De nombreux facteurs différents peuvent entraîner l'échec d'un tunnel IPsec, tels qu'une mauvaise configuration, un routage mal configuré ou des problèmes matériels potentiels. Cet article décrit différents outils que vous pouvez utiliser pour enquêter et découvrir la cause première des problèmes de connectivité du tunnel, puis les résoudre.
La section IPsec pour le site contient les outils que vous pouvez utiliser pour résoudre les problèmes de connectivité du site, y compris :
- Journal de connexion de la chronologie
- Capture de trafic (PCAP)
- Statut de la connexion
- Réinitialiser le tunnel
Ces outils sont disponibles pour les types de sites IPsec (IKEv1, IKEv2) et peuvent être utilisés pour les tunnels primaires et secondaires.
Remarque : Les outils de dépannage ne sont pas pris en charge pour IPSec IKEv1 FW-init.
Pour afficher la section IPsec, allez à Configuration du site > IPSec.
Le journal de connexion chronologique est un enregistrement des événements récents et fournit à l'utilisateur final un "historique" de l'état du tunnel qui peut être utile lors d'une enquête.
Lorsque vous téléchargez la chronologie, vous recevez deux fichiers CSV (chronologies active et archivée) avec des journaux chronologiques pour les changements de négociation IPsec.
Ce format lisible vous permet d'identifier facilement quand les changements sont survenus et leur cause.
Remarque : Les journaux chronologiques apparaissent dans le fuseau horaire UTC pour faciliter leur utilisation.
Pour télécharger les journaux chronologiques, développez la section Principale ou Secondaire pour le site IPsec et cliquez sur Chronologie.
Une capture de paquets fournit une analyse de bas niveau de ce qui se passe sur le tunnel. Ceci est utile pour des enquêtes plus approfondies. L'application de gestion Cato vous permet de télécharger un PCAP depuis le PoP Cato pertinent utilisé pour la connexion IPsec.
Deux fichiers PCAP (PCAP actifs et archivés) sont téléchargés. Les fichiers incluent des descriptions pour chaque paquet traversant le tunnel avec le protocole, le port, les types de messages et plus encore.
- Le cadre temporel du PCAP apparaît selon les paramètres de votre machine hôte locale.
- Si le tunnel est hors service, seul le fichier PCAP archivé est disponible.
-
Taille maximale des paquets IKEv1 :
- PCAP actif - 512 paquets
- PCAP archivé - 1024 paquets
-
Taille maximale des paquets IKEv2 :
- PCAP actif - 256 paquets
- PCAP archivé - 1024 paquets
L'outil État de la connexion présente un résumé d'état de votre site IPsec. Lorsque vous cliquez sur le bouton État de la connexion, la dernière capture instantanée de données disponible est récupérée et affichée à l'écran.
Si le site est déconnecté, l'état de la connexion n'est pas récupéré.
L'état de la connexion inclut les champs de résumé suivants pour chaque tunnel IPsec :
- Nom du site
- Nom du compte
- Adresse locale
- Adresse du pair
- Dernier IKE SA établi
- Dernier ESP SA établi
- Paramètres du message d'initiation (Protocole, Groupe DH, Algorithme de chiffrement, Longueur de la clé de chiffrement, Algorithme PRF, Algorithme d'intégrité)
- Paramètres du message d'authentification (Protocole, Groupe DH, Algorithme de chiffrement, Longueur de la clé de chiffrement, Algorithme d'intégrité)
- Connexions IKE SA (SPI Initiateur, SPI Répondeur, Port local, Port du pair, Étape actuelle, horodatage)
- Algorithmes de connexion IKE (Longueur DH, Algorithme PRF, Algorithme d'intégrité, Algorithme de chiffrement, Chiffrement GCM)
- Indicateurs
- Connexions ESP SAs (SPI Initiateur, SPI Répondeur, horodatage, données IKE SPI, paquets de données entrants et sortants)
- Algorithmes de connexion ESP (Longueur DH, Algorithme d'intégrité, Algorithme de chiffrement, Chiffrement GCM)
- Drapeaux
Vous pouvez déclencher le PoP connecté pour réinitialiser le tunnel IPsec avec l'adresse du pair distant. Réinitialiser le tunnel peut aider à rétablir la connexion pour le site.
Pour réinitialiser le tunnel IPsec, développez la section Principale ou Secondaire pour le site IPsec et cliquez sur Réinitialiser le tunnel.
- Tunnels IKEv1 - Réinitialisation instantanée.
- Tunnels IKEv2 - La réinitialisation peut prendre jusqu'à deux minutes pour rétablir la connectivité.
- Un basculement BGP peut avoir lieu si la haute disponibilité est configurée.
- Dans le cas où un tunnel est initié par FW (initié par le pair distant), vous devez vous assurer que le tunnel est rétabli du côté du pair distant (Lorsque le tunnel est hors service, le bouton de réinitialisation est désactivé).
La section suivante inclut des étapes courantes à considérer lorsque vous enquêtez sur des problèmes avec un tunnel IPsec.
Remarque : Ces étapes ne sont pas liées aux problèmes de perte de paquets.
-
Vérifiez les changements récents de l'état de santé de la page de statut - Si le PoP rencontre des problèmes, cela peut impacter le tunnel IPsec (chaque tunnel est connecté à un emplacement PoP Cato). Vous pouvez surveiller la santé des PoPs Cato sur la page de statut.
Si le pair distant est un fournisseur de cloud tel qu'Azure ou AWS, vous pouvez également vérifier leurs pages de statut.
-
Recueillez la configuration du pare-feu IPsec distant.
- Qui est configuré pour initier le tunnel ?
- La configuration IPsec sur le pare-feu distant correspond-elle à la configuration IPsec sur l'application de gestion Cato ? (i.e. les paramètres du message IKE correspondent-ils ?)
- Vérifiez l'État de la connexion dans l'application de gestion Cato.
- Le NAT-T est-il activé sur le pare-feu IPsec distant ?
-
Collectez les journaux et les PCAP sur le pare-feu IPsec distant et la chronologie et les PCAP sur l'application de gestion Cato.
- Examinez les journaux pour toute irrégularité, les horodatages du pare-feu distant correspondent-ils aux événements et aux journaux de chronologie téléchargés depuis Cato ?
- Consultez les PCAP pour la communication paquet par paquet.
- Examinez les sélecteurs de trafic - La politique de tunnel est-elle basée sur des politiques ou sur des routes ?
-
Vérifiez la configuration générale du site dans l'application de gestion Cato :
- S'agit-il d'une configuration à haute disponibilité ? Si oui, quel est le statut BGP ?
- Y a-t-il un décalage PSK ? (PSK est pris en charge jusqu'à 64 caractères)
- Réinitialisez le tunnel dans l'application de gestion Cato.
- Contactez votre représentant de compte ou ouvrez un billet au support Cato.
Cette section contient une liste de messages d'échec dans les journaux chronologiques IPSec.
IKEv1 :
| "Pas de transformation p1 prise en charge" |
| "La transformation P1 choisie est XXX et elle ne correspond pas à la configuration actuelle" - décalage p1 |
| "Pas de transformation p2 prise en charge" |
| "La transformation de phase 2 choisie est XXX et elle ne correspond pas à la configuration actuelle" |
| "La transformation de phase 2 choisie est XXX et elle ne correspond pas au modèle de configuration AWS actuel" - si AWS est utilisé |
| "Impossible de trouver un pair adapté pour cette connexion - utilisant aléatoire, attendez-vous à des erreurs" |
| "Incompatibilité de configuration : FW essaie de se connecter sans sous-réseaux locaux alors que le site est configuré avec des sous-réseaux" |
| "Le FW essaie de se connecter à un site d'init cato avec un sous-réseau local <> mais le local du site <site_id> est 0.0.0.0/0" |
| "Le sous-réseau local " <détails du sous-réseau> " n'est pas configuré dans le site" |
IKEv2 :
| IKEV2_CONN_CLOSE_REASON__UNKNOWN = 0 |
| IKEV2_CONN_CLOSE_REASON__TIMEOUT = 1 |
| IKEV2_CONN_CLOSE_REASON__CONFIG_MISMATCH = 2 |
| IKEV2_CONN_CLOSE_REASON__CONFIG_CHANGED = 3 |
| IKEV2_CONN_CLOSE_REASON__SITE_REMOVED = 4 |
| IKEV2_CONN_CLOSE_REASON__NO_PEER_PROPOSAL_SELECTED = 5 |
| IKEV2_CONN_CLOSE_REASON__USER_REQUEST = 6 |
| IKEV2_CONN_CLOSE_REASON__TUNNEL_CREATION_FAILURE = 7 |
0 commentaire
Vous devez vous connecter pour laisser un commentaire.