Temas Relacionados
Solucionar Problemas de Mobile VPN with SSL
Este tema describe los tipos comunes de problemas que podría encontrar con Mobile VPN with SSL y describe las soluciones que resuelven estos problemas con mayor frecuencia. Incluso después de que el cliente VPN se conecta, el tráfico del cliente no será capaz de alcanzar algunos recursos de red debido a problemas de configuración de la red o de la política.
Si el cliente VPN puede conectarse con un recurso por dirección IP pero no por nombre, debe proporcionarle al cliente las direcciones IP de los servidores válidos DNS y/o WINS que pueden determinar el nombre de destino. Cuando el cliente se conecta y recibe una dirección IP virtual del Firebox, también recibe las direcciones IP para los servidores DNS y WINS globalmente configurados en el dispositivo, o en la configuración de Mobile VPN with SSL.
Para obtener información sobre cómo configurar direcciones IP de WINS y DNS, consulte Determinación del Nombre para Mobile VPN with SSL.
Si los usuarios no pueden utilizar un nombre de host de una sola parte para conectarse con los recursos internos de red, pero pueden utilizar un Nombre de Dominio Totalmente Calificado para conectarse, esto indica que el sufijo DNS no está definido en el cliente. Cuando usa Mobile VPN with SSL, el Firebox asigna al dispositivo cliente el WINS, DNS y sufijo DNS configurado en los ajustes de Mobile VPN with SSL en el Firebox.
Un cliente sin un sufijo DNS asignado debe utilizar el nombre completo del DNS para determinar el nombre de una dirección IP. Por ejemplo, si su servidor terminal tiene un nombre DNS RDP.ejemplo.net, los usuarios no pueden ingresar la dirección RDP para conectarse con sus clientes de servidor de terminal. Los usuarios también deben ingresar el sufijo DNS ejemplo.net.
Para obtener más información sobre DNS para Mobile VPN with SSL, consulte Determinación del Nombre para Mobile VPN with SSL.
Si no configura los ajustes de WINS y DNS en la configuración de Mobile VPN with SSL, el cliente VPN SSL se asigna a los servidores WINS y DNS, y al sufijo DNS configurado para el Firebox.
Si especifica un sufijo DNS en los ajustes de WINS/DNS para el Firebox, pero no especifica un sufijo DNS en los ajustes de Mobile VPN with SSL, el cliente VPN no recibe el sufijo DNS a menos que todos los demás ajustes de WINS/DNS en la configuración de Mobile VPN with SSL tampoco estén configurados.
Para obtener más información sobre cómo establecer las configuraciones WINS/DNS, consulte Agregar Direcciones de Servidor WINS y DNS.
Si el tráfico del cliente a través de la conexión Mobile VPN with SSL es negado por no ser controlado, el problema casi siempre está relacionado con la membresía del grupo. Por defecto, Mobile VPN with SSL requiere que un usuario sea miembro de un grupo llamado Usuarios de SSLVPN. Si utiliza un servidor RADIUS, SecurID o VASCO, la membresía del grupo debe regresar como un atributo de Identificación del Filtro.
Para obtener más información acerca de cómo configurar los servidores de autenticación externa, consulte Configurar el Servidor de Autenticación Externa.
Cuando habilita Mobile VPN with SSL, la política Permitir-Usuarios-SSL se crea automáticamente para permitir el tráfico desde los clientes hacia los recursos internos o externos de red. Si deshabilita o elimina esta política, los clientes no pueden enviar tráfico hacia redes internas o externas.
Para solucionar este problema, asegúrese de que la política existe y permite el tráfico hacia los recursos de red.
Para obtener más información acerca de esta política, consulte Configurar el Firebox para Mobile VPN with SSL.
Si selecciona Tráfico de VPN enrutado en las configuraciones de red de Mobile VPN with SSL, el Firebox enruta el tráfico de los clientes Mobile VPN with SSL hacia las redes y recursos permitidos.
Asegúrese de que los usuarios tengan la versión v11.10 o superior de Mobile VPN with SSL. El cliente Mobile VPN with SSL v11.10 y superior admite más de 24 rutas. Las versiones anteriores del cliente Mobile VPN with SSL admiten un máximo de 24 rutas.
Para los usuarios con cliente Mobile VPN with SSL v11.9.x e inferior, su configuración debe incluir menos de 24 rutas a los recursos para el cliente Mobile VPN with SSL. Si el número total de redes o recursos permitidos supera los 24, el cliente VPN no puede enrutar tráfico hacia todos los recursos permitidos. Para los usuarios con cliente Mobile VPN with SSL v11.9.x e inferior, su configuración Mobile VPN with SSL podría incluir demasiadas rutas si:
- En la configuración Mobile VPN with SSL, usted selecciona Permitir el acceso a redes conectadas a través de Redes de Confianza, Redes Opcionales y VLAN, y tiene más de 24 recursos en la lista Recursos Permitidos.
- En la configuración de Mobile VPN with SSL, usted seleccionó Especificar recursos permitidos, y agregó más de 24 recursos.
Las configuraciones de WINS y DNS también pueden agregar hasta cinco rutas adicionales al total, si se configuran dos servidores DNS, dos servidores WINS, y un sufijo de dominio está totalmente configurado. Esto reduce aún más el número de recursos permitidos que el cliente puede enrutar.
Para reducir el número de rutas, puede especificar recursos permitidos de una manera que genere pocas rutas. Para hacer esto, seleccione Especificar recursos permitidos y luego utilice supernets para especificar los recursos permitidos en menos entradas. Por ejemplo, si su lista de Recursos Permitidos incluye los recursos 192.168.1.0/24, 192.168.25.0/24 y 192.168.26.0/24, puede expresar esto como un único recurso, 192.168.0.0/22, que incluya todas las direcciones de 192.168.1.0 a 192.168.31.255.
Para obtener más información acerca de cómo especificar recursos para Mobile VPN with SSL, consulte Configurar el Firebox para Mobile VPN with SSL.
Este mensaje de registro indica que el cliente no puede hacer una conexión HTTPS a la dirección IP especificada el cuadro de texto Servidor en el cliente Mobile VPN with SSL. Confirme que la configuración de la política en el Firebox permita las conexiones de Cualquiera-Externa al Firebox, y que ninguna otra política maneje el tráfico desde las direcciones IP que usted configuró como el grupo de direcciones IP virtuales para Mobile VPN with SSL.
Si especifica un puerto TCP que no sea el 443 como el canal de Configuración en la configuración de Mobile VPN with SSL, los usuarios móviles deben especificar el número de puerto como parte de la dirección en el cuadro de texto Servidor en el cliente Mobile VPN with SSL. Por ejemplo, si el canal de Configuración es TCP 444, especifique 203.0.113.2:444.
Si el sistema operativo en su equipo no admite TLS 1.1, o si TLS 1.1 no está habilitado, es posible que vea este mensaje de error. Mobile VPN with SSL requiere TLS 1.1 o superior. Windows XP y Vista, así como Mac OS v10.9 y anteriores, no admiten TLS 1.1. En Windows 7, usted debe habilitar manualmente TLS 1.1:
- Desde el Panel de Control de Windows, seleccione Opciones de Internet > Avanzada
- Marque las casillas de selección Usar TLS 1.1 y Usar TLS 1.2.
Para obtener más información sobre TLS y Mobile VPN with SSL, consulte Fallos de conexiones Mobile VPN with SSL en algunas versiones de Windows y Mac OS X en la Base de Consulta de WatchGuard.
Este problema puede ser provocado por una acción de NAT estática para el tráfico HTTPS entrante, o puede ser un problema con la autenticación del cliente.
Cuando el Firebox recibe una solicitud HTTPS, podría remitir esa solicitud a un servidor interno si su configuración incluye una política de HTTPS con una acción NAT estática. Si esto ocurre para el tráfico desde el cliente Mobile VPN with SSL, el cliente VPN no puede conectarse y muestra un mensaje de la falta de la autenticación al usuario:
(La autentificación de SSLVPN falló). No se pudo descargar la configuración desde el servidor. ¿Desea intentar conectarse usando la configuración más reciente?
Compruebe su configuración para asegurarse de que una política no remita solicitudes HTTPS en el puerto usado por el cliente Mobile VPN with SSL a otro servidor.
Este mensaje de error de autenticación también podría indicar un problema con la autenticación.
Para solucionar problemas con la autenticación del cliente:
- Conéctese al Firebox.
- Revise la configuración de Mobile VPN with SSL
- Registre las direcciones IP principales y de respaldo configuradas.
La dirección también podría ser un nombre de dominio. Si es un nombre de dominio, confirme qué dirección IP determina el nombre de dominio. - Registre el puerto TCP configurado del canal de Configuración.
- En su explorador web, ingrese https://<ip-address> o https://<ip-address>/sslvpn.html, donde <ip-address> es la dirección IP principal en la configuración de Mobile VPN with SSL. Si el puerto TCP del canal de Configuración no es 443, agregue el número de puerto a la dirección, separada por dos puntos. Por ejemplo, si el canal de Configuración es el puerto TCP 444, ingrese en el explorador https://<ip-address>:444 o https://<ip-address>:444/sslvpn.html.
- Si aparece la página del Portal de Autenticación de WatchGuard para su Firebox, continúe con el Paso 6.
- Si aparece una página que no sea el Portal de Autenticación de WatchGuard, revise su configuración del Firebox para identificar por qué el tráfico fue remitido a esta ubicación. Considere un cambio a la dirección IP configurada para la VPN.
- En la página del Portal de Autenticación de WatchGuard, inicie sesión con las credenciales del cliente.
Si se configura más de un tipo de autenticación, o si su servidor de autenticación no es la opción predeterminada, seleccione el servidor de autenticación de la lista desplegable.- Si la autenticación del usuario tiene éxito, continúe al Paso 7.
- Si la autenticación del usuario falla, verifique las credenciales del usuario en el Firebox, o en el servidor de autenticación externa. Para los usuarios en un servidor de autenticación externa, verifique si otros usuarios que utilizan ese servidor puedan iniciar sesión. Podría haber un problema con la autenticación en general.
- En su explorador web, ingrese https://<ip-address> o https://<ip-address>/sslvpn.html. Si el puerto TCP del canal de Configuración no es 443, agregue el número de puerto a la dirección, separada por dos puntos.
Por ejemplo, si el canal de Configuración es el puerto TCP 444, ingrese https://<ip-address>:444 o https://<ip-address>:444/sslvpn.html.
Aparece el Portal de Autenticación de WatchGuard. - Inicie sesión con las credenciales del cliente que usó en el Paso 5.
Si la autenticación del usuario falla en la página de autenticación específica para Mobile VPN with SSL, pero las mismas credenciales funcionaron en la página del Portal de Autenticación de WatchGuard, es casi seguro que el problema esté en la membresía del grupo. Confirme que el usuario sea parte del grupo configurado para Mobile VPN with SSL. Por defecto, este grupo es Usuarios de SSLVPN.
En Fireware v11.12 y superior, la URL del portal de autenticación SSL VPN redirige a https://<ip-address>/sslvpn_logon.shtml.
Si sus clientes VPN pueden conectarse con ciertas partes de la red, pero no con otras, o el tráfico falla de otra manera cuando se permite tráfico que muestra mensajes de registro, esto puede indicar un problema de enrutamiento. Confirme que cada uno de estos elementos es verdadero:
- El grupo virtual de direcciones IP para clientes Mobile VPN with PPTP no se traslapa con ninguna de las direcciones IP asignadas a los usuarios internos de la red.
- El grupo virtual de direcciones IP no se traslapa ni está en conflicto con otras redes enrutadas o VPN configuradas en el Firebox.
- Si los usuarios de Mobile VPN with SSL deben tener acceso a una red enrutada o VPN, los hosts en esa red enrutada o VPN deben tener una ruta válida hacia el grupo virtual de direcciones IP, o el Firebox debe ser la ruta predeterminada a Internet para dichos hosts.
Para obtener más información sobre cómo configurar un grupo de direcciones IP, consulte Configurar el Firebox para Mobile VPN with SSL.
Si no puede conectarse a los recursos de la red a través de un túnelVPN establecido, consulte Solución de problemas de Conectividad de Red para obtener información sobre otros pasos que puede seguir para identificar y resolver el problema.