VPN Zyxel USG: No rule found, dropping packet

Existen diversos escenarios para la configuración de VPN entre dos dispositivos, en este caso aparece en un equipo Zyxel USG el error:

error      IPSec      SPI:0x6c2b84d9 (1814791385) SEQ:0x0001 (4200) No rule found, Dropping packet      ipsec 

Donde "no se ha tocado nada" pero se ha desconectado el tunel o bien solo aparece como activo en una de las partes y en la otra no (cosas de lógica informática). En estos casos es mejor no dar por sentado ningún razonamiento y comprobar la comunicación entre ambas partes.

El error señalado indica, en este caso, que un equipo intermedio tiene habilitado algún tipo de NAT o NAPT o no permite el tráfico de un protocolo (ESP, en este caso por ser IPSec) se puede solucionar habilitando la funcionalidad VPN Passthrought si la tiene o estableciendo un DMZ hacia la IP del firewall final, por ejemplo.

 

 

 


CRL: Lista de revocación de certificados

En ocasiones debemos configurar el acceso interno y externo a las listas de revocación de certificados con Entidades de Certificación de confianza, habitualmente autoemitidas. Si hemos comprado un certificado, estas estarán disponibles y no tendremos ente problema seguramente. En otros casos en los que obtenemos errores indicando que no es posible acceder a la lista de revocación de certificados (CRL), debemos comprobar:

  • El dominio en el que se publica esta accesible dentro de la red interna y desde fuera de ella.
  • Podemos navegar y acceder a la lista CRL via web
  • No aparecen errores relacionados en la Autoridad de certificación

Desde cualquier equipo con Windows esta disponible en la linea de comandos "certutil" en la que debemos añadir el parámetro con la URL que queramos verificar:

certutil -URL "http://ejemplo.mainmind.com:8682/CertEnroll/CA%20nombre%20compuesto.crl"

Seleccionamos el certificado CER y recuperamos las direcciones web del CRL, en este caso vemos que pese a poder navegar y acceder no es posible acceder...

Después de comprobar todos los pasos, activamos temporalmente la visualización/listado del servidor que contine los CRL y nos encontramos por fin con el error! El nombre de la CA con la que se publican es demasiado largo y con espacios, por lo que con la seguridad predeterminada de IIS no es posible acceder.

Es posible deshabilitar en la aplicación de IIS esta verificación, pero no es una práctica de seguridad recomendada. Por lo que otra opción sencilla sería acortar el nombre desde la CA en la configuración de extensiones, por ejemplo: "http://ejemplo.mainmind.com/listado.crl"

Volvemos a emitir e instalar el certificado, en el que aparecerá la nueva CRL y volvemos a verificar con certutil, ahora sin problemas de acceso:

 

 

Puerta de enlace remota para VPN en Windows 10

Por defecto en Windows 10 no permite seleccionar una opción que anteriormente se realizaba desde propiedades avanzadas de TCP/IP v4 indicando no utilizar la puerta de enlace remoto.

A continuación se explica como cambiar esta configuración de manera manual:

1.- Edita el fichero localizado en: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Network\Connections\Pbk\rasphone.pbk con bloc de notas o similar.
2.- Cambia la propiedad: IpPrioritizeRemote=0 donde (1=ON y 0=OFF)

 

 NOTA: Esta opción ya no es necesaria con las últimas actualizaciones de Windows 10, es accesible desde el menu habitual de propiedades TCP/IP