Устранение неполадок подключения IPsec

Обзор

Существует много различных факторов, которые могут вызвать сбой туннеля IPSec, таких как неправильная конфигурация, неправильная маршрутизация, или потенциальные проблемы с оборудованием. Эта статья описывает различные инструменты, которые можно использовать для расследования и выявления коренной причины проблем подключения туннеля, а затем их устранения.

Устранение неполадок туннелей IPSec в Приложение Управления Cato

Раздел IPsec для сайта содержит инструменты, которые можно использовать для устранения проблем подключения для сайта, включая: 

  • Журнал подключения хронологии

  • Перехват трафика (PCAP)

  • Статус соединения

  • Сбросить туннель 

Эти инструменты доступны для типов сайтов IPSec (IKEv1, IKEv2) и могут быть использованы как для основных, так и для вторичных туннелей.

Примечание: Инструменты устранения неполадок не поддерживаются для IPSec IKEv1 FW-init.

Чтобы показать раздел IPsec, перейдите в Конфигурация Сайта > IPSec.

Журнал соединений хронологии

image.png

Журнал подключения хронологии — это запись последних событий, которая предоставляет конечному пользователю "историю" состояния туннеля, что может быть полезно во время расследования.

Когда вы загружаете хронологию, вы получаете два CSV файла (активная и архивная хронологии) с хронологическими записями изменений переговоров IPSec.

Этот читаемый формат позволяет легко идентифицировать, когда произошли изменения и их причину.

image.png

Примечание: Журналы хронологии отображаются в часовом поясе UTC для упрощения использования.

 Чтобы скачать журналы хронологии, разверните раздел Основной или Вторичный для сайта IPSec и нажмите Хронология.

Ограничения ведения журнала хронологии

  • Максимальное количество записей в журнале для активного файла хронологии - 100

  • Максимальное количество записей в журнале для архивного файла хронологии - 300

  • Если туннель прерван, доступен только архивный файл хронологии.

Перехват трафика (PCAP)

Перехват пакетов предоставляет низкоуровневый анализ происходящего в туннеле. Это полезно для более глубоких расследований. Приложение Управления Cato позволяет скачать PCAP из соответствующего PoP Cato, используемого для подключения IPSec.

image.png

Загружаются два файла PCAP (Активный и Архивный PCAP). Файлы включают описания для каждого пакета, проходящего через туннель, вместе с Протоколом, Портом, Типами сообщений и многим другим. 

image.png

Ограничения захвата трафика

  • Временная шкала PCAP отображается в соответствии с настройками вашей локальной машины.

  • Если туннель прерван, доступен только архивный файл PCAP.

  • IKEv1 maximum packet size:

    • Активный PCAP - 512 пакетов

    • Архивный PCAP - 1024 пакета

  • Максимальный размер пакета IKEV2:

    • Активный PCAP - 256 пакетов

    • Архивный PCAP - 1024 пакета

Статус соединения

Инструмент Статус соединения предоставляет сводку состояния вашего сайта IPSec. Когда вы нажимаете кнопку Статус соединения, захватывается и отображается на экране последняя доступная моментальная копия данных.

Если сайт отключен, статус соединения не извлекается.

image.png
image.png

Статус соединения включает следующие поля сводки для каждого туннеля IPSec:

  • Название сайта

  • Название аккаунта

  • Локальный адрес

  • Адрес пира

  • Последний IKE SA установлен

  • Последний ESP SA установлен

  • Параметры сообщения инициализации (Протокол, Группа DH, Алгоритм шифрования, Длина ключа шифрования, Алгоритм PRF, Алгоритм целостности)

  • Параметры сообщения аутентификации (Протокол, Группа DH, Алгоритм шифрования, Длина ключа шифрования, Алгоритм целостности)

  • Соединение IKE SAs (SPI Инициатор, SPI Ответчик, Локальный порт, Порт пира, Текущая стадия, метка времени)

  • Алгоритмы соединения IKE (Длина DH, Алгоритм PRF, Алгоритм целостности, Алгоритм шифрования, Шифрование GCM)

  • Флаги

  • Соединение ESP SAs (SPI Инициатор, SPI Ответчик, метка времени, данные IKE SPI, Входящие и исходящие данные пакетов)

  • Алгоритмы соединения ESP (Длина DH, Алгоритм целостности, Алгоритм шифрования, Шифрование GCM)

  • Флаги

Сброс туннеля IPSec

Вы можете инициировать Подключенный PoP для сброса туннеля IPSec с удаленным адресом пира. Сброс туннеля может помочь восстановить соединение для сайта.

image.png

Чтобы сбросить туннель IPsec, разверните Основной или Вторичный раздел для сайта IPSec и нажмите Сбросить туннель.

Ограничения сброса

  • IKEv1 туннели - Сброс выполняется мгновенно.

  • IKEv2 туннели - Сброс может занять до двух минут для восстановления соединения.

  • Переключение BGP может произойти, если настроена высокая доступность.

  • В случае, если туннель инициирован (Инициировано удаленным пировым соединением), необходимо убедиться, что туннель восстанавливается на стороне удаленного пира (Когда туннель отключен, кнопка сброса отключена).

Типичные практики устранения неполадок IPSec

Следующий раздел включает в себя общие шаги, которые следует учитывать при расследовании проблем с туннелем IPSec.

Примечание: Эти шаги не связаны с проблемами потери пакетов.

  1. Проверьте последние изменения состояния на странице состояния - Если PoP испытывает проблемы, это может повлиять на туннель IPSec (каждый туннель подключен к одному Расположению PoP Cato). Вы можете контролировать состояние PoP Cato на странице состояния

    Если удаленный пир является облачным провайдером, например Azure или AWS, вы также можете проверить их страницы состояния.

  2. Соберите конфигурацию удаленного IPSec файервола.

    • Кто настроен на инициацию туннеля?

    • Сопоставляется ли конфигурация IPSec на удаленном файерволе с конфигурацией IPSec в Приложении управления Cato? (т.е. соответствуют ли параметры сообщений IKE?)

    • Проверьте Статус соединения в Приложении управления Cato.

    • Включен ли NAT-T на удаленном IPSec файерволе?

  3. Соберите журналы и PCAP на удаленном IPSec файерволе и хронологию и PCAP в Приложении управления Cato.

    • Проверьте журналы на наличие любых аномалий, соответствуют ли временные метки удаленного файервола событиям и журналам хронологии, загруженным из Cato? 

    • Проверьте PCAPs на поэтапную передачу пакетов.

  4. Проверьте селекторы трафика - Политика туннеля основана на политике или на маршруте?

  5. Проверьте общую конфигурацию сайта в Приложении управления Cato:

    • Это высокая доступность инфраструктуры? Если да, каков статус BGP?

    • Есть несоответствие с ключом предварительного общего ключа (PSK)? (Ключ предварительного общего ключа (PSK) поддерживается до 64 символов)

  6. Сбросьте туннель в Приложении управления Cato.

  7. Свяжитесь со своим представителем аккаунта или откройте тикет в Поддержку Cato.

Сообщения о сбое подключения в журнале хронологии

Этот раздел содержит список сообщений об ошибках в журналах хронологии IPSec.

IKEv1:

"Нет поддерживаемого преобразования p1" 

"Выбранное преобразование P1 - XXX и оно не соответствует текущей конфигурации" - несоответствие p1 

"Нет поддерживаемого преобразования p2"

"Выбранное преобразование Фаза 2 - XXX и оно не соответствует текущей конфигурации"

"Выбранное преобразование Фаза 2 - XXX и оно не соответствует текущему шаблону конфигурации AWS" - если используется AWS

"Не удается найти подходящий пир для этого соединения - используется случайный, ожидаются ошибки"

"Несоответствие конфигурации: FW пытается подключиться без локальных подсетей, в то время как сайт настроен с подсетями"

"FW пытается подключиться к инициализированному Cato сайту с локальной подсетью <>, но локальная подсеть сайта <site_id> равна 0.0.0.0/0"

"Локальная подсеть " <подробности подсети> " не настроена на сайте"

IKEv2:

IKEV2_CONN_CLOSE_REASON__UNKNOWN = 0

IKEV2_CONN_CLOSE_REASON__TIMEOUT = 1

IKEV2_CONN_CLOSE_REASON__CONFIG_MISMATCH = 2

IKEV2_CONN_CLOSE_REASON__CONFIG_CHANGED = 3

IKEV2_CONN_CLOSE_REASON__SITE_REMOVED = 4

IKEV2_CONN_CLOSE_REASON__NO_PEER_PROPOSAL_SELECTED = 5

IKEV2_CONN_CLOSE_REASON__USER_REQUEST = 6

IKEV2_CONN_CLOSE_REASON__TUNNEL_CREATION_FAILURE = 7

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев