ProHoster > Blog > İdarə > Yerli IPsec VPN problemlərini necə həll etmək olar. 1-ci hissə

Yerli IPsec VPN problemlərini necə həll etmək olar. 1-ci hissə

Yerli IPsec VPN problemlərini necə həll etmək olar. 1-ci hissə

Vəziyyət

İstirahət günü. kofe içirəm. Tələbə iki nöqtə arasında VPN bağlantısı qurub və yoxa çıxıb. Yoxlayıram: tunel həqiqətən var, amma tuneldə nəqliyyat yoxdur. Tələbə zənglərə cavab vermir.

Çaydanı qoyub problemlərin aradan qaldırılması üçün S-Terra Gateway-ə daxil oldum. Təcrübəmi və metodologiyamı paylaşıram.

Xam data

Coğrafi cəhətdən ayrılmış iki sahə GRE tuneli ilə birləşdirilir. GRE şifrələnməlidir:

Yerli IPsec VPN problemlərini necə həll etmək olar. 1-ci hissə

GRE tunelinin performansını yoxlayıram. Bunun üçün R1 cihazından R2 cihazının GRE interfeysinə pingləməyə başlayıram. Bu, şifrələmə üçün hədəflənmiş trafikdir. Cavab yoxdur:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057ms

Mən Gate1 və Gate2-dəki qeydlərə baxıram. Günlük məmnuniyyətlə bildirir ki, IPsec tunel uğurla işə düşüb, heç bir problem yoxdur:

root@Gate1:~# cat /var/log/cspvpngate.log
Aug  5 16:14:23 localhost  vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter 
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1

Gate1-də tunelin IPsec statistikasında mən tunelin həqiqətən mövcud olduğunu görürəm, lakin Rcvd sayğacı sıfıra sıfırlanır:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0

Mən C-Terra problemini belə həll edirəm: R1-dən R2-yə gedən yolda hədəf paketlərin harada itdiyini axtarıram. Prosesdə (spoiler) bir səhv tapacağam.

Giderme

Addım 1: Gate1 R1-dən nə əldə edir

Mən daxili paket snifferindən istifadə edirəm - tcpdump. Mən snayferi daxili interfeysdə (Cisco-ya bənzər notasiyada Gi0/1 və ya Debian OS notasiyasında eth1) işlədirəm:

root@Gate1:~# tcpdump -i eth1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64

Görürəm ki, Gate1 R1 GRE-dən paketlər alır. davam edirəm.

Addım 2. Gate1 GRE paketləri ilə nə edir

Klogview yardım proqramından istifadə edərək, C-Terra VPN sürücüsü daxilində GRE paketləri ilə nə baş verdiyini görə bilərəm:

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated

Mən görürəm ki, hədəf GRE trafiki (proto 47) 172.16.0.1 -> 172.17.0.1 CMAP kriptomatoqrafiyasında LİST şifrələmə qaydası altında (PASS) düşüb və şifrələnib (inkapsullaşdırılıb). Sonra, paket yönləndirildi (ödənildi). Klogview çıxışında geri dönüş trafiki yoxdur.

Gate1 cihazında giriş siyahıları yoxlanılır. Şifrələmə üçün hədəf trafiki təyin edən bir SİYAHI giriş siyahısı görürəm, yəni ME qaydaları konfiqurasiya olunmayıb:

Gate1#show access-lists
Extended IP access list LIST
    10 permit gre host 172.16.0.1 host 172.17.0.1

Nəticə: problem Gate1 cihazında deyil.

Klogview haqqında daha çox

VPN sürücüsü təkcə şifrələməsi lazım olanları deyil, bütün şəbəkə trafikini idarə edir. VPN sürücüsü şəbəkə trafikini emal edib düz mətnlə göndəribsə, klogview-də görünən mesajlar bunlardır:

root@R1:~# ping 172.17.0.1 -c 4

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filtered

Mən görürəm ki, ICMP trafiki (proto 1) 172.16.0.1->172.17.0.1 CMAP kripto xəritəsinin şifrələmə qaydalarına düşmədi (uyğun deyil). Paket aydın şəkildə yönləndirildi (ödənildi).

Addım 3. Gate2 Gate1-dən nə əldə edir

WAN (eth0) interfeysi Gate2-də snayferi işə salıram:

root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140

Görürəm ki, Gate2 Gate1-dən ESP paketləri alır.

Addım 4. Gate2 ESP paketləri ilə nə edir

Gate2-də klogview yardım proqramını işlədirəm:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall

Mən görürəm ki, ESP paketləri (proto 50) təhlükəsizlik duvarının (firewall) bir qaydası (L3VPN) tərəfindən atılıb (DROP). Əminəm ki, Gi0 / 0 həqiqətən L3VPN giriş siyahısına bağlıdır:

Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 10.10.10.252/24
  MTU is 1500 bytes
  Outgoing access list is not set
  Inbound  access list is L3VPN

Problemi tapdı.

Addım 5: Giriş siyahısında səhv nədir

L3VPN giriş siyahısının nə olduğuna baxıram:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit icmp host 10.10.10.251 any

ISAKMP paketlərinə icazə verildiyini görürəm, buna görə də IPsec tuneli qurulur. Ancaq ESP üçün icazə verən bir qayda yoxdur. Görünür, tələbə icmp və esp-ni qarışdırıb.

Giriş siyahısının redaktəsi:

Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any

Addım 6. Performansı yoxlayıram

Hər şeydən əvvəl, L3VPN giriş siyahısının düzgün olduğundan əminəm:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit esp host 10.10.10.251 any

İndi R1 cihazından hədəflənmiş trafiki işə salıram:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 ms

Qələbə. GRE tuneli quruldu. IPsec statistikasında daxil olan trafik sayğacı sıfırdan fərqlidir:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480

Gate2 şlüzində, klogview çıxışında, CMAP kriptomatoqrafiyasında LİST qaydası ilə 172.16.0.1-> 172.17.0.1 hədəf trafikinin uğurla dekapsulyasiya edildiyi (PASS) mesajları göründü:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulated

Nəticələri

Tələbə istirahət gününü məhv etdi.
ME qaydaları ilə diqqətli olun.

Anonim Mühəndis
t.me/anonymous_engineer

Mənbə: www.habr.com

Добавить комментарий