Resolução de Problemas de Conectividade IPsec

Visão geral

Existem muitos fatores diferentes que podem causar a falha de um túnel IPSec, como configuração incorreta, roteamento configurado incorretamente ou possíveis problemas de hardware. Este artigo descreve diferentes ferramentas que você pode usar para investigar e descobrir a causa raiz dos problemas de conectividade do túnel e, em seguida, corrigi-los.

Solucionando problemas de Túneis IPSec na Aplicação de Gerenciamento Cato

A seção IPsec para o site contém as ferramentas que você pode usar para resolver problemas de conectividade do site, incluindo: 

Log de conexão da Linha do Tempo
Captura de tráfego (PCAP)
Status da Conexão
Reiniciar Túnel

Essas ferramentas estão disponíveis para tipos de site IPSec (IKEv1, IKEv2) e podem ser usadas tanto para os túneis primários quanto para os secundários.

Nota: As ferramentas de resolução de problemas não são suportadas para IPSec IKEv1 FW-init.

Para mostrar a seção IPsec, vá para Configurações do Site > IPSec.

Log de Conexão da Linha do Tempo

O Log de Conexão de Linha do Tempo é um registro de eventos recentes e fornece ao usuário final um "histórico" do estado do túnel que pode ser útil durante uma investigação.

Quando você baixa a Linha do Tempo, você recebe dois arquivos CSV (Linhas do Tempo Ativa e Arquivada) com logs cronológicos para mudanças de negociação IPSec.

Este formato legível permite identificar facilmente quando as mudanças ocorreram e sua causa.

Nota: Os logs de linha do tempo aparecem no fuso horário UTC para facilitar o uso.

Para baixar os logs de linha do tempo, expanda a seção Principal ou Secundário do site IPSec e clique em Linha do Tempo.

Limitações de Registro de Linha do Tempo

Máximo de registros de log para um arquivo de linha do tempo ativa - 100
Máximo de registros de log para um arquivo de linha do tempo arquivada - 300
Se o túnel estiver inativo, apenas o arquivo de linha do tempo arquivado estará disponível.

Captura de Tráfego (PCAP)

Uma captura de pacotes fornece uma análise de baixo nível do que está acontecendo no túnel. Isso é útil para investigações mais aprofundadas. O Aplicativo de Gerenciamento Cato permite baixar um PCAP do PoP Cato relevante usado para a conexão IPSec.

São baixados dois arquivos PCAP (PCAPs Ativo e Arquivado). Os arquivos incluem descrições para cada pacote que atravessa o túnel junto com o Protocolo, Porta, Tipos de mensagens e mais.

Limitações de Captura de Tráfego

O quadro de tempo do PCAP aparece de acordo com as configurações da sua máquina host local.

Se o túnel estiver inativo, apenas o arquivo PCAP arquivado estará disponível.

Tamanho máximo do pacote IKEv1:
- PCAP Ativo - 512 pacotes
- PCAP Arquivado - 1024 pacotes

Tamanho máximo do pacote IKEv2:
- PCAP Ativo - 256 pacotes
- PCAP Arquivado - 1024 pacotes

Status da Conexão

A ferramenta Status da Conexão apresenta um resumo do estado do seu site IPSec. Quando você clica no botão Status da Conexão, o último instantâneo de dados disponível é capturado e exibido na tela.

Se o site estiver desconectado, o status da conexão não será buscado.

O status da conexão inclui os seguintes campos de resumo para cada túnel IPSec:

Nome do Site
Nome da Conta
Endereço Local
Endereço Par
Último IKE SA Estabelecido
Último ESP SA Estabelecido
Parâmetros da Mensagem de Inicialização (Protocolo, Grupo DH, Algoritmo de Criptografia, Comprimento da Chave de Criptografia, Algoritmo PRF, Algoritmo de Integridade)
Parâmetros da Mensagem de Autenticação (Protocolo, Grupo DH, Algoritmo de Criptografia, Comprimento da Chave de Criptografia, Algoritmo de Integridade)
Conexão IKE SAs (SPI Iniciador, SPI Respondedor, Porta Local, Porta Par, Estágio Atual, timestamp)
Algoritmos de Conexão IKE (Comprimento DH, Algoritmo PRF, Algoritmo de Integridade, Algoritmo de Cifra, Criptografia GCM)
Bandeiras
Conexão ESP SAs (SPI Iniciador, SPI Respondedor, timestamp, Dados IKE SPI, Pacotes de Dados de Entrada e Saída)
Algoritmos de Conexão ESP (Comprimento DH, Algoritmo de Integridade, Algoritmo de Cifra, Criptografia GCM)
Bandeiras

Redefinindo o Túnel IPSec

Você pode acionar o PoP Conectado para redefinir o túnel IPSec com o Endereço Par remoto. Redefinir o túnel pode ajudar a reestabelecer a conexão para o Site.

Para redefinir o túnel IPsec, expanda a Principal ou Secundário seção para o Site IPsec e clique em Reiniciar Túnel.

Limitações de Redefinição

Túneis IKEv1 - A redefinição é instantânea.
Túneis IKEv2 - A redefinição pode levar até dois minutos para restabelecer a conectividade.
A falha do BGP pode ocorrer se a Alta disponibilidade estiver configurada.
Caso um túnel seja iniciado pelo FW (Iniciado pelo Par remoto), você precisa garantir que o túnel seja restabelecido no lado do Par remoto (Quando o túnel estiver inativo, o botão de redefinição estará desabilitado).

Práticas Comuns de Solução de Problemas IPSec

A seção a seguir inclui etapas comuns a serem consideradas ao investigar problemas com um túnel IPSec.

Nota: Essas etapas não estão relacionadas a problemas de perda de pacotes.

Verifique as mudanças recentes na saúde da página de status - Se o PoP estiver enfrentando problemas, isso pode impactar o túnel IPSec (cada túnel está conectado a uma Localização do PoP Cato). Você pode monitorar a saúde dos PoPs Cato na página de status.

Se o Par remoto for um fornecedor de nuvem como Azure ou AWS, você também pode verificar as páginas de status deles.
Coletar configuração do firewall IPSec remoto.
- Quem está configurado para iniciar o túnel?
- A configuração do IPSec no firewall remoto coincide com a configuração do IPSec no Aplicativo de Gerenciamento Cato? (ou seja, os parâmetros de mensagem IKE coincidem?)
- Revise o Status da Conexão no Aplicativo de Gerenciamento Cato.
- O NAT-T está ativado no firewall IPSec remoto?
Coletar logs e PCAPs no firewall IPSec remoto e linha do tempo e PCAPs no Aplicativo de Gerenciamento Cato.
- Revise logs para qualquer irregularidade, os timestamps do firewall remoto se correlacionam com os Eventos e logs de linha do tempo baixados do Cato?
- Revise os PCAPs para comunicação pacote por pacote.
Revise os seletores de tráfego - A política do túnel é baseada em política ou em rota?
Revise a configuração geral do Site no Aplicativo de Gerenciamento Cato:
- Esta é uma configuração de Alta Disponibilidade? Se sim, qual é o Status do BGP?
- Existe uma discrepância de Chave Pré-Compartilhada (PSK)? (Chave Pré-Compartilhada (PSK) é suportada até 64 caracteres)
Redefina o túnel no Aplicativo de Gerenciamento Cato.
Entre em contato com o seu representante de conta ou abra um ticket para o Suporte do Cato.

Mensagens de Falha de Conectividade no Log de Linha do Tempo

Esta seção contém uma lista de mensagens de falha nos logs de linha do tempo IPSec.

IKEv1:

"Nenhuma transformação p1 suportada"

"A transformação P1 escolhida é XXX e não corresponde à configuração atual" - incompatibilidade p1

"Nenhuma transformação p2 suportada"

"A transformação escolhida para a fase 2 é XXX e não corresponde à configuração atual"

"A transformação escolhida para a fase 2 é XXX e não corresponde ao modelo de configuração do AWS atual" - caso AWS esteja em uso

"Incapaz de encontrar um par adequado para esta conexão - usando aleatório, espere erros"

"Incompatibilidade de configuração: FW está tentando se conectar sem sub-redes locais enquanto o Site está configurado com sub-redes"

"FW está tentando se conectar a um Site de inicialização cato com sub-rede local <> mas o local do Site <site_id> está com 0.0.0.0/0"

"Sub-rede local " <detalhes da sub-rede> " não está configurada no Site"

IKEv2:

IKEV2_CONN_CLOSE_REASON__UNKNOWN = 0

IKEV2_CONN_CLOSE_REASON__TIMEOUT = 1

IKEV2_CONN_CLOSE_REASON__CONFIG_MISMATCH = 2

IKEV2_CONN_CLOSE_REASON__CONFIG_CHANGED = 3

IKEV2_CONN_CLOSE_REASON__SITE_REMOVED = 4

IKEV2_CONN_CLOSE_REASON__NO_PEER_PROPOSAL_SELECTED = 5

IKEV2_CONN_CLOSE_REASON__USER_REQUEST = 6

IKEV2_CONN_CLOSE_REASON__TUNNEL_CREATION_FAILURE = 7