De acuerdo

No se puede establecer la VPN inter-site. Destacado

Última respuesta jul. 06, 2022 15:15:27 197 1 2 0 0

Descripción del problema:

El cliente intentó configurar una VPN desde iMaster NCE Campus hacia un HuaweiCloud pero no fue posible  establecer el túnel.


Se configuraron todos los parámetros en el NCE usando un Firewall USG6510E V600R007C20SPC500, pero apareció  el siguiente error: "Unrecognized command found at '^&apos:position."


error


Figura 1. Ejemplo de error para la creación de la VPN desde iMaster NCE Campus.


Análisis del problema:


1- El cliente estaba siguiendo la siguiente guía de configuración:

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100195469&id=EN-US_TOPIC_0163794172&lang=en


config


Figura 2. Ejemplo de guía de configuración de una Inter-Site VPN desde el iMaster NCE-Campus.


2- Verificando la configuración actual en el firewall, se encontraron los siguientes parámetros configurados: DH-GROUP2 y SHA1 en la fase 1 y SHA1 en la fase 2:


parameters


Figura 3. Ejemplo de datos de configuración de una VPN


3- Sin embargo, por default, el  IPSec no admite algoritmos de seguridad débiles como MD5, SHA1, DES, 3DES, DH-GROUP1, DH-GROUP2 y DH-GROUP5 en USG6510E versión V600R007C20SPC500.


https://support.huawei.com/hedex/hdx.do?docid=EDOC1100149308&id=EN-US_CONCEPT_0224014664&lang=en


limit


Figura 4. Ejemplo de documentación sobre los parametros de configuración de una VPN.


Causa raíz:

En la versión actual del  USG6000E , el IPSec no admite algoritmos de seguridad débiles como SHA1, DH-GROUP2, por lo que falla la configuración a la hora de ser aplicada al firewall



Solución:

Cambiar los algoritmos de débiles (weak algorithms ) a algoritmos fuertes o sugeridos (strong algorithms)


Se creó una plantilla de prueba IPSec en el NCE y se modificaron  los parámetros de la siguiente manera:

Fase 1:


fase1


Figura 5. Ejemplo de plantilla de configuración de una VPN para fase 1.


Fase 2:

fase2


Figura 6. Ejemplo de plantilla de configuración de una VPN para fase 2.


Luego de esto se aplicó  la configuración al firewall y el resultado fue un éxito.


result


Figura 7. Ejemplo de creación de la VPN con las plantillas de prueba.



También te puede interesar:

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

                                                

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

Foro de Internet de las Cosas

                                                         

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente



  • x
  • Opciones:

user_4475741
Publicado 2022-7-6 15:15:27
Gran información No se puede establecer la VPN inter-site.-5036497-1
Ver más
  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.