Options

Problema para iniciar FASE 2

Yorbin_RubioYorbin_Rubio
in Firebox - VPN Branch Office

Buenas tardes estoy presentando problemas en mi fireall m370 a la hora de levantar tuneles vpn .

el problema que presento es el siguiente al colocar en el firewall específicamente en la fase 2 la ip de server que debe comunicarse via vpn a otro site por algun motivo dejo de recibir por completo trafico de esa ip

Ejemplo

IP local : 172.28.67.54 remote 192.168.103.35

al establecer este tunel vpn automaticamente mi dispositivo firewall watchguard m370 deja de recibir trafico proviniente de servidor 172.28.67 .54 buscando el 192.168.103.35 y me refiero es que a pesar de tener un ping persistente al colocar la configuracion antes mencionada dejo de ver el trafico icmp y quitar la ip del tunel vpn comienzo de forma inmediata a ver nuevamente el icmp

esto a traido como consencuencia gran dificultad para la creacion de nuevas vpn que tenga como destino local el segmento antes mencionado , la falla es aleatoria tengo tuneles que si me levanta y quedan funcionando o otros tuneles que no lo hacen y no consigo un log de error o algun motivo por el cual susede esto

si a alguien le ha pasado seria de gran ayuda que me pudiera ayudar a solventarlo tambien monte un caso pero aun no se ha dado con la falla.

Comments

  • Options
    Bruce_BriggsBruce_Briggs

    What do you see in Traffic Monitor when this happens?

    Is the IP addr ending up on the Blocked Sites list?
    If so, you can add it as a Blocked Sites exception so that it won't happen again.

    ¿Qué ves en Traffic Monitor cuando esto sucede?

    ¿La dirección IP está terminando en la lista de sitios bloqueados?
    Si es así, puede agregarlo como una excepción de Sitios bloqueados para que no vuelva a suceder.

  • Options
    Yorbin_RubioYorbin_Rubio

    no amigo no veo nada en el trafic monitor cuando sucede y tampoco se encuentra en sitio de ip bloqueada

  • Options
    Yorbin_RubioYorbin_Rubio

    sigo con el inconveniente y me gustaria saber que significan estos log

    2022-12-05 09:04:44 iked CLST: could not find SPSAItem using selector[dir:In src:192.168.103.36 dst:172.28.67.54] in 'Banco-Activo-P2' IPSec policy Debug
    2022-12-05 09:04:44 iked CLST: could not find SPSAItem using selector[dir:Out src:172.28.67.54 dst:192.168.103.36] in 'Banco-Activo-P2' IPSec policy Debug
    2022-12-05 09:06:46 iked CLST: could not find SPSAItem using selector[dir:In src:192.168.103.36 dst:172.28.67.59] in 'Banco-Activo-P2' IPSec policy Debug
    2022-12-05 09:06:46 iked CLST: could not find SPSAItem using selector[dir:Out src:172.28.67.59 dst:192.168.103.36] in 'Banco-Activo-P2' IPSec policy Debug
    2022-12-05 09:11:46 iked CLST: could not find SPSAItem using selector[dir:In src:192.168.103.36 dst:172.28.67.54] in 'Banco-Activo-P2' IPSec policy Debug
    2022-12-05 09:11:46 iked CLST: could not find SPSAItem using selector[dir:Out src:172.28.67.54 dst:192.168.103.36] in 'Banco-Activo-P2' IPSec policy Debug

  • Options
    james.carsonjames.carson Moderator, WatchGuard Representative

    It sounds like the distant end may be using an incorrect tunnelID or similar, or is just sending to the wrong address.

    I'd suggest opening a support case using the support center link at the top right of the page. (We also have Spanish speaking support representatives in the support center.)

    -James Carson
    WatchGuard Customer Support

Sign In to comment.