Situace
Volno. Piji kávu. Student nastavil připojení VPN mezi dvěma body a zmizel. Zkontroluji: tunel skutečně existuje, ale v tunelu není žádný provoz. Student neodpovídá na hovory.
Nasadil jsem konvici a ponořil se do řešení problémů s bránou S-Terra. Sdílím své zkušenosti a metodiku.
Počáteční data
Tyto dvě geograficky oddělené lokality jsou spojeny tunelem GRE. GRE je třeba zašifrovat:
Kontroluji funkčnost GRE tunelu. Za tímto účelem spustím ping ze zařízení R1 na rozhraní GRE zařízení R2. Toto je cílový provoz pro šifrování. Žádná odpověď:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057msDívám se na protokoly na Gate1 a Gate2. Protokol šťastně hlásí, že tunel IPsec byl úspěšně spuštěn, žádné problémy:
root@Gate1:~# cat /var/log/cspvpngate.log
Aug 5 16:14:23 localhost vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1Ve statistikách tunelu IPsec na Gate1 vidím, že skutečně existuje tunel, ale čítač Rсvd je vynulován:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0Trápím S-Terru takto: Hledám, kde se cílové pakety ztrácejí na cestě z R1 do R2. V procesu (spoiler) najdu chybu.
Odstraňování problémů
Krok 1. Co Gate1 obdrží od R1
Používám vestavěný sniffer paketů - tcpdump. Spustím sniffer na interním rozhraní (Gi0/1 v notaci podobné Cisco nebo eth1 v notaci OS Debian):
root@Gate1:~# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64Vidím, že Gate1 přijímá GRE pakety z R1. jdu dál.
Krok 2. Co dělá Gate1 s GRE pakety
Pomocí nástroje klogview vidím, co se děje s GRE pakety uvnitř ovladače S-Terra VPN:
root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated
Vidím, že cílový provoz GRE (proto 47) 172.16.0.1 -> 172.17.0.1 spadal pod pravidlo šifrování LIST v krypto mapě CMAP a byl zapouzdřen. Dále byl paket směrován (předán). Ve výstupu klogview není žádný provoz s odezvou.
Kontroluji přístupové seznamy na zařízení Gate1. Vidím jeden přístupový seznam LIST, který definuje cílový provoz pro šifrování, což znamená, že pravidla brány firewall nejsou nakonfigurována:
Gate1#show access-lists
Extended IP access list LIST
10 permit gre host 172.16.0.1 host 172.17.0.1Závěr: problém není v zařízení Gate1.
Více o klogview
Ovladač VPN zpracovává veškerý síťový provoz, nejen provoz, který je třeba šifrovat. Toto jsou zprávy viditelné v klogview, pokud ovladač VPN zpracoval síťový provoz a přenesl jej nešifrovaně:
root@R1:~# ping 172.17.0.1 -c 4root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filteredVidím, že provoz ICMP (proto 1) 172.16.0.1->172.17.0.1 nebyl zahrnut (žádná shoda) v pravidlech šifrování krypto karty CMAP. Paket byl směrován (předán) jako prostý text.
Krok 3. Co Gate2 obdrží od Gate1
Spustím sniffer na rozhraní WAN (eth0) Gate2:
root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140Vidím, že brána2 přijímá pakety ESP od brány1.
Krok 4. Co dělá Gate2 s balíčky ESP
Spouštím nástroj klogview na Gate2:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall
Vidím, že pakety ESP (proto 50) byly zahozeny (DROP) pravidlem brány firewall (L3VPN). Ujišťuji se, že Gi0/0 má skutečně připojený přístupový seznam L3VPN:
Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
Internet address is 10.10.10.252/24
MTU is 1500 bytes
Outgoing access list is not set
Inbound access list is L3VPNObjevil jsem problém.
Krok 5. Co je špatného na přístupovém seznamu?
Podívám se, jaký je přístupový seznam L3VPN:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit icmp host 10.10.10.251 anyVidím, že jsou povoleny pakety ISAKMP, takže je vytvořen tunel IPsec. Ale pro ESP neexistuje žádné povolovací pravidlo. Student si zřejmě spletl icmp a esp.
Úprava přístupového seznamu:
Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 anyKrok 6. Kontrola funkčnosti
Nejprve se ujistím, že přístupový seznam L3VPN je správný:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit esp host 10.10.10.251 anyNyní spouštím cílový provoz ze zařízení R1:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 msVítězství. Tunel GRE byl založen. Čítač příchozího provozu ve statistikách IPsec není nula:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480Na bráně Gate2 se ve výstupu klogview objevily zprávy, že cílový provoz 172.16.0.1->172.17.0.1 byl úspěšně dešifrován (PASS) podle pravidla LIST v kryptomapě CMAP:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulatedVýsledky
Student mu zkazil den volna.
Buďte opatrní s pravidly ME.
Anonymní inženýr
t.me/anonymní_engineer
Zdroj: www.habr.com