Red de XOps Libro de Jugadas - Fase 2 de IPsec Fallida

Este libro de jugadas describe los pasos para resolver problemas cuando se detecta una Fallo en la Fase 2 de IPsec.

Resumen

Este libro de jugadas explica cómo identificar cuándo ocurre una Fallo en la Fase 2 de IPsec y describe los pasos que se pueden tomar sobre este problema.

Síntomas

  • Pérdida de conectividad
  • Disrupción del tráfico

Paso 1 - Verificar que ocurrió la falla

A continuación se muestran las diferentes formas en que un administrador de la Aplicación de Gestión de Cato puede verificar que ocurrió la Fallo en la Fase 2 de IPsec.

Usando el análisis detallado de la historia

  • Vaya a la página Banco de Trabajo de Historias y establezca el productor en Operaciones de Cuenta, incluyendo el filtro 'Indicación En Fallo Fase 2 de IPsec'. Ajuste el período de tiempo según sea necesario.
    ipsec-story-drilldown.jpg
  • Verifique que se haya creado una historia como se muestra a continuación.
    ipsec-story-example.jpg
  • Haga clic en la historia para profundizar en los detalles. Proporciona información sobre el estado de la historia, una cronología del incidente.
    story-drilldown.jpg

Revisar Cronología del Túnel

Vaya al sitio relevante, y en la pestaña IPsec haga clic en Cronología para descargar el archivo CSV. revise el archivo para confirmar la historia.
ipsec-csv.jpg
En el ejemplo anterior podemos ver que se muestra un error NO_PROPOSAL_CHOSEN.

 

Paso 2 - Resolviendo Problemas Descubiertos

Lo siguiente muestra las diferentes formas en que un administrador de la Aplicación de Gestión de Cato puede resolver los problemas descubiertos para Fallo en la Fase 2 de IPsec.

No se ha seleccionado ninguna propuesta

En la Aplicación de Gestión de Cato, vaya a la pestaña IPsec del sitio y revise la configuración.

  • Para los túneles IPsec IKEv1 (iniciados por Cato), verifique que los parámetros de la Fase 2 coincidan con la configuración en su firewall.
  • Si necesita confirmar exactamente qué parámetros está proponiendo Cato, descargue el archivo PCAP e inspeccione el mensaje de modo rápido para el Transform Payload dentro del Proposal Payload. Esto mostrará el cifrado, integridad, autenticación seleccionada y otros atributos ofrecidos por el iniciador.
  • Para IPsec IKEv2 – En la Aplicación de Gestión de Cato, explore la pestaña IPsec del sitio y revise los Parámetros del Mensaje de Autenticación y Init. Ajuste la configuración para asegurarse de que coincida con la configuración en su firewall.
  • Para confirmar exactamente qué parámetros se están proponiendo, descargue el archivo PCAP e inspeccione el mensaje IKE_AUTH que contiene el CHILD_SA propuesta. Dentro del Security Association payload, revise el Transform Payload para ver el Cifrado, Integridad, PFS (grupo DH), y otros atributos ofrecidos por el par que propone el CHILD_SA.
    • Si el modo de conexión está configurado a Solo Respondedor, reinicie la sesión desde su firewall después de cambiar la configuración.

TS INACEPTABLE

En la Aplicación de Gestión de Cato, explore la pestaña IPsec del sitio y haga clic en el botón PCAP para descargar el archivo.

  • Revise el archivo PCAP y busque la última respuesta de Iniciador/Respondedor para TS_INACEPTABLE.
    ts_unacceptable.jpg
  • En el PCAP, revise los paquetes anteriores IKE_AUTH_MID para el payload del Selector de Tráfico (ambos Iniciador y Respondedor) y compare los rangos de IP listados bajo la pestaña de Enrutamiento en la sección IPsec del sitio en la Aplicación de Gestión de Cato.
  • Para resolver el problema, elimine o agregue los rangos de IP requeridos.
  • Al utilizar IPsec con IKEv1, puede encontrar un mensaje INFORMACIÓN DE ID INVÁLIDA durante la negociación de la Fase 2. Esto típicamente indica que los pares VPN están usando diferentes rangos de IP para el túnel. Asegurarse de que ambos lados definan subredes locales y remotas que coincidan resolverá este problema y permitirá que la conexión se establezca exitosamente.

Nota: Al crear una CHILD_SA, Cato envía múltiples selectores de tráfico (TS) en el mismo payload TS de acuerdo con RFC 7295. Algunas soluciones de terceros, como Cisco ASAs, solo admiten un solo TS en cada CHILD_SA. Una Cisco ASA enviará un mensaje TS_INACEPTABLE en respuesta a una propuesta de Cato para crear una CHILD_SA con múltiples TS.

Puedes configurar tu cuenta o un sitio IKEv2 de IPsec específico para enviar cada TS en un paquete separado para admitir la interoperabilidad con estas soluciones de terceros habilitando esta configuración bajo Configuración del Sitio > Configuración Avanzada.

Elevando casos al Soporte de Cato

Si al seguir este libro de jugadas no se ha resuelto un problema, envíe un ticket de Soporte. Para obtener la respuesta más útil a una solicitud, un administrador debe proporcionar los resultados de los pasos de solución de problemas realizados.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios