IPsec সংযোগ সক্ষমতা সমস্যা সমাধান

সারসংক্ষেপ

IPSec টানেল ব্যর্থ হওয়ার অনেক ভিন্ন কারণ থাকতে পারে, যেমন ভুল কনফিগারেশন, ভুল রাউটিং, অথবা সম্ভাব্য হার্ডওয়্যার সমস্যা। এই নিবন্ধটি বিভিন্ন টুলের বর্ণনা দেয় যা আপনি টানেল সংযোগ সমস্যার মূল কারণ তদন্ত এবং আবিষ্কারের জন্য ব্যবহার করতে পারেন এবং তারপর সেগুলি সমাধান করতে পারেন।

Cato ম্যানেজমেন্ট অ্যাপ্লিকেশনে IPSec টানেল সমস্যা সমাধান

সাইটের জন্য IPsec অংশটি সাইটের সংযোগ সমস্যা সমাধানের জন্য প্রয়োজনীয় টুলগুলি অন্তর্ভুক্ত করে, যেগুলোর মধ্যে রয়েছে: 

  • টাইমলাইন সংযোগ লগ
  • ট্রাফিক সংগ্রহ (PCAP)
  • সংযোগের অবস্থা
  • টানেল রিসেট করুন 

এই টুলগুলি IPSec সাইট ধরনগুলির জন্য উপলব্ধ (IKEv1, IKEv2) এবং উভয় প্রাথমিক ও দ্বিতীয়ক টানেলের জন্য ব্যবহৃত হতে পারে।

নোট: সমস্যার সমাধানের টুলগুলি IPSec IKEv1 FW-init-এর জন্য সমর্থিত নয়।

IPsec অংশটি দেখানোর জন্য, সাইট কনফিগারেশন > IPSec এ যান।

টাইমলাইন সংযোগ লগ

টাইমলাইন সংযোগ লগ সাম্প্রতিক ঘটনা রেকর্ড করে এবং তদন্তের সময় টানেলের অবস্থার "ইতিহাস" শেষ ব্যবহারকারীকে প্রদান করে, যা সহায়ক হতে পারে।

যখন আপনি টাইমলাইন ডাউনলোড করেন, আপনি দুটি CSV ফাইল (সক্রিয় এবং সংগ্রহ টাইমলাইন) পান যা IPSec আলোচনা পরিবর্তনের ক্রমিক লগ সংরক্ষণ করে।

এই পাঠ্যসূত্র আপনাকে সহজে পরিবর্তন কবে ঘটেছে এবং তাদের কারণ চিহ্নিত করতে সাহায্য করে।

image.png

নোট: সময়রেখা লগগুলি ব্যবহার সহজতার জন্য UTC সময় অঞ্চলে প্রদর্শিত হয়।

 টাইমলাইন লগ ডাউনলোড করতে, IPsec সাইটের জন্য প্রাথমিক বা দ্বিতীয়ক অংশটি সম্প্রসারিত করুন এবং টাইমলাইন এ ক্লিক করুন।

টাইমলাইন লগিং সীমাবদ্ধতা

  • সক্রিয় টাইমলাইন ফাইলের জন্য সর্বাধিক লগ রেকর্ড - 100
  • সংগ্রহ টাইমলাইন ফাইলের জন্য সর্বাধিক লগ রেকর্ড - 300
  • যদি টানেলটি বন্ধ থাকে, শুধুমাত্র সংগ্রহের টাইমলাইন ফাইল পাওয়া যায়।

ট্রাফিক ক্যাপচার (PCAP)

একটি প্যাকেট ক্যাপচার টানেলের উপর যা ঘটছে তার লো-লেভেল বিশ্লেষণ প্রদান করে। এটি আরও গভীর তদন্তের জন্য উপকারী। Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন আপনাকে IPSec সংযোগের জন্য ব্যবহৃত সম্পর্কিত Cato PoP থেকে PCAP ডাউনলোড করতে দেয়।

দুটি PCAP ফাইল (সক্রিয় এবং সংগ্রহ PCAP) ডাউনলোড করা হয়। ফাইলগুলিতে প্রতিটি প্যাকেটের বিবরণ অন্তর্ভুক্ত রয়েছে যা টানেল অতিক্রম করে প্রোটোকল, পোর্ট, বার্তা প্রকার এবং আরও অনেক কিছু সহ। 

image.png

ট্রাফিক ক্যাপচার সীমাবদ্ধতা

  • PCAP সময়ফ্রেম আপনার স্থানীয় হোস্ট মেশিন সেটিংস অনুযায়ী প্রদর্শিত হয়।
  • যদি টানেল সংযোগ বিচ্ছিন্ন হয়, তবে শুধুমাত্র আর্কাইভ করা PCAP ফাইল উপলব্ধ।

  • IKEv1 সর্বাধিক প্যাকেট আকার:

    • সক্রিয় PCAP - 512 প্যাকেটস
    • আর্কাইভ PCAP - 1024 প্যাকেটস

  • IKEV2 সর্বাধিক প্যাকেট আকার:

    • সক্রিয় PCAP - 256 প্যাকেটস
    • আর্কাইভ PCAP - 1024 প্যাকেটস

সংযোগের অবস্থা

সংযোগের স্ট্যাটাস টুলটি আপনার IPSec সাইটের অবস্থা সারসংক্ষেপ প্রদর্শন করে। আপনি যখন সংযোগের অবস্থা বাটন ক্লিক করেন, তখন সর্বশেষ উপলব্ধ তথ্যের স্ন্যাপশট সংগ্রহ করা হয় এবং স্ক্রিনে প্রদর্শিত হয়।

যদি সাইট সংযোগ বিচ্ছিন্ন হয়, তাহলে সংযোগের অবস্থা প্রাপ্ত হয় না

image.png

সংযোগের অবস্থা প্রতিটি IPSec টানেলের জন্য নিম্নলিখিত সারসংক্ষেপ ক্ষেত্রগুলি অন্তর্ভুক্ত করে:

  • সাইটের নাম
  • অ্যাকাউন্টের নাম
  • স্থানীয় ঠিকানা
  • পীয়ার ঠিকানা
  • শেষ IKE SA স্থাপিত
  • শেষ ESP SA স্থাপিত
  • ইনিট মেসেজ প্যারামিটার (প্রোটোকল, DH গ্রুপ, এনক্রিপশন অ্যালগরিদম, এনক্রিপশন কী দৈর্ঘ্য, PRF অ্যালগরিদম, ইন্টিগ্রিটি অ্যালগরিদম)
  • অথ মেসেজ প্যারামিটার (প্রোটোকল, DH গ্রুপ, এনক্রিপশন অ্যালগরিদম, এনক্রিপশন কী দৈর্ঘ্য, ইন্টিগ্রিটি অ্যালগরিদম)
  • সংযোগ IKE SAs (SPI উদ্যোক্তা, SPI প্রতিসাদদাতা, স্থানীয় পোর্ট, পীয়ার পোর্ট, বর্তমান পর্যায়, টাইমস্ট্যাম্প)
  • IKE সংযোগ অ্যালগরিদম (DH দৈর্ঘ্য, PRF অ্যালগরিদম, ইন্টিগ্রিটি অ্যালগরিদম, সাইফার অ্যালগরিদম, GCM এনক্রিপশন)
  • ফ্ল্যাগস
  • সংযোগ ESP SAs (SPI উদ্যোক্তা, SPI প্রতিসাদদাতা, টাইমস্ট্যাম্প, IKE SPI ডেটা, ইনকামিং এবং আউটগোয়িং ডাটা প্যাকেট)
  • ESP সংযোগ অ্যালগরিদম (DH দৈর্ঘ্য, ইন্টিগ্রিটি অ্যালগরিদম, সাইফার অ্যালগরিদম, GCM এনক্রিপশন)
  • ফ্ল্যাগস

IPSec টানেল রিসেট করা হচ্ছে

আপনি সংযুক্ত PoP কে দূরবর্তী পীয়ার ঠিকানার সাথে IPSec টানেল রিসেট করতে ট্রিগার করতে পারেন। টানেল রিসেট করা সাইটের জন্য সংযোগ পুনরায় স্থাপনে সহায়ক হতে পারে।

IPsec টানেল রিসেট করতে, IPsec সাইটের জন্য প্রাথমিক বা দ্বিতীয়ক সেকশন সম্প্রসারিত করুন এবং টানেল রিসেট করুন ক্লিক করুন।

রিসেট সীমাবদ্ধতা

  • IKEv1 টানেল - টানেল রিসেট করা তাৎক্ষণিক।
  • IKEv2 টানেল - সংযোগ পুনঃপ্রতিষ্ঠা করতে টানেল রিসেট করতে দুই মিনিট পর্যন্ত সময় লাগতে পারে।
  • উচ্চ উপলভ্যতা কনফিগার করা থাকলে BGP ফেলওভার ঘটতে পারে।
  • যদি একটি টানেল FW-উদ্যোগী হয় (পিয়ার দ্বারা উদ্যোগী), আপনাকে নিশ্চিত করতে হবে যে টানেলটি পিয়ার পাশে পুনঃপ্রতিষ্ঠা করা হয়েছে (যখন টানেলটি ডাউন থাকে, তখন টানেল রিসেট বাটন নিষ্ক্রিয় থাকে)।

সাধারণ IPSec সমস্যা নিরসনের প্র্যাকটিস

নিম্নলিখিত সেকশন একটি সাধারণ ধাপগুলো অন্তর্ভুক্ত করে যা আপনাকে IPSec টানেল সমস্যাগুলি তদন্ত করার সময় বিবেচনা করতে হবে।

নোট: এই ধাপগুলো প্যাকেট ক্ষতি সমস্যার সাথে সম্পর্কিত নয়।

  1. সাম্প্রতিক স্ট্যাটাস পাতা স্বাস্থ্য পরিবর্তনের জন্য যাচাই করুন - যদি PoP সমস্যার সম্মুখীন হয়, তবে এটি IPSec টানেলে প্রভাবিত হতে পারে (প্রতিটি টানেল ক্যাটো PoP অবস্থানের সাথে সংযুক্ত থাকে)। আপনি স্ট্যাটাস পেজে Cato PoPগুলির স্বাস্থ্য নিরীক্ষণ করতে পারেন। 

    যদি পিয়ার একটি ক্লাউড ভেন্ডর হয় যেমন Azure বা AWS, তবে আপনি তাদের স্ট্যাটাস পাতাগুলি যাচাই করতে পারেন।

  2. রিমোট IPSec ফায়ারওয়াল কনফিগারেশন সংগ্রহ করুন।

    • টানেল কে উদ্যোগী করার জন্য সেট করা হয়েছে?
    • রিমোট ফায়ারওয়ালে IPSec কনফিগারেশন ক্যাটো ম্যানেজমেন্ট অ্যাপ্লিকেশন এ IPSec কনফিগারেশন এর সাথে মেলে কিনা? (অর্থাৎ IKE মেসেজ প্যারামিটারগুলি মেলে কিনা?)
    • Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন এ সংযোগের অবস্থা পর্যালোচনা করুন।
    • রিমোট IPSec ফায়ারওয়াল এ NAT-T সক্রিয় করা হয়েছে কিনা?

  3. রিমোট IPSec ফায়ারওয়াল এবং ক্যাটো ম্যানেজমেন্ট অ্যাপ্লিকেশনে লগ এবং PCAPs সংগ্রহ করুন।

    • যেকোনো অনিয়মের জন্য লগ পর্যালোচনা করুন, রিমোট ফায়ারওয়াল টাইমস্ট্যাম্পগুলি কি Cato থেকে ডাউনলোড করা ইভেন্ট এবং সময়রেখা লগের সাথে সম্পর্কিত হয়? 
    • প্যাকেট-বাই-প্যাকেট যোগাযোগের জন্য PCAPs পর্যালোচনা করুন।
  4. ট্রাফিক নির্বাচক পর্যালোচনা করুন - টানেলটি কি নীতিভিত্তিক বা রুট-ভিত্তিক?

  5. Cato ম্যানেজমেন্ট অ্যাপ্লিকেশনে সাধারণ সাইট কনফিগারেশন পর্যালোচনা করুন:

    • এটি কি একটি উচ্চ উপলভ্যতা সেটআপ? যদি হ্যাঁ, তবে BGP অবস্থা কি?
    • গোপন কীওয়ার্ড (PSK) মিল না থাকার সমস্যা আছে কি? (PSK সর্বাধিক ৬৪ অক্ষর পর্যন্ত সমর্থিত)
  6. Cato ম্যানেজমেন্ট অ্যাপ্লিকেশনে টানেল রিসেট করুন।
  7. আপনার অ্যাকাউন্ট প্রতিনিধি অথবা Cato সাপোর্ট এর জন্য একটি টিকেট খুলুন।

টাইমলাইন লগ ব্যর্থতা সংযোগের বার্তা

এই সেকশনে IPSec সময়রেখা লগ এর ব্যর্থতা বার্তার একটি তালিকা অন্তর্ভুক্ত করে।

IKEv1:

"সমর্থিত p1 রূপান্তর নেই" 
"নির্বাচিত P1 রূপান্তর হলো XXX এবং এটি বর্তমান কনফিগারেশনের সাথে মেলে না" - p1 মেলেনি 
"সমর্থিত p2 রূপান্তর নেই"
"নির্বাচিত ফেজ 2 ট্রান্সফর্ম হল XXX এবং এটি বর্তমান কনফিগারেশন সাথে মেলে না"
"নির্বাচিত ফেজ 2 ট্রান্সফর্ম হল XXX এবং এটি বর্তমান AWS কনফিগারেশন টেমপ্লেট সাথে মেলে না" - যদি AWS ব্যবহার করা হচ্ছে
"এই সংযোগের জন্য উপযুক্ত পীয়ার খুঁজে পাওয়া যায়নি - এলোমেলোভাবে ব্যবহার করা হচ্ছে, ত্রুটি আশা করুন"
"কনফিগারেশন মিসম্যাচ: FW সাবনেট ছাড়াই সংযোগ করার চেষ্টা করছে যেখানে সাইট সাবনেট দিয়ে কনফিগার করা হয়েছে"
"FW স্থানীয় সাবনেট <> নিয়ে একটি কাটো ইনিট সাইটে সংযোগ করার চেষ্টা করছে তবে সাইটের <site_id> স্থানীয় 0.0.0.0/0 সাথে"
"স্থানীয় সাবনেট " <subnet details> " সাইটে কনফিগার করা হয়নি"

IKEv2:

IKEV2_CONN_CLOSE_REASON__UNKNOWN = 0
IKEV2_CONN_CLOSE_REASON__TIMEOUT = 1
IKEV2_CONN_CLOSE_REASON__CONFIG_MISMATCH = 2
IKEV2_CONN_CLOSE_REASON__CONFIG_CHANGED = 3
IKEV2_CONN_CLOSE_REASON__SITE_REMOVED = 4
IKEV2_CONN_CLOSE_REASON__NO_PEER_PROPOSAL_SELECTED = 5
IKEV2_CONN_CLOSE_REASON__USER_REQUEST = 6
IKEV2_CONN_CLOSE_REASON__TUNNEL_CREATION_FAILURE = 7

এই নিবন্ধটি কি সহায়ক ছিল?

0 জনের মধ্যে 0 জন এটিকে সহায়ক বলে মনে করেছেন

0 মন্তব্য