MX Site to site VPN no conecta

Solved
D_Ramos
Conversationalist

MX Site to site VPN no conecta

Buenos días a todos.

 

Tenemos montada una red con MX250 como core y 9 MX64 en las distintas sedes remotas. Los FW de la sedes remotas están directamente conectados contra los router del ISP que proporcionan la salida a internet. Esta red se ha construido para que las sedes remotas se conecten al core mediante site-to-site VPN. De las 9 sedes 7 funcionan perfectamente pero hay 2 sedes que no logran conectarse.

 

El mensaje que me muestra el dashboard de Meraki en una de las sedes con problemas es el mismo que en las que funciona bien, por tanto no logro descubrir el problema.

 

VPN Registry: Connected. This security appliance is able to connect to multiple VPN registries using UDP port 9351.

NAT type: Friendly. This security appliance is behind a VPN-friendly NAT, locally using 192.168.1.48:48373, which is NAT-ed to IP_PUBLICA:48373

Encrypted. Using IPsec and AES encryption.

 

Gracias de antemano.

Un saludo.

1 Accepted Solution
Gsintes
Getting noticed

Intenta configurar una DMZ host en el router de Movistar para que este mande todo el tráfico que reciba por esa ip pública directamente hacia el MX. 

Si esto no funciona, es posible que tu ISP (Movistar) esté utilizando CGNAT. 

Tendrás que contactar con ellos para que te quiten ese CGNAT

View solution in original post

3 Replies 3
GreenMan
Meraki Employee
Meraki Employee

Lo más probable es que un firewall ascendente esté bloqueando parte del tráfico de un MX a algo en el tablero de Meraki o hacia el otro MX.
Las reglas necesarias se encuentran en Ayuda (o ?) > Información del cortafuegos Realice capturas de paquetes en los enlaces ascendentes de WAN en los MX en ambos extremos para verificar qué se envía y recibe.
D_Ramos
Conversationalist

Gracias por la pronta respuesta.

 

Cuando capturo tráfico en la interfaz WAN del MX64 de la sede con problemas es cierto que los paquetes de vuelta (desde el Core) no están llegando. En las sedes que funcionan el trafico que se observa es bidireccional.

 

En el router de mi ISP (Movistar) he quitado todas las opciones de Firewall pero el problema no se soluciona.

¿Alguien que tenga como operadora Movistar o Vodafone sufre el mismo problema?

Gsintes
Getting noticed

Intenta configurar una DMZ host en el router de Movistar para que este mande todo el tráfico que reciba por esa ip pública directamente hacia el MX. 

Si esto no funciona, es posible que tu ISP (Movistar) esté utilizando CGNAT. 

Tendrás que contactar con ellos para que te quiten ese CGNAT

Get notified when there are additional replies to this discussion.