解决IPsec连接问题

概览

导致IPSec隧道失败的因素有多种,如配置错误、路由配置错误或潜在的硬件问题。 本文介绍了可以用来调查和发现隧道连接问题根本原因的不同工具,然后解决这些问题。

在 Cato 管理应用程序中排查 IPSec 隧道问题

站点的IPsec部分包含了用于解决站点连接问题的工具,包括: 

  • 时间线连接日志
  • 流量捕获 (PCAP)
  • 连接状态
  • 重置隧道 

这些工具适用于IPSec站点类型(IKEv1,IKEv2),可以用于主要和次要隧道。

注意: 排查工具不支持IPSec IKEv1 FW-init。

要显示IPsec部分,请转到站点配置>IPSec

时间线连接日志

时间线连接日志记录了最近事件,并为最终用户提供了隧道状态的"历史记录",这在调查过程中可能会有所帮助。

下载时间线时,您会收到两个CSV文件(活动和存档时间线),其中包含IPSec协商变化的时间顺序日志。

这种可读格式让您可以轻松识别变更发生的时间及其原因。

image.png

注意:时间线日志以UTC时区显示,便于使用。

 要下载时间线日志,请展开IPSec站点的主要次要部分, 然后单击时间线

时间线记录限制

  • 活动时间线文件的最大日志记录数 - 100
  • 存档时间线文件的最大日志记录数 - 300
  • 如果隧道断开,则仅存档的时间线文件可用。

流量捕获(PCAP)

数据包捕获提供了隧道上发生情况的低级分析。 这对更深入的调查非常有用。 Cato管理应用程序允许您从用于IPSec连接的相关Cato PoP中下载PCAP。

下载了两个PCAP文件(活动和存档PCAP)。 文件包括每个穿越隧道的数据包的描述以及协议、端口、消息类型等。 

image.png

流量捕获限制

  • PCAP时间帧根据本地主机设置显示。
  • 如果隧道断开,则仅存档的PCAP文件可用。

  • IKEv1 最大数据包大小:

    • 活动PCAP - 512个数据包
    • 存档PCAP - 1024个数据包

  • IKEv2 最大数据包大小:

    • 活动PCAP - 256个数据包
    • 存档PCAP - 1024个数据包

连接状态

连接状态工具显示您的IPSec站点的状态摘要。 当您点击连接状态按钮时,最后的可用数据快照会被抓取并显示在屏幕上。

如果站点已断开,则不会获取连接状态。

image.png

连接状态包括每个IPSec隧道的以下摘要字段:

  • 站点名称
  • 账户名称
  • 本地地址
  • 对等地址
  • 最后已建立的 IKE SA
  • 最后已建立的 ESP SA
  • 初始化消息参数(协议,DH组,加密算法,加密密钥长度,PRF算法,完整性算法)
  • 认证消息参数(协议,DH组,加密算法,加密密钥长度,完整性算法)
  • 连接IKE SAs(SPI发起者,SPI响应者,本地端口,对等端口,当前阶段,时间戳)
  • IKE连接算法(DH长度,PRF算法,完整性算法,加密算法,GCM加密)
  • 标志
  • 连接ESP SAs(SPI发起者,SPI响应者,时间戳,IKE SPI数据,传入和传出数据包)
  • ESP连接算法(DH长度,完整性算法,加密算法,GCM加密)
  • 标志

重置IPSec隧道

您可以触发已连接的PoP以重新设置具有远程对等地址的IPSec隧道。 重置隧道可以帮助重新建立站点连接。

要重置IPsec隧道,请展开IPSec站点的主要次要部分并单击重置隧道

重置限制

  • IKEv1 隧道 - 重置是即时的。
  • IKEv2 隧道 - 重置可能需要长达两分钟才能重新建立连接。
  • 如果配置了高可用性,则可能会发生BGP故障转移。
  • 如果隧道由远程对等方发起(发起者是远程对等方),您需要确保隧道在远程对等方一侧重新建立(当隧道断开时,重置按钮已禁用)。

常见的IPSec故障排除实践

接下来的部分包括在调查IPSec隧道问题时需要考虑的一般步骤。

注意:这些步骤与数据包丢失问题无关。

  1. 检查最近状态页面的健康变化 - 如果PoP出现问题,这可能会影响IPSec隧道(每个隧道连接到一个Cato PoP位置)。 您可以在状态页面监控Cato PoPs的健康。 

    如果远程对等是一家云供应商,例如Azure或AWS,您也可以检查他们的状态页面。

  2. 收集远程IPSec防火墙配置。

    • 谁被设置为发起隧道?
    • 远程防火墙上的IPSec配置是否与Cato管理应用程序上的IPSec配置匹配? (即IKE消息参数是否匹配?)
    • 在Cato管理应用程序中查看连接状态
    • 远程IPSec防火墙上是否启用了NAT-T?

  3. 在远程IPSec防火墙上收集日志和PCAP,并在Cato管理应用程序上收集时间线和PCAP。

    • 检查日志是否存在任何异常,远程防火墙的时间戳是否与Cato下载的事件和时间线日志相关联? 
    • 查看PCAPs中的逐个数据包通信。
  4. 查看流量选择器 - 隧道是基于策略的还是基于路由的?

  5. 在Cato管理应用程序中查看常规站点配置:

    • 这是一个高可用性设置吗? 如果是,BGP状态如何?
    • 是否存在预共享密钥不匹配? (预共享密钥支持最多64个字符)
  6. 在Cato管理应用程序中重置隧道。
  7. 联系您的账户代表或向Cato支持打开工单。

时间线日志连接失败消息

本节包含IPSec时间线日志中的失败消息列表。

IKEv1:

"不支持的p1变换" 
"所选的p1变换是XXX,与当前配置不匹配" - p1不匹配 
"不支持的p2变换"
"所选的阶段2变换是XXX,与当前配置不匹配"
"所选的阶段2变换是XXX,与当前AWS配置模板不匹配" - 如果使用AWS
"无法为该连接找到合适的对等方 - 使用随机,预期会有错误"
"配置不匹配:防火墙尝试在没有本地子网的情况下连接,而站点配置有子网"
"防火墙尝试连接到Cato初始化站点,使用本地子网<>,但站点<site_id>的本地为0.0.0.0/0"
"本地子网 " <子网详细信息> " 未在站点中配置"

IKEv2:

IKEV2_CONN_CLOSE_REASON__UNKNOWN = 0
IKEV2_CONN_CLOSE_REASON__TIMEOUT = 1
IKEV2_CONN_CLOSE_REASON__CONFIG_MISMATCH = 2
IKEV2_CONN_CLOSE_REASON__CONFIG_CHANGED = 3
IKEV2_CONN_CLOSE_REASON__SITE_REMOVED = 4
IKEV2_CONN_CLOSE_REASON__NO_PEER_PROPOSAL_SELECTED = 5
IKEV2_CONN_CLOSE_REASON__USER_REQUEST = 6
IKEV2_CONN_CLOSE_REASON__TUNNEL_CREATION_FAILURE = 7

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论