otrobit

VPN IPSec conecta pero no hay tráfico: checklist real para solucionarlo

diciembre 20, 2025 · 12,345 vistas

Uno de los temas mas fustrantes y comunes para los administradores de redes junior es este: 👉 la VPN IPSec levanta, el túnel aparece UP, pero no pasa tráfico. En este artículo te dejo un checklist real, basado en casos de producción, para que sepas qué revisar y en qué orden cuando una VPN IPSec conecta pero no enruta tráfico.

Los pasos son sencillos antes de que puedas pedir ayuda a un admininstrador de red senior. Sigue los siguientes pasos para que puedas entender como funciona la red:


1. Verifica que el tunnel VPN realmente este activo: este paso se hace antes de entrar a configuraciones avanzadas o de tocar las politicas de conexion VPN. Puedes visualizar si el tunnel VPN esta activo en la siguiente ruta: VPN > IPsec Tunnels.


Nota: Debes de validar las siguientes caracteristicas, para poder demostrar que el tunnel VPN esta en un buen estado de salud:

  • El túnel debe estar en estado UP
  • Phase 1 y Phase 2 deben negociar correctamente
  • No debe aparecer en estado down o inactive
Si todo esta correctamente, el tunnel VPN esta en un buen estado de salud. De lo contrario, el problema no seria de trafico, sino de negociacion.

2. Revisa las subredes locales y remotas: Este es otro fallo común y, en la mayoría de los casos, se debe a que la submáscara no está bien definida. Es decir, puedes tener una IP /24 cuando en realidad debería ser una IP /23. Revisa las subredes en este apartado: VPN > IPsec Tunnels > [Tunnel con error] > Edit > Phase 2 Selectors.


3.Verifica las políticas de Firewall: Aunque todo esté levantado, si la política está deshabilitada o no existen políticas configuradas, la VPN nunca funcionará. Puedes validar si existe una política y su estado en la siguiente ruta: Policy & Objects > Firewall Policy > Search [Política a buscar].

4. Revisa el NAT en la política: Un NAT mal aplicado corrompe muchas VPN sin mostrar errores evidentes. Ten en cuenta que no debe existir NAT en políticas IPsec.

5. Por último, basta con verificar las rutas estáticas y que estén vinculadas a la interfaz correspondiente. Sin una ruta bien definida, el tráfico nunca sabrá por dónde salir. Puedes validar las rutas en la siguiente dirección: Network > Static Routes.


En conclusión, cuando una VPN IPSec conecta pero no hay tráfico, el problema rara vez es “la VPN en sí”. En la mayoría de los casos, se trata de detalles de configuración que pasan desapercibidos, como una subred mal definida, una política de firewall incompleta, una ruta faltante o un NAT habilitado donde no debería estar. Estos pequeños errores son comunes incluso en entornos productivos y pueden generar horas de frustración si no se analizan de forma ordenada.

Seguir un checklist claro y estructurado, como el que vimos en este artículo, te permite abordar el problema de manera lógica, evitando suposiciones y cambios innecesarios que pueden afectar otros servicios de la red. Además, apoyarte en los logs y en las herramientas de diagnóstico del FortiGate te da visibilidad real de lo que está ocurriendo con el tráfico, algo fundamental para tomar decisiones correctas y rápidas.

Resolver este tipo de incidentes no solo mejora la disponibilidad de la VPN, sino que también fortalece tu criterio como administrador de redes, ya que te obliga a entender cómo interactúan las rutas, las políticas y la seguridad en un entorno real. Al final, una VPN IPSec correctamente configurada no solo debe levantar el túnel, sino transportar el tráfico de forma segura, estable y confiable, cumpliendo su verdadero propósito dentro de la infraestructura.

Implementar estas buenas prácticas desde el inicio te ahorrará tiempo, reducirá riesgos operativos y te permitirá responder con mayor confianza ante futuros incidentes de conectividad y seguridad.

Etiquetas:

Comentarios

Publicar un comentario