Servidores
VPN

Gestión de Logs de VPN y Troubleshooting

Con la nueva consola de troubleshooting puedes generar, consultar y descargar logs del túnel VPN directamente desde el panel y diagnosticar incidencias sin depender de soporte en la mayoría de los casos.

1. Introducción

En este tutorial aprenderás a:

  • Generar logs del túnel desde el panel.

  • Buscar, copiar y descargar el .log.

  • Identificar en qué fase falla la VPN (Fase 1 IKE vs Fase 2 IPsec/CHILD_SA).

  • Aplicar una guía rápida “mensaje → causa probable → acción”.

  • Saber cuándo escalar y qué información enviar para acelerar la resolución.

     

2. Pre-requisitos

  • Acceso al panel con permisos sobre la suscripción de red.

  • Un túnel VPN creado (esté o no operativo).

  • (Opcional) Acceso a logs del equipo remoto para correlacionar si necesitas ir más allá.

     

3. Cómo generar y consultar logs desde el panel

  1. Ve a tu suscripción con VPN y entra en Troubleshooting / Logs.

  2. Pulsa Generar logs.

  3. En la consola podrás:

  • Ver los eventos del intercambio.

  • Buscar términos (recomendado: error, failed, proposal, AUTH, TS_, CHILD_SA, responding).

  • Copiar fragmentos relevantes (para soporte o para tu análisis).

  • Descargar el fichero .log para revisarlo en local.

     

 

Dos notas importantes para evitar confusiones

  • Zona horaria: los logs muestran la fecha y hora convertidas a tu zona horaria, para que los eventos te cuadren con la hora real en la que hiciste la prueba. Así puedes comparar fácilmente esos timestamps con los registros del equipo remoto y confirmar que estáis mirando el mismo momento del fallo.

  • Rotación de logs: el histórico se gestiona por tamaño, no por “últimos X días”.
    Si necesitas capturar un fallo concreto: reproduce el problema y genera logs justo después.

     

 

 

 

4. Troubleshooting Fase 1 vs Fase 2

Para entender como puede fallar una VPN site-to-site tienes que entender estos dos pasos:

Fase 1 — Conexión inicial (IKE)

Aquí los dos extremos se ponen de acuerdo para poder “hablar”: se validan entre ellos y acuerdan cómo van a conectarse.
Si falla esta fase, lo más típico es:

  • El otro extremo no responde (conectividad o puertos cerrados).

  • No coinciden algunos ajustes básicos (por ejemplo, tipo de cifrado).

  • La clave (PSK) o la identificación no encaja.

En los logs, cuando esto va bien suele aparecer: IKE_SA ... established.

 

 

Fase 2 — Paso de datos (IPsec)

Una vez la conexión inicial está OK, se crea el túnel por donde irá el tráfico real entre redes.
Si falla esta fase, lo más típico es:

  • Las redes/subredes configuradas no coinciden en ambos lados.

  • Hay un firewall o una política bloqueando el tráfico.

  • Faltan rutas para llegar a la red remota.

En los logs, cuando esto va bien suele aparecer: CHILD_SA ... established.

 

 

Regla rápida

  • Si ves IKE_SA ... established pero no ves CHILD_SA ... established → el problema suele estar en redes/rutas/firewall (fase 2).

  • Si no llegas a IKE_SA ... established → el problema está en la conexión inicial (fase 1).

     

5. Guía rápida de interpretación de logs

 

 

6. Checklist de diagnóstico paso a paso

Genera logs y busca: error, failed, proposal, AUTH, TS_.

  • Mira si aparece IKE_SA ... established:

    • No aparece → estás en un problema de conexión inicial (Fase 1).

    • Sí aparece → pasa al siguiente punto.

  • Comprueba si aparece CHILD_SA ... established:

    • No aparece → suele ser tema de redes/rutas/firewall (Fase 2).

    • Sí aparece → el túnel está bien; si no hay tráfico, suele ser rutas o políticas (no el túnel).

  • Si ves peer not responding → revisa UDP 500/4500 y firewall/NAT.

  • Si ves no proposal chosen → hay ajustes que no coinciden (cifrados/grupos/tiempos).

  • Si ves AUTHENTICATION_FAILED → revisa la clave (PSK) o certificados/IDs.

  • Si ves TS_UNACCEPTABLE → revisa que las subredes coinciden exactamente en ambos lados.

     

7. Cómo podemos ayudarte desde Partner Success y qué información nos ayudará a darte soporte más rápido

Si después de realizar estos pasos sigues teniendo dificultades, estaremos encantados de ayudarte desde Partner Success.

Para agilizar el soporte y poder dar con la solución cuanto antes, es muy útil que nos envíes lo siguiente:

Del log:

  • El primer error que aparece.

  • 20–30 líneas antes y después (para ver el contexto).

  • Los timestamps (fecha y hora) tal cual salen.

Del túnel/configuración:

  • Versión de IKE (v1/v2/Auto).

  • IP o FQDN del peer remoto.

  • Subredes locales y remotas (CIDR).

  • Si hay NAT o firewall entre medias.

  • La hora exacta en la que hiciste la prueba.

Como los logs rotan por tamaño, intenta reproducir el fallo y generar logs justo después, así el log contiene exactamente lo que necesitamos ver.

 

8. Conclusión

Como puedes ver en este tutorial la consola de troubleshooting puede ahorrarte muchos dolores de cabeza y darte un diagnóstico claro en pocos minutos.

Jose Pastor
17 de febrero de 2026