De la Conexión al Diagnóstico: Cómo Resolver una VPN AnyConnect que No Llega a la Intranet
De la Conexión al Diagnóstico:
Cómo Resolver una VPN AnyConnect
que No Llega a la Intranet
Cisco ASA 9.8 — AnyConnect IKEv2 sobre NAT-T — Autenticación RADIUS/Active Directory — Split Tunnel — Troubleshooting completo documentado paso a paso.
192.168.160.10) debe acceder a http://intranet.caribbeantic.local (servidor 192.168.20.251) a través del túnel AnyConnect IKEv2 autenticado mediante RADIUS/Active Directory.
Infraestructura
Topología del Laboratorio
Ambiente de simulación con Cisco ASAv 9.8, Active Directory, servidor CA/Intranet y clientes remotos AnyConnect/SSL VPN.
caribbeantic.local — Lab SVPN 300-730
Configuración
Bloques de Configuración del ASA
Cada bloque explica qué hace la configuración, el problema encontrado y el fix aplicado.
Bloque 01
Interfaces y Pool VPN
Puntos de entrada/salida y direccionamiento de clientes remotos
La interfaz outside (security-level 0) conecta hacia Internet. La interfaz inside (security-level 100) es la red de servidores VLAN 20. El pool asigna IPs del rango 192.168.160.10-20 a los clientes AnyConnect.
! Interfaz Outside - Enlace a Internet interface GigabitEthernet0/0 nameif outside security-level 0 ip address 10.0.0.2 255.255.255.252 ! Interfaz Inside - VLAN 20 Servidores interface GigabitEthernet0/1.20 vlan 20 / nameif inside / security-level 100 ip address 192.168.20.254 255.255.255.0 ! Pool de IPs para clientes AnyConnect ip local pool Cliente_VPN_Anyconect 192.168.160.10-192.168.160.20 mask 255.255.255.0
Bloque 02
NAT Exento (Identity NAT)
El bloque más crítico — evita que las IPs del pool VPN sean traducidas
Sin NAT exento, el tráfico del pool VPN hacia los servidores internos cae en el NAT dinámico y se natea con la IP outside, rompiendo la comunicación.
! FIX - Object-group con AMBOS servidores object-group network VPN_EXEMPT_SERVERS network-object host 192.168.20.251 ✓ CA / Intranet network-object host 192.168.20.252 ✓ DNS/WINS/RADIUS (NUEVO) nat (inside,outside) source static VPN_EXEMPT_SERVERS VPN_EXEMPT_SERVERS destination static Remote-Anyconnet Remote-Anyconnet no-proxy-arp route-lookup
Bloque 03
Access Control Lists (ACLs)
Control de tráfico en interfaces outside e inside
La ACL INSIDE_IN solo permitía tráfico con source en el pool VPN — pero las respuestas de los servidores tienen source en sus propias IPs. El tráfico de retorno era bloqueado por el implicit deny.
! FIX - Agregar regla de retorno desde servidores hacia pool VPN access-list INSIDE_IN extended permit ip object-group DM_INLINE_NETWORK_1 192.168.160.0 255.255.255.0 ✓ tráfico de respuesta ahora permitido
Bloque 04
Split Tunnel y Group Policy
El problema que impedía el acceso a la intranet
La ACL de split tunnel y la group-policy estaban correctamente configuradas. El problema era la directiva always-on-vpn profile-setting que forzaba el perfil XML del cliente, el cual tenía tunnel-all, sobreescribiendo el split tunnel definido en el ASA.
always-on-vpn profile-setting. Siempre verificar consistencia entre ambos.! Configuración con el problema group-policy GroupPolicy_VPN_Any_Connet attributes split-tunnel-policy tunnelspecified split-tunnel-network-list value SPLIT_TUNNEL_LIST_VPN webvpn always-on-vpn profile-setting ⇦ ESTA LÍNEA CAUSABA EL PROBLEMA ! FIX group-policy GroupPolicy_VPN_Any_Connet attributes webvpn no always-on-vpn profile-setting ✓
Bloque 05
Tunnel Group y Autenticación RADIUS/AD
Integración con Active Directory vía RADIUS
El tunnel-group define el perfil de conexión. La autenticación se realiza contra el servidor RADIUS (192.168.20.252) que valida las credenciales en Active Directory. Si RADIUS falla, usa la base local como fallback.
! Servidor RADIUS (Active Directory) aaa-server RADIUSSERVERS protocol radius aaa-server RADIUSSERVERS (inside) host 192.168.20.252 authentication-port 1812 / accounting-port 1813 ! Tunnel Group para clientes AnyConnect tunnel-group Anyconnect_VPN_Cliente type remote-access tunnel-group Anyconnect_VPN_Cliente general-attributes address-pool Cliente_VPN_Anyconect authentication-server-group RADIUSSERVERS LOCAL default-group-policy GroupPolicy_VPN_Any_Connet tunnel-group Anyconnect_VPN_Cliente webvpn-attributes group-alias Anyconnect_vpn enable group-url https://cisco-asa01.caribbeantic.local/vpn_anyconnectvpn enable
Bloque 06
Configuración Criptográfica IKEv2
Algoritmos de cifrado e integridad del túnel
Define los algoritmos negociados durante IKEv2 Phase 1 y Phase 2 (IPsec SA). El mapa criptográfico dinámico acepta conexiones de clientes remotos en el puerto 443 con NAT-T sobre UDP 4500.
! IKEv2 Policy - Phase 1 crypto ikev2 policy 1 encryption aes-256 / integrity sha / group 5 2 prf sha / lifetime seconds 86400 ! Mapa criptográfico dinámico para clientes remotos crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside_map interface outside crypto ikev2 enable outside client-services port 443
Diagnóstico
Proceso de Troubleshooting con packet-tracer
El comando packet-tracer simula el flujo de un paquete a través del ASA mostrando cada fase de procesamiento. Es la herramienta más poderosa para diagnosticar problemas de conectividad.
packet-tracer input outside tcp 192.168.160.10 12345 192.168.20.251 80 detailed
Resultado del packet-tracer (antes de los fixes)
| Fase | Tipo | Resultado | Observación |
|---|---|---|---|
| 1 | ACCESS-LIST | ALLOW | Regla implícita — tráfico inicial |
| 2 | ROUTE-LOOKUP | ALLOW | Next-hop 192.168.20.251 vía inside |
| 3 | UN-NAT (static) | ALLOW | NAT exento — IP no se traduce |
| 5 | ACCESS-LIST | ALLOW | OUTSIDE_INTERFACE_IN permite ip al .251 |
| 6 | NAT | ALLOW | Identity NAT correcto |
| 11 | VPN ipsec-tunnel-flow | DROP | ⚠ Paquete llega sin encapsular — comportamiento CORRECTO en packet-tracer |
Verificación de la sesión y el túnel IPsec
# Sesión VPN activa show vpn-sessiondb detail anyconnect filter name vpn01 Username : vpn01 Assigned IP : 192.168.160.10 Group Policy : GroupPolicy_VPN_Any_Connet Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent Pkts Tx Drop : 0 Pkts Rx Drop : 0 ← sin pérdidas # SA IPsec activa show crypto ipsec sa peer 192.168.10.3 #pkts encaps: 459 #pkts encrypt: 459 ✓ #pkts decaps: 621 #pkts decrypt: 621 ✓ #send errors: 0 #recv errors: 0 transform: esp-aes-256 esp-sha-hmac NAT-T-Encaps IKEv2 # Conexiones HTTP activas hacia intranet show conn address 192.168.20.251 9 in use, 35 most used ← intranet accesible ✓
Evidencias
Cliente Conectado — Proceso Paso a Paso
Capturas reales del proceso completo: instalación, autenticación RADIUS/AD, establecimiento del túnel IKEv2 y acceso a la intranet corporativa.
Portal SSL VPN y Banner de Bienvenida
El cliente accede al portal SSL VPN del ASA en cisco-asa01.caribbeantic.local. El banner “Bienvenido a Caribbean TIC VPN para Clientes de AnyConnect” es desplegado. El portal ofrece la descarga automática del cliente vía WebDeploy.
Descarga e Instalación del Cliente AnyConnect 4.7
El ASA entrega automáticamente el paquete anyconnect-win-4.7.04056-webdeploy-k9.pkg al cliente Windows. El asistente de instalación se inicia directamente desde el navegador sin intervención manual del usuario.
Autenticación via RADIUS / Active Directory
El cliente AnyConnect solicita credenciales. El usuario vpn01 se autentica contra el servidor RADIUS (192.168.20.252) que valida las credenciales en Active Directory. Grupo: Anyconnect_VPN_Cliente.
Establecimiento del Túnel IKEv2 y Aceptación del Banner
El Message History muestra el flujo completo: Ready to connect → Contacting cisco-asa01 (IPsec IPv4) → User credentials entered → Please respond to banner → Establishing VPN session. El banner corporativo es aceptado.
Verificación de la Interfaz VPN en Windows
Windows muestra la interfaz con IP asignada 192.168.160.10/24, DNS 192.168.20.252, WINS 192.168.20.252 y dominio caribbeantic.local. Todos los parámetros de la group-policy entregados correctamente.
Sesión VPN Activa en ASDM — VPN Statistics
El ASDM muestra la sesión activa de vpn01. Detalles: AnyConnect-Parent, SSL-Tunnel (AES-GCM-256) y DTLS-Tunnel (AES-256). El Filter Name: SPLIT_TUNNEL_LIST_VPN confirma que el split tunnel funciona correctamente.
Conectividad Final: Ping, DNS e Intranet Corporativa ✅
Ping a 192.168.20.252 con 0% loss, latencia promedio 21ms. nslookup intranet.caribbeantic.local resuelve hacia 192.168.20.251. El portal Caribbean TIC — Centro de Operaciones Interno es accesible: Operativo | VPN Activa | DNS Resolviendo.
Resolución
Resumen de Problemas y Soluciones
| Problema | Causa Raíz | Fix Aplicado | Estado |
|---|---|---|---|
| Sin acceso a 192.168.20.252 (DNS/WINS) | NAT exento solo cubría el .251 — el .252 era nateado con IP outside | Crear VPN_EXEMPT_SERVERS con ambos servidores en el identity NAT |
✓ Resuelto |
| Tráfico de retorno bloqueado desde servidores | ACL INSIDE_IN sin regla de respuesta hacia pool VPN | permit ip object-group DM_INLINE_NETWORK_1 192.168.160.0/24 |
✓ Resuelto |
| http://intranet.caribbeantic.local no cargaba | always-on-vpn profile-setting forzaba tunnel-all desde el perfil XML |
no always-on-vpn profile-setting en la group-policy |
✓ Resuelto |
Relevancia para el examen SVPN 300-730
Remote Access VPN
Configuración y troubleshooting de AnyConnect IKEv2 en ASA.
NAT Exemption
Identity NAT para tráfico VPN — crítico para evitar traducción del pool.
Split Tunnel
tunnelspecified vs tunnel-all y el impacto del perfil XML.
packet-tracer
Interpretación del DROP en Phase VPN — pregunta frecuente en el examen.
🔨 ¿Preparando el SVPN 300-730?
En Caribbean TIC publicamos laboratorios prácticos semanales sobre Cisco ASA, VPN y ciberseguridad. Contáctanos para sesiones de práctica personalizadas.
