Плейбук XOps Сети - IPsec Ошибка Фаза2

Этот плейбук описывает шаги по разрешению проблем, когда обнаружена ошибка IPsec Фаза2.

Обзор

Этот плейбук объясняет, как определить, когда произошла ошибка IPsec Фаза2, и описывает шаги, которые можно предпринять для решения этой проблемы.

Симптомы

• Потеря соединения
• Нарушение трафика

Шаг 1 - Проверка произошедшей ошибки

Ниже приведены различные способы, которые администратор Приложения Управления Cato может использовать для проверки того, что произошла ошибка IPsec Фаза2.

Использование Прорыва Историй

• Перейдите на страницу Рабочая область Историй и установите производителя на Операции аккаунта, включая фильтр "Индикация В IPsec Ошибка Фаза2". При необходимости настройте временной интервал.
  
• Проверьте, что история была создана, как показано ниже.
  
• Щелкните на истории, чтобы детально её изучить. Она предоставляет информацию о статусе истории, хронологии инцидента.
  

Обзор Хронологии Туннеля

Перейдите на соответствующий сайт, и на вкладке IPsec нажмите на Хронология, чтобы скачать файл CSV. Просмотрите файл, чтобы подтвердить историю.

В приведённом выше примере мы видим ошибку NO_PROPOSAL_CHOSEN.

Шаг 2 - Решение обнаруженных проблем

Ниже представлены различные способы, которыми администратор Приложения Управления Cato может разрешить обнаруженные проблемы для ошибки IPsec Фаза2.

Нет Выбранного Предложения

В Приложении Управления Cato перейдите на вкладку IPsec сайта и просмотрите конфигурацию.

• Для туннелей IPsec IKEv1 (Запущенных Cato), убедитесь, что параметры Фаза 2 соответствуют настройкам на вашем фаерволе.
• Если вам нужно точно подтвердить, какие параметры предлагает Cato, загрузите файл PCAP и исспектируйте сообщение быстрого режима для Transform Payload в Proposal Payload. Это покажет шифрование, целостность, выбранную аутентификацию и другие атрибуты, предложенные инициатором.
  
• Для IPsec IKEv2 — В Приложении Управления Cato перейдите на вкладку IPsec сайта и просмотрите Параметры Сообщения Init и Auth. Настройте конфигурацию так, чтобы она совпадала с настройками на вашем фаерволе.
• Чтобы точно подтвердить, какие параметры предлагаются, загрузите файл PCAP и исспектируйте сообщение IKE_AUTH, которое содержит CHILD_SA предложение. Внутри нагрузки Security Association просмотрите Transform Payload, чтобы увидеть шифрование, целостность, PFS (группа DH) и другие атрибуты, предложенные пиром, предлагающим CHILD_SA.
  
  • Если режим соединения установлен на Только Ответчик, повторно инициируйте сессию с вашего фаервола после изменения конфигурации.

TS НЕПРИЕМЛЕМЫ

В Приложении Управления Cato перейдите на вкладку IPsec сайта и нажмите на кнопку PCAP для загрузки файла.

• Просмотрите файл PCAP и найдите последнюю нагрузку ответа инициатора/ответчика для TS_UNACCEPTABLE.
  
• В PCAP просмотрите предыдущие пакеты IKE_AUTH_MID для нагрузки Селектора Трафика (как Инициатор, так и Ответчик) и сравните указанные IP диапазоны с IP диапазонами, указанными в разделе маршрутизации на вкладке IPsec сайта в Приложении Управления Cato.
• Чтобы решить проблему, либо удалите, либо добавьте необходимые IP диапазоны.
• При использовании IPsec с IKEv1 вы можете столкнуться с сообщением НЕВЕРНАЯ ИНФОРМАЦИЯ ID во время переговоров Фазы 2. Обычно это указывает на то, что два VPN пира используют разные IP диапазоны для туннеля. Обеспечение соответствия локальных и удаленных подсетей на обеих сторонах решит эту проблему и позволит успешно установить соединение.

Повышение случаев для Поддержки Cato

Если следование этому плейбуку не решило проблему, подайте тикет в поддержку. Чтобы получить максимально полезный ответ на запрос, администратор должен предоставить результаты выполненных шагов устранения неполадок.