ProHoster > Блог > администрация > Как да отстранявате неизправности в домашен IPsec VPN. Част 1

Как да отстранявате неизправности в домашен IPsec VPN. Част 1

Как да отстранявате неизправности в домашен IPsec VPN. Част 1

Ситуацията

Почивен ден. Пия кафе. Студентът установи VPN връзка между две точки и изчезна. Проверявам: тунелът наистина съществува, но в тунела няма движение. Студентът не отговаря на обаждания.

Слагам чайника и се гмуркам в S-Terra Gateway за отстраняване на неизправности. Споделям своя опит и методика.

Сурови данни

Два географски разделени обекта са свързани с GRE тунел. GRE трябва да бъде криптиран:

Как да отстранявате неизправности в домашен IPsec VPN. Част 1

Проверявам ефективността на GRE тунела. За да направя това, стартирам ping от устройство R1 към GRE интерфейса на устройство R2. Това е целевият трафик за криптиране. Без отговор:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057ms

Гледам регистрационните файлове на Gate1 и Gate2. Дневникът с радост съобщава, че IPsec тунелът е излязъл успешно, без проблеми:

root@Gate1:~# cat /var/log/cspvpngate.log
Aug  5 16:14:23 localhost  vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter 
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1

В статистиката на IPsec за тунела на Gate1 виждам, че тунелът наистина съществува, но броячът Rcvd се нулира на нула:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0

Отстранявам неизправности с C-Terra по следния начин: търся къде се губят целевите пакети по пътя от R1 към R2. В процеса (спойлер) ще намеря грешка.

Отстраняване на неизправности

Стъпка 1: Какво Gate1 получава от R1

Използвам вградения пакетен снифър - tcpdump. Пускам снифера на вътрешния (Gi0/1 в нотация, подобна на Cisco или eth1 в нотация на Debian OS) интерфейс:

root@Gate1:~# tcpdump -i eth1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64

Виждам, че Gate1 получава пакети от R1 GRE. продължавам напред.

Стъпка 2. Какво прави Gate1 с GRE пакети

Използвайки помощната програма klogview, мога да видя какво се случва с GRE пакетите в C-Terra VPN драйвера:

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated

Виждам, че целевият GRE трафик (proto 47) 172.16.0.1 -> 172.17.0.1 е попаднал (PASS) под правилото за криптиране LIST в CMAP cryptomap и е криптиран (капсулиран). След това пакетът беше маршрутизиран (предадено). Няма обратен трафик в изхода на klogview.

Проверка на списъци за достъп на устройство Gate1. Виждам един списък за достъп LIST, който определя целевия трафик за криптиране, което означава, че ME правилата не са конфигурирани:

Gate1#show access-lists
Extended IP access list LIST
    10 permit gre host 172.16.0.1 host 172.17.0.1

Заключение: проблемът не е в устройството Gate1.

Повече за klogview

VPN драйверът обработва целия мрежов трафик, не само този, който трябва да бъде криптиран. Ето съобщенията, които се виждат в klogview, ако VPN драйверът е обработил мрежовия трафик и го е изпратил в обикновен текст:

root@R1:~# ping 172.17.0.1 -c 4

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filtered

Виждам, че ICMP трафикът (прото 1) 172.16.0.1->172.17.0.1 не попада (няма съвпадение) в правилата за криптиране на CMAP крипто картата. Пакетът беше пренасочен (изпратен) в чист вид.

Стъпка 3. Какво получава Gate2 от Gate1

Стартирам снифера на WAN (eth0) интерфейс Gate2:

root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140

Виждам, че Gate2 получава ESP пакети от Gate1.

Стъпка 4. Какво прави Gate2 с ESP пакети

Пускам помощната програма klogview на Gate2:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall

Виждам, че ESP пакетите (прото 50) са изпуснати (DROP) от правило (L3VPN) на защитната стена (защитна стена). Убеден съм, че Gi0 / 0 наистина е обвързан със списъка за достъп на L3VPN:

Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 10.10.10.252/24
  MTU is 1500 bytes
  Outgoing access list is not set
  Inbound  access list is L3VPN

Открих проблема.

Стъпка 5: Какво не е наред със списъка за достъп

Гледам какъв е списъкът за достъп на L3VPN:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit icmp host 10.10.10.251 any

Виждам, че пакетите ISAKMP са разрешени, така че се установява IPsec тунел. Но няма разрешително правило за ESP. Явно ученикът е объркал icmp и esp.

Редактиране на списъка за достъп:

Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any

Стъпка 6. Проверявам производителността

Първо се уверявам, че списъкът за достъп на L3VPN е правилен:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit esp host 10.10.10.251 any

Сега стартирам целеви трафик от устройството R1:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 ms

Победа. GRE тунел е създаден. Броячът на входящия трафик в статистиката на IPsec е различен от нула:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480

На шлюза Gate2 в изхода на klogview се появиха съобщения, че целевият трафик 172.16.0.1-> 172.17.0.1 е бил успешно (PASS) декапсулиран от правилото LIST в CMAP криптокартата:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulated

Резултати от

Студентът развали почивния ден.
Внимавайте с правилата на ME.

Анонимен инженер
t.me/анонимен_инженер

Източник: www.habr.com

Добавяне на нов коментар