استكشاف أخطاء اتصال IPSec وإصلاحها

نظرة عامة

هناك عوامل مختلفة قد تتسبب في فشل نفق IPSec، مثل التكوين غير الصحيح، توجيه خاطئ، أو مشاكل محتملة في الأجهزة. تصف هذه المقالة أدوات مختلفة يمكنك استخدامها للتحقيق واكتشاف السبب الجذري لمشاكل اتصال النفق ومن ثم حلها.

استكشاف أخطاء نفق IPSec في تطبيق إدارة Cato

القسم الخاص بـ IPSec للموقع يحتوي على الأدوات التي يمكنك استخدامها لاستكشاف مشاكل الاتصال للموقع، بما في ذلك: 

سجل الاتصال الزمني
التقاط حركة المرور (PCAP)
حالة الاتصال
إعادة ضبط النفق

هذه الأدوات متوفرة لأنواع مواقع IPSec (IKEv1، IKEv2) ويمكن استخدامها للنفقين الأساسي والثانوي.

ملحوظة: أدوات استكشاف الأخطاء غير مدعومة لـ IPSec IKEv1 FW-init.

لإظهار قسم IPSec، انتقل إلى تكوين الموقع > IPSec.

سجل الاتصال الزمني

سجل الاتصال الزمني هو سجل للأحداث الأخيرة ويوفر للمستخدم النهائي "تاريخ" حالة النفق مما قد يكون مفيدا أثناء التحقيق.

عند تنزيل السجل الزمني، ستحصل على ملفي CSV (السجلات النشطة والأرشيفية) بسجلات زمنية للتغييرات في مفاوضات IPSec.

يسمح لك هذا الشكل المقروء بتحديد متى حدثت التغييرات وأسبابها بسهولة.

ملحوظة: تظهر سجلات السجل الزمني في المنطقة الزمنية UTC لسهولة الاستخدام.

لتنزيل السجلات الزمنية، قم بتوسيع القسم الأولي أو الثانوي لموقع IPSec وانقر على سجل زمني.

قيود سجلات السجل الزمني

الحد الأقصى لسجلات السجل لملف السجل الزمني النشط - 100
الحد الأقصى لسجلات السجل لملف السجل الزمني الأرشيفي - 300
إذا كان النفق غير موجود، فإن ملف السجل الزمني الأرشيفي فقط هو المتاح.

التقاط حركة المرور (PCAP)

يوفر التقاط الحزم تحليلاً على مستوى منخفض لما يحدث عبر النفق. هذا مفيد لمزيد من التحقيقات المتعمقة. يسمح لك تطبيق إدارة Cato بتنزيل PCAP من PoP ذو الصلة المستخدم للاتصال IPSec.

يتم تنزيل ملفي PCAP (نشط وأرشيفي). تتضمن الملفات أوصافًا لكل حزمة تمر عبر النفق مع البروتوكول، والمنفذ، وأنواع الرسائل والمزيد.

قيود التقاط حركة المرور

تظهر الفترة الزمنية لـ PCAP وفقًا لإعدادات جهازك المحلي.

إذا كان النفق غير موجود، فإن ملف PCAP الأرشيفي فقط هو المتاح.

الحجم الأقصى للحزمة لـ IKEv1:
- PCAP نشط - 512 حزمة
- PCAP أرشيفي - 1024 حزمة

حجم الحزمة الأقصى لـ IKEV2:
- PCAP نشط - 256 حزمة
- PCAP أرشيفي - 1024 حزمة

حالة الاتصال

يقدم أداة حالة الاتصال ملخصًا لحالة موقع IPSec الخاص بك. عند النقر على زر حالة الاتصال، يتم جلب وعرض آخر لقطة متاحة للبيانات على الشاشة.

إذا كان الموقع مفصولًا، لا يتم جلب حالة الاتصال غير جلب.

تتضمن حالة الاتصال الحقول الملخصة التالية لكل نفق IPSec:

اسم الموقع
اسم الحساب
العنوان المحلي
عنوان النظير
آخر تأسيس IKE SA
آخر تأسيس ESP SA
معلمات رسالة Init (بروتوكول، مجموعة DH، خوارزمية التشفير، طول مفتاح التشفير، خوارزمية PRF، خوارزمية السلامة)
معلمات رسالة Auth (بروتوكول، مجموعة DH، خوارزمية التشفير، طول مفتاح التشفير، خوارزمية السلامة)
SA لربط IKE (المبادر SPI، المستجيب SPI، المنفذ المحلي، منفذ النظير، المرحلة الحالية، الطابع الزمني)
خوارزميات ربط IKE (طول DH، خوارزمية PRF، خوارزمية السلامة، خوارزمية التشفير، تشفير GCM)
الرايات
SA لربط ESP (المبادر SPI، المستجيب SPI، الطابع الزمني، بيانات IKE SPI، حزم البيانات الواردة والصادرة)
خوارزميات ربط ESP (طول DH، خوارزمية السلامة، خوارزمية التشفير، تشفير GCM)
الرايات

إعادة ضبط نفق IPSec

يمكنك تحفيز PoP المتصل لإعادة ضبط نفق IPSec مع عنوان النظير البعيد. قد تساعد إعادة ضبط النفق على إعادة تأسيس الاتصال للموقع.

لإعادة ضبط نفق IPSec، قم بتوسيع القسم الأولي أو الثانوي لموقع IPSec وانقر على إعادة ضبط النفق.

قيود إعادة الضبط

أنفاق IKEv1 - إعادة الضبط فورية.
أنفاق IKEv2 - قد تستغرق إعادة الضبط حتى دقيقتين لإعادة تأسيس الاتصال.
قد يحدث تفعيل مهام التوجيه الإضافي BGP في حالة تكوين توافر عالي.
في حالة بدء نفق FW (بواسطة النظير البعيد)، يجب التأكد من إعادة تأسيس النفق في جانب النظير البعيد (عندما يكون النفق غير موجود، يتم تعطيل زر إعادة الضبط).

ممارسات شائعة لاستكشاف أخطاء IPSec وإصلاحها

يتضمن القسم التالي خطوات شائعة يجب مراعاتها عند التحقيق في مشكلات نفق IPSec.

ملحوظة: هذه الخطوات غير مرتبطة بمشاكل فقدان الحزمة.

تحقق من التغييرات الأخيرة في صحة صفحة الحالة - إذا كان PoP يواجه مشاكل، قد يؤثر ذلك على نفق IPSec (كل نفق متصل بموقع PoP واحد من Cato). يمكنك مراقبة صحة PoPs Cato في صفحة الحالة.

إذا كان النظير البعيد بائع سحابي مثل Azure أو AWS، يمكنك أيضًا التحقق من صفحات حالتهم.
جمع تكوين جدار حماية IPSec البعيد.
- من هو المحدد لبدء النفق؟
- هل يتطابق تكوين IPSec على جدار حماية البعيد مع تكوين IPSec في تطبيق إدارة Cato؟ (أي هل تتطابق معلمات رسائل IKE؟)
- راجع حالة الاتصال في تطبيق إدارة Cato.
- هل تم تمكين NAT-T على جدار حماية IPSec البعيد؟
جمع السجلات والـ PCAPs على جدار حماية IPSec البعيد والسجل الزمني وPCAPs على تطبيق إدارة Cato.
- راجع السجلات لأي مخالفات، هل تتوافق الطوابع الزمنية لجدار الحماية البعيد مع الأحداث والسجلات الزمنية التي تم تنزيلها من Cato؟
- راجع PCAPs للتواصل حزمة وراء حزمة.
راجع محددات المرور - هل السياسة مبنية على نفق أو قائمة على التوجيه؟
راجع تكوين الموقع العام في تطبيق إدارة Cato:
- هل هذا إعداد توافر عالي؟ إذا نعم، ما هي حالة BGP؟
- هل هناك تعارض في PSK؟ (PSK مدعوم حتى 64 حرفًا)
أعد ضبط النفق في تطبيق إدارة Cato.
اتصل بممثل حسابك أو افتح تذكرة لدعم Cato.

رسائل فشل سجل الزمن لاتصال النفق

يحتوي هذا القسم على قائمة برسائل الفشل في سجلات زمن IPSec.

IKEv1:

"لا يوجد تحويل p1 مدعوم"

"التحويل P1 المختار هو XXX ولا يتطابق مع التكوين الحالي" - عدم تطابق p1

"لا يوجد تحويل p2 مدعوم"

"التحويل المرحلة 2 المختار هو XXX ولا يتطابق مع التكوين الحالي"

"التحويل المرحلة 2 المختار هو XXX ولا يتطابق مع قالب التكوين AWS الحالي" - في حالة استخدام AWS

"غير قادر على العثور على نظير مناسب لهذه الاتصال - باستخدام عشوائي، توقع الأخطاء"

"عدم تطابق التكوين: تحاول FW الاتصال بدون شبكات فرعية محلية بينما يتم تكوين الموقع مع شبكات فرعية"

"تحاول FW الاتصال بموقع بدء الكاتو مع الشبكة الفرعية المحلية <> لكن المحلي للموقع هو 0.0.0.0/0"

"الشبكة الفرعية المحلية " <subnet details> " غير مهيأة في الموقع"

IKEv2:

IKEV2_CONN_CLOSE_REASON__UNKNOWN = 0

IKEV2_CONN_CLOSE_REASON__TIMEOUT = 1

IKEV2_CONN_CLOSE_REASON__CONFIG_MISMATCH = 2

IKEV2_CONN_CLOSE_REASON__CONFIG_CHANGED = 3

IKEV2_CONN_CLOSE_REASON__SITE_REMOVED = 4

IKEV2_CONN_CLOSE_REASON__NO_PEER_PROPOSAL_SELECTED = 5

IKEV2_CONN_CLOSE_REASON__USER_REQUEST = 6

IKEV2_CONN_CLOSE_REASON__TUNNEL_CREATION_FAILURE = 7