local.

Soluciones
Tnel dividido
La tunelizacin dividida (split-tunneling) permite a los usuarios IPSec de acceso remoto dirigir condicionalmente paquetes a travs del tnel
IPSec de forma cifrada, o bien dirigir paquetes no cifrados a una interfaz de red en donde se enrutan a un destino final. La tunelizacin dividida
(split-tunneling) est desactivada de forma predeterminada, con lo que se cuenta con el trfico de toda la tunelizacin.

split-tunnel-policy {tunnelall | tunnelspecified | excludespecified}

Para obtener ejemplos detallados acerca de la configuracin de la tunelizacin dividida (split-tunneling), consulte:
PIX/ASA 7.x y cliente VPN para Internet pblico con una sola interfaz (en ingls)
Router y cliente VPN para Internet pblico con una sola interfaz (en ingls)

Devolucin de llamadas
Esta caracterstica se utiliza para el trfico VPN que entra en una interfaz pero, a continuacin, se enruta fuera de la misma. Por ejemplo, si tiene
una red VPN radial (hub and spoke), donde el dispositivo de seguridad es la estrella (hub) y las redes VPN remotas son los radios (spoke), para
que un radio se comunique con otro, el trfico debe dirigirse hacia el dispositivo de seguridad y, a continuacin, salir hacia el otro radio.
Utilice la configuracin same-security-traffic para permitir que el trfico entre y salga de la misma interfaz.
securityappliance(config)# same-security-traffic permit intra-interface

Acceso LAN local

Los usuarios de acceso remoto se conectan a la VPN y slo pueden conectarse a la red local.
Para obtener ejemplos de configuracin ms detallados, consulte PIX/ASA 7.x: acceso a LAN local para clientes VPN (en ingls).

1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.

Fecha de Generacin del PDF: 23 Marzo 2008
http://www.cisco.com/cisco/web/support/LA/9/98/98015_common_ipsec_trouble.html