Se estable un tunel de IPSec encapsulando el trafico saliente sin embargo el trafico entrante no se desencapsula.

Se establece un túnel de IPSec el trafico saliente se encapsula sin embargo el trafico entrante no se desencapsula.

Descripcion del Problema.

Se establece una VPN IPSec entre un router Huawei y un equipo Cisco ASA.

Se observa el establecimiento de IPsec SA y el tráfico saliente está encapsulado, sin embargo, el tráfico entrante se recibe pero no se desencapsula. Abajo un ejemplo del establecimiento del túnel VPN IPSec

Connection ID     : 4

Encapsulation mode: Tunnel

Tunnel local      : x.x.x.x

Tunnel remote     : x.x.x.x

Flow source       : x.x.x.x/255.255.255.0 0/0

Flow destination  : x.x.x.x/255.255.255.0 0/0

Qos pre-classify  : Disable

Qos group         : -

[Outbound ESP SAs]

SPI: xxxxxxx(xxxxxxxx)

Proposal: ESP-ENCRYPT-AES-256 SHA2-256-128

SA remaining key duration (bytes/sec): 1887426468/3355

Outpacket count       : 123

Outpacket encap count : 123

Outpacket drop count  : 0

Max sent sequence-number: 123

UDP encapsulation used for NAT traversal: N

[Inbound ESP SAs]

SPI: xxxxxxx(xxxxxxxx)

Proposal: ESP-ENCRYPT-AES-256 SHA2-256-128

SA remaining key duration (bytes/sec): 1887436800/3355

Inpacket count        : 49

Inpacket decap count  : 0

Inpacket drop count   : 0

Max received sequence-number: 0

Anti-replay window size: 32

UDP encapsulation used for NAT traversal: N

Solución.

Cuando el protocolo IPSec usa el algoritmo SHA-2 y el dispositivo en el extremo remoto del túnel IPSec es un dispositivo de Cisco, Ud. debe configurar este comando en el dispositivo Huawei. Si el comando no está configurado en el dispositivo Huawei, la transmisión del servicio se interrumpirá.

Precauciones

Cuando el protocolo IPSec usa el algoritmo SHA-2 y el dispositivo Huawei tiene instalado la versión de software V200R005C00, se debe configurar el siguiente comando para asegurar el correcto funcionamiento del tunel VPN IPsec:

Ejemplo:

# Configure el dispositivo para utilizar el mismo modo de encapsulación / desencapsulación SHA-2 que en un dispositivo Cisco.

<Huawei> system-view

[Huawei] ipsec authentication sha2 compatible enable

FIN

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

#OneHuawei