Situasi
Libur. Saya minum kopi. Siswa tersebut mengatur koneksi VPN antara dua titik dan menghilang. Saya periksa: memang ada terowongan, tetapi tidak ada lalu lintas di dalam terowongan. Siswa tidak menjawab panggilan.
Saya menyalakan ketel dan mendalami pemecahan masalah S-Terra Gateway. Saya berbagi pengalaman dan metodologi saya.
Data mentah
Kedua situs yang terpisah secara geografis dihubungkan oleh terowongan GRE. GRE perlu dienkripsi:
Saya sedang memeriksa fungsionalitas terowongan GRE. Untuk melakukan ini, saya menjalankan ping dari perangkat R1 ke antarmuka GRE perangkat R2. Ini adalah lalu lintas target untuk enkripsi. Tidak ada Jawaban:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057ms
Saya melihat log di Gate1 dan Gate2. Log dengan senang hati melaporkan bahwa terowongan IPsec berhasil diluncurkan, tidak ada masalah:
root@Gate1:~# cat /var/log/cspvpngate.log
Aug 5 16:14:23 localhost vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1
Dalam statistik terowongan IPsec di Gate1 saya melihat bahwa memang ada terowongan, tetapi penghitung RΡvd disetel ulang ke nol:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0
Saya menyusahkan S-Terra seperti ini: Saya mencari di mana paket target hilang pada jalur dari R1 ke R2. Dalam prosesnya (spoiler) saya akan menemukan kesalahan.
Penyelesaian masalah
Langkah 1. Apa yang diterima Gate1 dari R1
Saya menggunakan packet sniffer bawaan - tcpdump. Saya meluncurkan sniffer pada antarmuka internal (Gi0/1 dalam notasi mirip Cisco atau eth1 dalam notasi Debian OS):
root@Gate1:~# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64
Saya melihat bahwa Gate1 menerima paket GRE dari R1. Saya melanjutkan.
Langkah 2. Apa yang dilakukan Gate1 dengan paket GRE
Dengan menggunakan utilitas klogview saya dapat melihat apa yang terjadi dengan paket GRE di dalam driver S-Terra VPN:
root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated
Saya melihat bahwa lalu lintas target GRE (proto 47) 172.16.0.1 -> 172.17.0.1 berada di bawah aturan enkripsi LIST di peta kripto CMAP dan dienkapsulasi. Selanjutnya, paket tersebut dirutekan (pingsan). Tidak ada lalu lintas respons di keluaran klogview.
Saya sedang memeriksa daftar akses pada perangkat Gate1. Saya melihat satu daftar akses DAFTAR, yang menentukan lalu lintas target untuk enkripsi, yang berarti aturan firewall tidak dikonfigurasi:
Gate1#show access-lists
Extended IP access list LIST
10 permit gre host 172.16.0.1 host 172.17.0.1
Kesimpulan: masalahnya bukan pada perangkat Gate1.
Lebih lanjut tentang klogview
Driver VPN menangani semua lalu lintas jaringan, bukan hanya lalu lintas yang perlu dienkripsi. Ini adalah pesan yang terlihat di klogview jika driver VPN memproses lalu lintas jaringan dan mengirimkannya tanpa terenkripsi:
root@R1:~# ping 172.17.0.1 -c 4
root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filtered
Saya melihat lalu lintas ICMP (proto 1) 172.16.0.1->172.17.0.1 tidak disertakan (tidak cocok) dalam aturan enkripsi kartu kripto CMAP. Paket itu dirutekan (pingsan) dalam teks yang jelas.
Langkah 3. Apa yang diterima Gate2 dari Gate1
Saya meluncurkan sniffer pada antarmuka WAN (eth0) Gate2:
root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140
Saya melihat Gate2 menerima paket ESP dari Gate1.
Langkah 4. Apa yang dilakukan Gate2 dengan paket ESP
Saya meluncurkan utilitas klogview di Gate2:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall
Saya melihat paket ESP (proto 50) dijatuhkan (DROP) oleh aturan firewall (L3VPN). Saya memastikan bahwa Gi0/0 benar-benar memiliki daftar akses L3VPN yang terlampir:
Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
Internet address is 10.10.10.252/24
MTU is 1500 bytes
Outgoing access list is not set
Inbound access list is L3VPN
Saya menemukan masalahnya.
Langkah 5. Apa yang salah dengan daftar akses
Saya melihat daftar akses L3VPN:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit icmp host 10.10.10.251 any
Saya melihat bahwa paket ISAKMP diperbolehkan, sehingga terowongan IPsec dibuat. Namun tidak ada aturan yang memungkinkan untuk ESP. Rupanya siswa tersebut bingung antara icmp dan esp.
Mengedit daftar akses:
Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any
Langkah 6. Memeriksa fungsionalitas
Pertama-tama, saya pastikan daftar akses L3VPN sudah benar:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit esp host 10.10.10.251 any
Sekarang saya meluncurkan lalu lintas target dari perangkat R1:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 ms
Kemenangan. Terowongan GRE telah didirikan. Penghitung lalu lintas masuk dalam statistik IPsec bukan nol:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480
Di gateway Gate2, di output klogview, muncul pesan bahwa lalu lintas target 172.16.0.1->172.17.0.1 berhasil didekripsi (PASS) oleh aturan LIST di peta kripto CMAP:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulated
Hasil
Seorang siswa merusak hari liburnya.
Hati-hati dengan aturan SAYA.
Insinyur Anonim
t.me/anonymous_engineer
Sumber: www.habr.com