Existen muchos factores diferentes que pueden causar la falla de un túnel IPSec, tales como una configuración incorrecta, un enrutamiento mal configurado o posibles problemas de hardware. Este artículo describe diferentes herramientas que puedes utilizar para investigar y descubrir la causa raíz de los problemas de conectividad del túnel y luego remediarlos.
La sección de IPsec para el sitio contiene las herramientas que puedes utilizar para resolver problemas de conectividad del sitio, incluyendo:
- Registro de la cronología de la conexión
- Captura de tráfico (PCAP)
- Estado de la Conexión
- Reiniciar Túnel
Estas herramientas están disponibles para tipos de sitios IPsec (IKEv1, IKEv2) y pueden ser utilizadas para ambos túneles, primario y secundario.
Nota: Las herramientas de resolución de problemas no son compatibles con IPSec IKEv1 FW-init.
Para mostrar la sección IPsec, ve a Configuración del sitio > IPSec.
El Registro de Conexión de la Línea de Tiempo es un registro de eventos recientes y proporciona al usuario final un "historial" del estado del túnel que puede ser útil durante una investigación.
Cuando descargas la Línea de Tiempo, recibes dos archivos CSV (líneas de tiempo activas y archivadas) con registros cronológicos para cambios de negociación de IPSec.
Este formato legible te permite identificar fácilmente cuándo ocurrieron los cambios y su causa.
Nota: Los registros de la línea de tiempo aparecen en la zona horaria UTC para facilitar su uso.
Para descargar los registros de la cronología, expande la sección Primaria o Secundaria para el sitio IPsec y haz clic en Cronología.
Una captura de paquetes proporciona un análisis de bajo nivel de lo que está sucediendo a través del túnel. Esto es útil para investigaciones más profundas. La Aplicación de Gestión de Cato te permite descargar un PCAP del Cato PoP relevante utilizado para la conexión IPSec.
Se descargan dos archivos PCAP (PCAP activo y archivado). Los archivos incluyen descripciones para cada paquete que atraviesa el túnel junto al Protocolo, Puerto, Tipos de mensajes y más.
- El marco de tiempo del PCAP aparece según la configuración de tu máquina host local.
- Si el túnel está caído, solo el archivo PCAP archivado está disponible.
-
Tamaño máximo de paquete IKEv1:
- PCAP activo - 512 paquetes
- PCAP archivado - 1024 paquetes
-
Tamaño máximo de paquete IKEV2:
- PCAP activo - 256 paquetes
- PCAP archivado - 1024 paquetes
La herramienta de Estado de la Conexión presenta un resumen del estado de tu sitio IPSec. Cuando haces clic en el botón Estado de la Conexión, se toma y se muestra en la pantalla la última instantánea de datos disponible.
Si el sitio está desconectado, el estado de la conexión no se recupera.
El estado de la conexión incluye los siguientes campos de resumen para cada túnel IPSec:
- Nombre del sitio
- Nombre de la cuenta
- Dirección local
- Dirección del par
- Último IKE SA establecido
- Último ESP SA establecido
- Parámetros del mensaje de inicio (Protocolo, Grupo DH, Algoritmo de cifrado, Longitud de la clave de cifrado, Algoritmo PRF, Algoritmo de integridad)
- Parámetros del mensaje de autenticación (Protocolo, Grupo DH, Algoritmo de cifrado, Longitud de la clave de cifrado, Algoritmo de integridad)
- Conexión IKE SAs (SPI Iniciador, SPI Respondedor, Puerto local, Puerto del par, Etapa actual, sello de tiempo)
- Algoritmos de conexión IKE (Longitud de DH, Algoritmo PRF, Algoritmo de integridad, Algoritmo de cifrado, Cifrado GCM)
- Indicadores
- Conexión ESP SAs (SPI Iniciador, SPI Respondedor, sello de tiempo, datos IKE SPI, paquetes de datos entrantes y salientes)
- Algoritmos de conexión ESP (Longitud de DH, Algoritmo de integridad, Algoritmo de cifrado, Cifrado GCM)
- Banderas
Puedes activar el PoP conectado para reiniciar el túnel IPSec con la dirección del par remoto. Reiniciar el túnel puede ayudar a restablecer la conexión para el sitio.
Para reiniciar el túnel IPsec, expande la sección Primaria o Secundaria para el sitio IPsec y haz clic en Reiniciar túnel.
- Túneles IKEv1 - El reinicio es instantáneo.
- Túneles IKEv2 - El reinicio puede tardar hasta dos minutos en restablecer la conectividad.
- El fallo BGP puede ocurrir si se configura alta disponibilidad.
- En caso de que un túnel sea iniciado por FW (iniciado por el par remoto), necesitas asegurarte de que el túnel se restablece en el lado del par remoto (Cuando el túnel está caído, el botón de reinicio está deshabilitado).
La siguiente sección incluye pasos comunes a considerar cuando investigar problemas con un túnel IPSec.
Nota: Estos pasos no están relacionados con problemas de pérdida de paquetes.
-
Revisa los cambios recientes de salud de la página de estado - Si el PoP está experimentando problemas, esto puede impactar el túnel IPSec (cada túnel está conectado a una ubicación Cato PoP). Puede monitorear la salud de los PoPs de Cato en la página de estado.
Si el par remoto es un proveedor en la nube como Azure o AWS, también puedes verificar sus páginas de estado.
-
Recopilar la configuración del firewall IPSec remoto.
- ¿Quién está configurado para iniciar el túnel?
- ¿La configuración de IPSec en el firewall remoto coincide con la configuración de IPSec en la Aplicación de Gestión de Cato? (es decir, ¿los parámetros del mensaje IKE coinciden?)
- Revisa el Estado de la Conexión en la Aplicación de Gestión de Cato.
- ¿Está habilitado NAT-T en el firewall IPSec remoto?
-
Recopila logs y PCAPs en el firewall IPSec remoto y línea de tiempo y PCAPs en la Aplicación de Gestión de Cato.
- Revisa los logs para irregularidades, ¿los sellos de tiempo del firewall remoto correlacionan con los Eventos y los logs de la línea de tiempo descargados de Cato?
- Revisa los PCAPs para la comunicación paquete por paquete.
- Revisa los selectores de tráfico - ¿La política del túnel está basada en políticas o en rutas?
-
Revisa la configuración general del sitio en la Aplicación de Gestión de Cato:
- ¿Es esta una configuración de Alta Disponibilidad? Si es así, ¿cuál es el estado de BGP?
- ¿Hay una discrepancia de PSK? (PSK es compatible hasta 64 caracteres)
- Reinicia el túnel en la Aplicación de Gestión de Cato.
- Contacta a tu representante de cuenta o abre un ticket a Soporte de Cato.
Esta sección contiene una lista de mensajes de fallo en los registros de línea de tiempo IPSec.
IKEv1:
| "No se admite la transformación p1" |
| "La transformación P1 elegida es XXX y no coincide con la configuración actual" - discrepancia de p1 |
| "No se admite la transformación p2" |
| "La transformación de fase 2 elegida es XXX y no coincide con la configuración actual" |
| "La transformación de fase 2 elegida es XXX y no coincide con la plantilla de configuración de AWS actual" - en caso de usar AWS |
| "No se puede encontrar un par adecuado para esta conexión - usando aleatorio, esperar errores" |
| "Incompatibilidad de configuración: el FW está intentando conectarse sin subredes locales mientras el sitio está configurado con subredes" |
| "El FW está intentando conectarse a un sitio init de cato con subred local <> pero la local del sitio <site_id> es 0.0.0.0/0" |
| "Subred local " <detalles de subred> " no está configurada en el sitio" |
IKEv2:
| IKEV2_CONN_CLOSE_REASON__UNKNOWN = 0 |
| IKEV2_CONN_CLOSE_REASON__TIMEOUT = 1 |
| IKEV2_CONN_CLOSE_REASON__CONFIG_MISMATCH = 2 |
| IKEV2_CONN_CLOSE_REASON__CONFIG_CHANGED = 3 |
| IKEV2_CONN_CLOSE_REASON__SITE_REMOVED = 4 |
| IKEV2_CONN_CLOSE_REASON__NO_PEER_PROPOSAL_SELECTED = 5 |
| IKEV2_CONN_CLOSE_REASON__USER_REQUEST = 6 |
| IKEV2_CONN_CLOSE_REASON__TUNNEL_CREATION_FAILURE = 7 |
0 comentarios
Inicie sesión para dejar un comentario.