XOps Rede Playbook - Fase 2 de IPsec Falha

Este playbook descreve as etapas para resolver problemas quando foi detectada uma Falha na Fase 2 do IPsec.

Visão geral

Este playbook explica como identificar quando ocorreu uma Falha na Fase 2 do IPsec e descreve as etapas que você pode seguir para resolver esse problema.

Sintomas

• Perda de conectividade
• Interrupção do tráfego

Passo 1 - Verificar Falha Ocorrida

As seguintes são as diferentes maneiras que um administrador do Aplicativo de Gerenciamento Cato pode verificar que ocorreu a Falha na Fase 2 do IPsec.

Usando o Story Drill-down

• Vá para a página Bancada de Trabalho de Histórias e defina o produtor como Operações de Conta, incluindo o filtro 'Indicação Em Falha na Fase 2 do IPsec'. Faça ajustes no período de tempo conforme necessário.
  
• Verifique se uma história foi criada conforme mostrado abaixo.
  
• Clique na história para acessar os detalhes. Ele fornece informações sobre o status da história, uma linha do tempo do incidente.
  

Revisar Linha do Tempo do Túnel

Vá para o site relevante, e na aba IPsec clique em Linha do Tempo para baixar o arquivo CSV. revise o arquivo para confirmar a história.

No exemplo acima, podemos ver um erro NO_PROPOSAL_CHOSEN é mostrado.

Passo 2 - Resolver Problemas Detectados

A seguir estão mostradas as diferentes maneiras que um administrador do Aplicativo de Gerenciamento Cato pode resolver problemas detectados para Falha na Fase 2 do IPsec.

Nenhuma Proposta Escolhida

No Aplicativo de Gerenciamento Cato, vá para a aba IPsec de site e revise a configuração.

• Para túneis IPsec IKEv1 (Iniciado por Cato), verifique se os Parâmetros da Fase 2 correspondem às configurações no seu firewall
• Se precisar confirmar exatamente quais parâmetros Cato está propondo, baixe o arquivo PCAP e inspecione a mensagem do modo rápido para o Payload de Transformação dentro do Payload de Proposta. Isso mostrará a criptografia, integridade, Autenticação selecionada e outros atributos oferecidos pelo iniciador
  
• Para IPsec IKEv2 – No Aplicativo de Gerenciamento Cato, navegue até a aba IPsec de site e revise os Parâmetros da Mensagem de Início e Autenticação. Ajuste a configuração para garantir que ela corresponda às configurações no seu firewall.
• Para confirmar exatamente quais parâmetros estão sendo propostos, baixe o arquivo PCAP e inspecione a mensagem IKE_AUTH que contém o CHILD_SA proposta. Dentro do payload de Associação de Segurança, revise o Payload de Transformação para ver a Criptografia, Integridade, PFS (Grupo DH) e outros atributos oferecidos pelo par que propõe o CHILD_SA.
  
  • Se o modo de conexão estiver definido como Apenas Respondedor, reinicie a sessão do seu firewall após a alteração da configuração.

TS INACEITÁVEL

No Aplicativo de Gerenciamento Cato, navegue até a aba IPsec do site e clique no botão PCAP para baixar o arquivo.

• Revise o arquivo PCAP e pesquise pelo payload de Resposta do Último Iniciador/Respondedor por TS_UNACCEPTABLE.
  
• No PCAP, revise pacotes IKE_AUTH_MID anteriores para o Traffic Selector payload (tanto Iniciador quanto Respondedor) e compare as faixas de IP listadas nas abas de Roteamento na seção IPsec do site no Aplicativo de Gerenciamento Cato.
• Para resolver o problema, remova ou adicione as faixas de IP necessárias.
• Ao usar IPsec com IKEv1, você pode encontrar uma mensagem INFORMAÇÃO ID INVÁLIDA durante a negociação da Fase 2. Isso geralmente indica que os dois pares de VPN estão usando faixas de IP diferentes para o túnel. Garantir que ambos os lados definam sub-redes locais e remotas correspondentes resolverá este problema e permitirá que a conexão seja estabelecida com sucesso.

Levantando Casos para Suporte Cato

Se seguir este playbook não resolveu um problema, envie um ticket de Suporte. Para obter a resposta mais útil a uma solicitação, um administrador deve fornecer os resultados das etapas de solução de problemas tomadas.