ProHoster > Blog > διαχείριση > Τρόπος αντιμετώπισης προβλημάτων εγχώριου IPsec VPN. Μέρος 1

Τρόπος αντιμετώπισης προβλημάτων εγχώριου IPsec VPN. Μέρος 1

Τρόπος αντιμετώπισης προβλημάτων εγχώριου IPsec VPN. Μέρος 1

Η κατάσταση

Ρεπό. Πίνω καφέ. Ο μαθητής δημιούργησε μια σύνδεση VPN μεταξύ δύο σημείων και εξαφανίστηκε. Ελέγχω: υπάρχει πραγματικά μια σήραγγα, αλλά δεν υπάρχει κίνηση στη σήραγγα. Ο μαθητής δεν απαντά στις κλήσεις.

Βάζω τον βραστήρα και βουτάω στην αντιμετώπιση προβλημάτων του S-Terra Gateway. Μοιράζομαι την εμπειρία και τη μεθοδολογία μου.

Ακατέργαστα δεδομένα

Οι δύο γεωγραφικά διαχωρισμένες τοποθεσίες συνδέονται με μια σήραγγα GRE. Το GRE πρέπει να είναι κρυπτογραφημένο:

Τρόπος αντιμετώπισης προβλημάτων εγχώριου IPsec VPN. Μέρος 1

Ελέγχω τη λειτουργικότητα του τούνελ GRE. Για να γίνει αυτό, εκτελώ ping από τη συσκευή R1 στη διεπαφή GRE της συσκευής R2. Αυτή είναι η επισκεψιμότητα-στόχος για κρυπτογράφηση. Καμία απάντηση:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057ms

Κοιτάζω τα αρχεία καταγραφής στο Gate1 και στο Gate2. Το αρχείο καταγραφής αναφέρει ευτυχώς ότι η σήραγγα IPsec ξεκίνησε με επιτυχία, χωρίς προβλήματα:

root@Gate1:~# cat /var/log/cspvpngate.log
Aug  5 16:14:23 localhost  vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter 
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1

Στα στατιστικά της σήραγγας IPsec στο Gate1 βλέπω ότι υπάρχει πραγματικά ένα τούνελ, αλλά ο μετρητής Rсvd μηδενίζεται:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0

Δυσκολεύω το S-Terra ως εξής: Ψάχνω πού χάνονται τα πακέτα στόχου στη διαδρομή από το R1 στο R2. Στην πορεία (σπόιλερ) θα βρω ένα λάθος.

Αντιμετώπιση προβλημάτων

Βήμα 1. Τι λαμβάνει το Gate1 από το R1

Χρησιμοποιώ το ενσωματωμένο packet sniffer - tcpdump. Εκκινώ το sniffer στην εσωτερική διασύνδεση (Gi0/1 σε συμβολισμό τύπου Cisco ή eth1 σε σημειογραφία Debian OS):

root@Gate1:~# tcpdump -i eth1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64

Βλέπω ότι το Gate1 λαμβάνει πακέτα GRE από το R1. Προχωράω.

Βήμα 2. Τι κάνει το Gate1 με τα πακέτα GRE

Χρησιμοποιώντας το βοηθητικό πρόγραμμα klogview μπορώ να δω τι συμβαίνει με τα πακέτα GRE μέσα στο πρόγραμμα οδήγησης S-Terra VPN:

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated

Βλέπω ότι η επισκεψιμότητα GRE στόχος (πρωτότυπο 47) 172.16.0.1 -> 172.17.0.1 περιήλθε στον κανόνα κρυπτογράφησης LIST στον κρυπτογραφικό χάρτη CMAP και ενσωματώθηκε. Στη συνέχεια, το πακέτο δρομολογήθηκε (εξαντλήθηκε). Δεν υπάρχει κίνηση απόκρισης στην έξοδο klogview.

Ελέγχω τις λίστες πρόσβασης στη συσκευή Gate1. Βλέπω μια λίστα πρόσβασης LIST, η οποία ορίζει την επισκεψιμότητα-στόχο για κρυπτογράφηση, πράγμα που σημαίνει ότι οι κανόνες ME δεν έχουν διαμορφωθεί:

Gate1#show access-lists
Extended IP access list LIST
    10 permit gre host 172.16.0.1 host 172.17.0.1

Συμπέρασμα: το πρόβλημα δεν είναι με τη συσκευή Gate1.

Περισσότερα για το klogview

Το πρόγραμμα οδήγησης VPN διαχειρίζεται όλη την κίνηση δικτύου, όχι μόνο την κίνηση που πρέπει να κρυπτογραφηθεί. Αυτά είναι τα μηνύματα ορατά στο klogview εάν το πρόγραμμα οδήγησης VPN επεξεργαζόταν την κίνηση του δικτύου και τη μετέδωσε χωρίς κρυπτογράφηση:

root@R1:~# ping 172.17.0.1 -c 4

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filtered

Βλέπω ότι η επισκεψιμότητα ICMP (proto 1) 172.16.0.1->172.17.0.1 δεν συμπεριλήφθηκε (δεν ταιριάζει) στους κανόνες κρυπτογράφησης της κάρτας κρυπτογράφησης CMAP. Το πακέτο δρομολογήθηκε (εξαντλήθηκε) σε καθαρό κείμενο.

Βήμα 3. Τι λαμβάνει το Gate2 από το Gate1

Εκκινώ το sniffer στη διεπαφή WAN (eth0) Gate2:

root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140

Βλέπω ότι το Gate2 λαμβάνει πακέτα ESP από το Gate1.

Βήμα 4. Τι κάνει το Gate2 με τα πακέτα ESP

Ξεκινάω το βοηθητικό πρόγραμμα klogview στο Gate2:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall

Βλέπω ότι τα πακέτα ESP (proto 50) απορρίφθηκαν (DROP) από τον κανόνα του τείχους προστασίας (L3VPN). Διασφαλίζω ότι το Gi0/0 έχει πράγματι μια λίστα πρόσβασης L3VPN συνδεδεμένη σε αυτό:

Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 10.10.10.252/24
  MTU is 1500 bytes
  Outgoing access list is not set
  Inbound  access list is L3VPN

Ανακάλυψα το πρόβλημα.

Βήμα 5. Τι συμβαίνει με τη λίστα πρόσβασης

Κοιτάζω ποια είναι η λίστα πρόσβασης L3VPN:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit icmp host 10.10.10.251 any

Βλέπω ότι επιτρέπονται πακέτα ISAKMP, οπότε δημιουργείται ένα τούνελ IPsec. Αλλά δεν υπάρχει κανόνας ενεργοποίησης για το ESP. Προφανώς, ο μαθητής μπέρδεψε το icmp και το esp.

Επεξεργασία της λίστας πρόσβασης:

Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any

Βήμα 6. Έλεγχος λειτουργικότητας

Πρώτα απ 'όλα, βεβαιωθώ ότι η λίστα πρόσβασης L3VPN είναι σωστή:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit esp host 10.10.10.251 any

Τώρα εκκινώ την επισκεψιμότητα στόχευσης από τη συσκευή R1:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 ms

Νίκη. Η σήραγγα GRE έχει δημιουργηθεί. Ο μετρητής εισερχόμενης κίνησης στα στατιστικά στοιχεία IPsec δεν είναι μηδέν:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480

Στην πύλη Gate2, στην έξοδο klogview, εμφανίστηκαν μηνύματα ότι η στοχευόμενη επισκεψιμότητα 172.16.0.1->172.17.0.1 αποκρυπτογραφήθηκε επιτυχώς (PASS) από τον κανόνα LIST στον χάρτη κρυπτογράφησης CMAP:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulated

Αποτελέσματα της

Ένας μαθητής του χάλασε την άδεια.
Να είστε προσεκτικοί με τους κανόνες ME.

Ανώνυμος μηχανικός
t.me/anonymous_engineer

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο