Situationen
Fridag. Jeg drikker kaffe. Eleven oprettede en VPN-forbindelse mellem to punkter og forsvandt. Jeg tjekker: der er virkelig en tunnel, men der er ingen trafik i tunnelen. Eleven besvarer ikke opkald.
Jeg sætter kedlen på og dykker ned i S-Terra Gateway fejlfinding. Jeg deler mine erfaringer og metoder.
Indledende data
De to geografisk adskilte steder er forbundet med en GRE-tunnel. GRE skal krypteres:
Jeg tjekker funktionaliteten af GRE-tunnelen. For at gøre dette kører jeg ping fra enhed R1 til GRE-grænsefladen på enhed R2. Dette er måltrafikken for kryptering. Intet svar:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057msJeg ser på logfilerne på Gate1 og Gate2. Loggen rapporterer gladeligt, at IPsec-tunnelen blev lanceret med succes, ingen problemer:
root@Gate1:~# cat /var/log/cspvpngate.log
Aug 5 16:14:23 localhost vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1I statistikken for IPsec-tunnelen på Gate1 ser jeg, at der virkelig er en tunnel, men Rсvd-tælleren er nulstillet:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0Jeg plager S-Terra på denne måde: Jeg ser efter, hvor målpakkerne går tabt på stien fra R1 til R2. I processen (spoiler) vil jeg finde en fejl.
Fejlfinding
Trin 1. Hvad Gate1 modtager fra R1
Jeg bruger den indbyggede packet sniffer - tcpdump. Jeg starter snifferen på den interne (Gi0/1 i Cisco-lignende notation eller eth1 i Debian OS notation) grænseflade:
root@Gate1:~# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64Jeg kan se, at Gate1 modtager GRE-pakker fra R1. Jeg går videre.
Trin 2. Hvad Gate1 gør med GRE-pakker
Ved at bruge klogview-værktøjet kan jeg se, hvad der sker med GRE-pakker inde i S-Terra VPN-driveren:
root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated
Jeg kan se, at mål-GRE-trafikken (proto 47) 172.16.0.1 -> 172.17.0.1 kom under LIST-krypteringsreglen i CMAP-krypteringskortet og var indkapslet. Dernæst blev pakken dirigeret (udslettet). Der er ingen responstrafik i klogview-outputtet.
Jeg tjekker adgangslisterne på Gate1-enheden. Jeg ser én adgangsliste LIST, som definerer måltrafikken for kryptering, hvilket betyder, at firewallregler ikke er konfigureret:
Gate1#show access-lists
Extended IP access list LIST
10 permit gre host 172.16.0.1 host 172.17.0.1Konklusion: problemet er ikke med Gate1-enheden.
Mere om klogview
VPN-driveren håndterer al netværkstrafik, ikke kun den trafik, der skal krypteres. Disse meddelelser er synlige i klogview, hvis VPN-driveren behandlede netværkstrafikken og transmitterede den ukrypteret:
root@R1:~# ping 172.17.0.1 -c 4root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filteredJeg kan se, at ICMP-trafik (proto 1) 172.16.0.1->172.17.0.1 ikke var inkluderet (ingen match) i krypteringsreglerne for CMAP-kryptokortet. Pakken blev dirigeret (udslettet) i klar tekst.
Trin 3. Hvad Gate2 modtager fra Gate1
Jeg starter snifferen på WAN (eth0) Gate2-grænsefladen:
root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140Jeg kan se, at Gate2 modtager ESP-pakker fra Gate1.
Trin 4. Hvad Gate2 gør med ESP-pakker
Jeg starter klogview-værktøjet på Gate2:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall
Jeg kan se, at ESP-pakker (proto 50) blev droppet (DROP) af firewall-reglen (L3VPN). Jeg sørger for, at Gi0/0 faktisk har en L3VPN-adgangsliste knyttet til sig:
Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
Internet address is 10.10.10.252/24
MTU is 1500 bytes
Outgoing access list is not set
Inbound access list is L3VPNJeg opdagede problemet.
Trin 5. Hvad er der galt med adgangslisten
Jeg ser på, hvad L3VPN-adgangslisten er:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit icmp host 10.10.10.251 anyJeg ser, at ISAKMP-pakker er tilladt, så der er etableret en IPsec-tunnel. Men der er ingen aktiveringsregel for ESP. Tilsyneladende forvekslede den studerende icmp og esp.
Redigering af adgangslisten:
Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 anyTrin 6. Kontrol af funktionalitet
Først og fremmest sørger jeg for, at L3VPN-adgangslisten er korrekt:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit esp host 10.10.10.251 anyNu starter jeg måltrafik fra enhed R1:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 msSejr. GRE-tunnelen er etableret. Tælleren for indgående trafik i IPsec-statistikker er ikke nul:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480På Gate2-gatewayen, i klogview-outputtet, dukkede meddelelser op om, at måltrafikken 172.16.0.1->172.17.0.1 blev dekrypteret (PASS) med LIST-reglen i CMAP-krypteringskortet:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulatedResultaterne af
En elev ødelagde sin fridag.
Vær forsigtig med ME reglerne.
Anonym ingeniør
t.me/anonym_ingeniør
Kilde: www.habr.com