XOps Playbook Réseau - Échec de la Phase 2 IPsec

Ce playbook décrit les étapes pour résoudre les problèmes lorsqu'un Échec de la Phase 2 IPsec a été SIM détectée.

Vue d'ensemble

Ce playbook explique comment identifier quand un Échec de la Phase 2 IPsec s'est produit et décrit les étapes que vous pouvez suivre pour résoudre ce problème.

Symptômes

  • Perte de Connectivité
  • Perturbation du Trafic

Étape 1 - Vérifier que l'échec s'est produit

Voici les différentes manières dont un admin de l'Application de gestion Cato peut vérifier que l'Échec de la Phase 2 IPsec s'est produit.

Utilisation de la Descente des Histoires

  • Allez à la page de l'Atelier des Histoires et définissez le producteur sur Opérations du Compte, incluant le filtre 'Indication Dans Échec de la Phase 2 IPsec'. Ajustez la période si nécessaire.
    ipsec-story-drilldown.jpg
  • Vérifiez qu'une histoire a été créée comme montré ci-dessous.
    ipsec-story-example.jpg
  • Cliquez sur l'histoire pour examiner les détails. Il fournit des informations sur le statut de l'histoire, une chronologie de l'incident.
    story-drilldown.jpg

Examiner la Chronologie des Tunnels

Allez sur le site concerné, et dans l'onglet IPsec, cliquez sur Chronologie pour télécharger le fichier CSV. examinez le fichier pour confirmer l'histoire.
ipsec-csv.jpg
Dans l'exemple ci-dessus, nous pouvons voir qu'une erreur NO_PROPOSAL_CHOSEN est affichée.

 

Étape 2 - Résolution des Problèmes Découverts

Ce qui suit montre les différentes manières dont un admin de l'Application de gestion Cato peut résoudre les problèmes découverts pour l'Échec de la Phase 2 IPsec.

Aucune Proposition Choisie

Dans l'Application de gestion Cato, allez à l'onglet IPsec du site et examinez la configuration.

  • Pour les tunnels IPsec IKEv1 (Cato‑initié), vérifiez que les paramètres de Phase 2 correspondent aux paramètres sur votre pare-feu.
  • Si vous devez confirmer exactement quels paramètres Cato propose, téléchargez le fichier PCAP et inspectez le message quick mode pour la Transform Payload dans la Proposal Payload. Cela montrera le chiffrement, l'intégrité, l'Authentification sélectionnée, et d'autres attributs proposés par l'initiateur.
  • Pour IPsec IKEv2 – Dans l'Application de gestion Cato, parcourez l'onglet IPsec du site et examinez les Paramètres de Message Init et Auth. Ajustez la configuration pour vous assurer qu'elle correspond aux paramètres sur votre pare-feu.
  • Pour confirmer exactement quels paramètres sont proposés, téléchargez le fichier PCAP et inspectez le message IKE_AUTH qui contient le CHILD_SA. proposition. Dans la charge utile de l'Association de Sécurité, examinez la Transform Payload pour voir le Chiffrement, l'Intégrité, PFS (groupe DH), et d'autres attributs proposés par le pair proposant le CHILD_SA.
    • Si le mode de connexion est défini sur Répondeur uniquement, réinitiez la session depuis votre pare-feu après avoir modifié la configuration.

TS INACCEPTABLE

Dans l'Application de gestion Cato, parcourez l'onglet IPsec du site et cliquez sur le bouton PCAP pour télécharger le fichier.

  • Examinez le fichier PCAP et recherchez la dernière réponse du charge utile Initiateur/Répondeur pour TS_INACCEPTABLE.
    ts_unacceptable.jpg
  • Dans le PCAP, examinez les paquets précédents IKE_AUTH_MID pour la charge utile des Sélecteurs de Trafic (Initiateur et Répondeur) et comparez les plages IP répertoriées avec celles de l'onglet Routage de la section IPsec du site dans l'Application de gestion Cato.
  • Pour résoudre le problème, supprimez ou ajoutez les plages IP requises.
  • Lors de l'utilisation d'IPsec avec IKEv1, vous pouvez rencontrer un message INVALID ID INFORMATION pendant la négociation de la Phase 2. Cela indique généralement que les deux pairs VPN utilisent des plages IP différentes pour le tunnel. S'assurer que les deux côtés définissent des sous-réseaux locaux et distants correspondants résoudra ce problème et permettra à la connexion de s'établir avec succès.

Note : Lors de la création d'un CHILD_SA, Cato envoie plusieurs sélecteurs de trafic (TS) dans la même charge utile TS conformément à la RFC 7295. Certaines solutions tierces, telles que les Cisco ASA, ne prennent en charge qu'un seul TS dans chaque CHILD_SA. Un Cisco ASA enverra un message TS_UNACCEPTABLE en réponse à une proposition de Cato de créer un CHILD_SA avec plusieurs TS.

Vous pouvez configurer votre compte ou un site IKEv2 IPsec spécifique pour envoyer chaque TS dans un paquet séparé afin de prendre en charge l'interopérabilité avec ces solutions tierces en activant cette configuration sous Site Configuration > Advanced Configuration.

Soulever des Cas au Support Cato

Si suivre ce guide n'a pas résolu un problème, soumettez un ticket de Support. Pour obtenir la réponse la plus utile à une demande, un administrateur devrait fournir les résultats des étapes de dépannage effectuées.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire