Устранение неполадок подключения IPsec

Обзор

Существует много различных факторов, которые могут вызвать сбой туннеля IPSec, таких как неправильная конфигурация, неправильная маршрутизация, или потенциальные проблемы с оборудованием. Эта статья описывает различные инструменты, которые можно использовать для расследования и выявления коренной причины проблем подключения туннеля, а затем их устранения.

Устранение неполадок IPsec туннелей в приложении управления Cato

Раздел IPsec для сайта содержит инструменты, которые можно использовать для устранения проблем подключения для сайта, включая: 

  • Журнал хронологии соединений
  • Перехват трафика (PCAP)
  • Статус соединения
  • Сбросить туннель 

Эти инструменты доступны для типов сайтов IPSec (IKEv1, IKEv2) и могут быть использованы как для основных, так и для вторичных туннелей.

Примечание: Инструменты устранения неполадок не поддерживаются для IPSec IKEv1 FW-init.

Чтобы показать раздел IPsec, перейдите в Конфигурация Сайта > IPSec.

Журнал хронологии соединений

Журнал подключения хронологии — это запись последних событий, которая предоставляет конечному пользователю "историю" состояния туннеля, что может быть полезно во время расследования.

Когда вы загружаете хронологию, вы получаете два CSV файла (активная и архивная хронологии) с хронологическими записями изменений переговоров IPSec.

Этот читаемый формат позволяет легко идентифицировать, когда произошли изменения и их причину.

image.png

Примечание: Журналы хронологии отображаются в часовом поясе UTC для упрощения использования.

 Чтобы скачать журналы хронологии, разверните раздел Основной или Вторичный для сайта IPSec и нажмите Хронология.

Ограничения ведения журнала хронологии

  • Максимальное количество записей в журнале для активного файла хронологии - 100
  • Максимальное количество записей в журнале для архивного файла хронологии - 300
  • Если туннель прерван, доступен только архивный файл хронологии.

Перехват трафика (PCAP)

Перехват пакетов предоставляет низкоуровневый анализ происходящего в туннеле. Это полезно для более глубоких расследований. Приложение Управления Cato позволяет скачать PCAP из соответствующего PoP Cato, используемого для подключения IPSec.

Загружаются два файла PCAP (Активный и Архивный PCAP). Файлы включают описания для каждого пакета, проходящего через туннель, вместе с Протоколом, Портом, Типами сообщений и многим другим. 

image.png

Ограничения захвата трафика

  • Временная шкала PCAP отображается в соответствии с настройками вашей локальной машины.
  • Если туннель прерван, доступен только архивный файл PCAP.

  • IKEv1 maximum packet size:

    • Активный PCAP - 512 пакетов
    • Архивный PCAP - 1024 пакета

  • Максимальный размер пакета IKEV2:

    • Активный PCAP - 256 пакетов
    • Архивный PCAP - 1024 пакета

Статус соединения

Инструмент Статус соединения предоставляет сводку состояния вашего сайта IPSec. Когда вы нажимаете кнопку Статус соединения, захватывается и отображается на экране последняя доступная моментальная копия данных.

Если сайт отключен, статус соединения не извлекается.

image.png

Статус соединения включает следующие поля сводки для каждого туннеля IPSec:

  • Название сайта
  • Название аккаунта
  • Локальный адрес
  • Адрес пира
  • Последний IKE SA установлен
  • Последний ESP SA установлен
  • Параметры сообщения инициализации (Протокол, Группа DH, Алгоритм шифрования, Длина ключа шифрования, Алгоритм PRF, Алгоритм целостности)
  • Параметры сообщения аутентификации (Протокол, Группа DH, Алгоритм шифрования, Длина ключа шифрования, Алгоритм целостности)
  • Соединение IKE SAs (SPI Инициатор, SPI Ответчик, Локальный порт, Порт пира, Текущая стадия, метка времени)
  • Алгоритмы соединения IKE (Длина DH, Алгоритм PRF, Алгоритм целостности, Алгоритм шифрования, Шифрование GCM)
  • Флаги
  • Соединение ESP SAs (SPI Инициатор, SPI Ответчик, метка времени, данные IKE SPI, Входящие и исходящие данные пакетов)
  • Алгоритмы соединения ESP (Длина DH, Алгоритм целостности, Алгоритм шифрования, Шифрование GCM)
  • Флаги

Сброс туннеля IPSec

Вы можете инициировать Подключенный PoP для сброса туннеля IPSec с удаленным адресом пира. Сброс туннеля может помочь восстановить соединение для сайта.

Чтобы сбросить туннель IPsec, разверните Основной или Вторичный раздел для сайта IPSec и нажмите Сбросить туннель.

Ограничения сброса

  • IKEv1 туннели - Сброс выполняется мгновенно.
  • IKEv2 туннели - Сброс может занять до двух минут для восстановления соединения.
  • Переключение BGP может произойти, если настроена высокая доступность.
  • В случае, если туннель инициирован (Инициировано удаленным пировым соединением), необходимо убедиться, что туннель восстанавливается на стороне удаленного пира (Когда туннель отключен, кнопка сброса отключена).

Типичные практики устранения неполадок IPSec

Следующий раздел включает в себя общие шаги, которые следует учитывать при расследовании проблем с туннелем IPSec.

Примечание: Эти шаги не связаны с проблемами потери пакетов.

  1. Проверьте последние изменения состояния на странице состояния - Если PoP испытывает проблемы, это может повлиять на туннель IPSec (каждый туннель подключен к одному Расположению PoP Cato). Вы можете мониторить состояние PoP-ов Cato на странице статуса

    Если удаленный пир является облачным провайдером, например Azure или AWS, вы также можете проверить их страницы состояния.

  2. Соберите конфигурацию удаленного IPSec файервола.

    • Кто настроен на инициацию туннеля?
    • Сопоставляется ли конфигурация IPSec на удаленном файерволе с конфигурацией IPSec в Приложении управления Cato? (т.е. соответствуют ли параметры сообщений IKE?)
    • Проверьте Статус соединения в Приложении управления Cato.
    • Включен ли NAT-T на удаленном IPSec файерволе?

  3. Соберите журналы и PCAP на удаленном IPSec файерволе и хронологию и PCAP в Приложении управления Cato.

    • Проверьте журналы на наличие любых аномалий, соответствуют ли временные метки удаленного файервола событиям и журналам хронологии, загруженным из Cato? 
    • Проверьте PCAPs на поэтапную передачу пакетов.
  4. Проверьте селекторы трафика - Политика туннеля основана на политике или на маршруте?

  5. Проверьте общую конфигурацию сайта в Приложении управления Cato:

    • Это высокая доступность инфраструктуры? Если да, каков статус BGP?
    • Есть несоответствие с ключом предварительного общего ключа (PSK)? (Ключ предварительного общего ключа (PSK) поддерживается до 64 символов)
  6. Сбросьте туннель в Приложении управления Cato.
  7. Свяжитесь со своим представителем аккаунта или откройте тикет в Поддержку Cato.

Сообщения о сбое подключения в журнале хронологии

Этот раздел содержит список сообщений об ошибках в журналах хронологии IPSec.

IKEv1:

"Нет поддерживаемого преобразования p1" 
"Выбранное преобразование P1 - XXX и оно не соответствует текущей конфигурации" - несоответствие p1 
"Нет поддерживаемого преобразования p2"
"Выбранное преобразование Фаза 2 - XXX и оно не соответствует текущей конфигурации"
"Выбранное преобразование Фаза 2 - XXX и оно не соответствует текущему шаблону конфигурации AWS" - если используется AWS
"Не удается найти подходящий пир для этого соединения - используется случайный, ожидаются ошибки"
"Несоответствие конфигурации: FW пытается подключиться без локальных подсетей, в то время как сайт настроен с подсетями"
"FW пытается подключиться к инициализированному Cato сайту с локальной подсетью <>, но локальная подсеть сайта <site_id> равна 0.0.0.0/0"
"Локальная подсеть " <подробности подсети> " не настроена на сайте"

IKEv2:

IKEV2_CONN_CLOSE_REASON__UNKNOWN = 0
IKEV2_CONN_CLOSE_REASON__TIMEOUT = 1
IKEV2_CONN_CLOSE_REASON__CONFIG_MISMATCH = 2
IKEV2_CONN_CLOSE_REASON__CONFIG_CHANGED = 3
IKEV2_CONN_CLOSE_REASON__SITE_REMOVED = 4
IKEV2_CONN_CLOSE_REASON__NO_PEER_PROPOSAL_SELECTED = 5
IKEV2_CONN_CLOSE_REASON__USER_REQUEST = 6
IKEV2_CONN_CLOSE_REASON__TUNNEL_CREATION_FAILURE = 7

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев