🚃 🐹 🎛️ Cómo solucionar problemas de una VPN IPsec doméstica. Parte 1 🏅 🕹️ ⏭️

Situación

Salida. Yo bebo café. El estudiante estableció una conexión VPN entre dos puntos y desapareció. Verifico: el túnel realmente existe, pero no hay tráfico en el túnel. El alumno no responde a las llamadas.

Enciendo el hervidor y me sumerjo en la solución de problemas de C-Terra Gateway. Comparto mi experiencia y metodología.

Datos iniciales

Los dos sitios separados geográficamente están conectados por un túnel GRE. GRE debe estar encriptado:

Verificando si el túnel GRE está funcionando. Para hacer esto, hago ping desde el dispositivo R1 a la interfaz GRE del dispositivo R2. Se trata de tráfico dirigido a cifrado. Sin respuesta:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057ms

Miro los registros de Gate1 y Gate2. El registro informa felizmente que el túnel IPsec se ha elevado con éxito, no hay problema:

root@Gate1:~# cat /var/log/cspvpngate.log
Aug  5 16:14:23 localhost  vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter 
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1

En las estadísticas del túnel IPsec en Gate1, veo que el túnel realmente existe, pero el contador Rcvd está en cero:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0

Soluciono problemas de C-Terra de esta manera: estoy buscando dónde se pierden los paquetes de destino en el camino de R1 a R2. En el proceso (spoiler) encontraré un error.

Solución de problemas

Paso 1. Qué obtiene Gate1 de R1 Yo

uso el rastreador de paquetes incorporado - tcpdump. Ejecuto el sniffer en la interfaz interna (Gi0 / 1 en notación similar a Cisco o eth1 en notación Debian OS):

root@Gate1:~# tcpdump -i eth1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64

Veo que Gate1 está recibiendo paquetes GRE de R1. Hacia adelante.

Paso 2. Qué hace Gate1 con los paquetes GRE

Usando la utilidad klogview, puedo ver lo que sucede con los paquetes GRE dentro del controlador C-Terra VPN:

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated

Veo que el tráfico GRE de destino (proto 47) 172.16.0.1 -> 172.17.0.1 cayó (PASS) bajo la regla de cifrado LIST en el mapa criptográfico CMAP y fue cifrado (encapsulado). Luego, el paquete se enrutaba (se distribuía). No hay tráfico de respuesta en la salida de klogview.

Comprobación de las listas de acceso en el dispositivo Gate1. Veo una lista de acceso LIST, que define el tráfico de destino para el cifrado, lo que significa que las reglas ME no están configuradas:

Gate1#show access-lists
Extended IP access list LIST
    10 permit gre host 172.16.0.1 host 172.17.0.1

Conclusión: el problema no está en el dispositivo Gate1.

Más información sobre el controlador

VPN de klogview maneja todo el tráfico de la red, no solo el que necesita ser encriptado. Estos mensajes son visibles en klogview si el controlador de VPN procesó el tráfico de red y lo transmitió sin cifrar:

root@R1:~# ping 172.17.0.1 -c 4

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filtered

Veo que el tráfico ICMP (proto 1) 172.16.0.1-> 172.17.0.1 no obtuvo (ninguna coincidencia) en las reglas de cifrado del mapa de cifrado CMAP. El paquete fue enrutado (distribuido) en texto sin cifrar.

Paso 3. Qué recibe Gate2 de Gate1 Inicie un

rastreador en la interfaz WAN (eth0) de Gate2:

root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140

Veo que Gate2 está recibiendo paquetes ESP de Gate1.

Paso 4. Qué hace Gate2 con los paquetes ESP

Inicie la utilidad klogview en Gate2:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall

Veo que los paquetes ESP (proto 50) fueron descartados (DROP) por la regla (L3VPN) del firewall. Me aseguro de que la lista de acceso L3VPN esté realmente adjunta a Gi0 / 0:

Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 10.10.10.252/24
  MTU is 1500 bytes
  Outgoing access list is not set
  Inbound  access list is L3VPN

Encontré el problema.

Paso 5. ¿Qué está mal con la lista de acceso

? Veo cuál es la lista de acceso L3VPN:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit icmp host 10.10.10.251 any

Veo que los paquetes ISAKMP están permitidos, por lo que se establece un túnel IPsec. Pero no existe una regla permisiva para ESP. Aparentemente, el estudiante confundió icmp y esp.

Corregí la lista de acceso:

Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any

Paso 6. Verificación de la funcionalidad En

primer lugar, asegúrese de que la lista de acceso de L3VPN sea correcta:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit esp host 10.10.10.251 any

Ahora lanzo tráfico dirigido desde el dispositivo R1:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 ms

Victoria. Se ha establecido el túnel GRE. El contador de tráfico entrante en las estadísticas de IPsec no es cero:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480

En Gate2, en la salida de klogview, aparecieron mensajes que indicaban que el tráfico de destino 172.16.0.1-> 172.17.0.1 fue descifrado (PASS) con éxito (desencriptado) por la regla LIST en el mapa de cifrado CMAP:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulated

Resultados El

alumno estropeó el día libre.

Tenga cuidado con las reglas del ME.

Ingeniero anónimo

t.me/anonimous_engineer

Cómo solucionar problemas de una VPN IPsec doméstica. Parte 1

Situación

Datos iniciales

Solución de problemas

More articles: