Padėtis
Laisvadienis. Geriu kavą. Studentas užmezgė VPN ryšį tarp dviejų taškų ir dingo. Patikrinau: tikrai yra tunelis, bet tunelyje nėra eismo. Mokinys į skambučius neatsiliepia.
Uždedu virdulį ir pasineriu į S-Terra Gateway trikčių šalinimą. Dalinuosi savo patirtimi ir metodika.
Neapdoroti duomenys
Dvi geografiškai atskirtos vietos yra sujungtos GRE tuneliu. GRE reikia užšifruoti:
Aš tikrinu GRE tunelio funkcionalumą. Norėdami tai padaryti, paleidžiu ping iš įrenginio R1 į įrenginio R2 GRE sąsają. Tai yra tikslinis šifravimo srautas. Nėra atsakymo:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057msŽiūriu į Gate1 ir Gate2 žurnalus. Žurnalas džiugiai praneša, kad IPsec tunelis sėkmingai paleistas, jokių problemų:
root@Gate1:~# cat /var/log/cspvpngate.log
Aug 5 16:14:23 localhost vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1IPsec tunelio statistikoje Gate1 matau, kad tunelis tikrai yra, bet Rсvd skaitiklis iš naujo nustatytas į nulį:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0Aš vargiu S-Terra taip: ieškau, kur paklydę tiksliniai paketai kelyje nuo R1 iki R2. Procese (spoileris) rasiu klaidą.
Problemų sprendimas
1 veiksmas. Ką Gate1 gauna iš R1
Aš naudoju įmontuotą paketų sniffer - tcpdump. Paleidžiu sniffer vidinėje sąsajoje (Gi0/1 Cisco žymėjimu arba eth1 Debian OS žymėjimu):
root@Gate1:~# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64Matau, kad Gate1 gauna GRE paketus iš R1. Aš judu toliau.
2 veiksmas. Ką Gate1 daro su GRE paketais
Naudodamas „klogview“ programą galiu pamatyti, kas vyksta su GRE paketais „S-Terra VPN“ tvarkyklėje:
root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated
Matau, kad tikslinis GRE srautas (proto 47) 172.16.0.1 -> 172.17.0.1 pateko į LIST šifravimo taisyklę CMAP šifravimo žemėlapyje ir buvo įtrauktas. Tada paketas buvo nukreiptas (išjungtas). Klogview išvestyje nėra atsako srauto.
Aš tikrinu prieigos sąrašus „Gate1“ įrenginyje. Matau vieną prieigos sąrašą LIST, kuris apibrėžia tikslinį šifravimo srautą, o tai reiškia, kad ugniasienės taisyklės nesukonfigūruotos:
Gate1#show access-lists
Extended IP access list LIST
10 permit gre host 172.16.0.1 host 172.17.0.1Išvada: problema nėra „Gate1“ įrenginyje.
Daugiau apie klogview
VPN tvarkyklė tvarko visą tinklo srautą, o ne tik srautą, kurį reikia užšifruoti. Tai yra pranešimai, matomi „klogview“, jei VPN tvarkyklė apdorojo tinklo srautą ir perdavė jį nešifruotą:
root@R1:~# ping 172.17.0.1 -c 4root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filteredMatau, kad ICMP srautas (proto 1) 172.16.0.1->172.17.0.1 nebuvo įtrauktas (neatitinka) į CMAP kripto kortelės šifravimo taisykles. Paketas buvo nukreiptas (išjungtas) aiškiu tekstu.
3 veiksmas. Ką Gate2 gauna iš Gate1
Paleidžiu sniffer WAN (eth0) Gate2 sąsajoje:
root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140Matau, kad Gate2 gauna ESP paketus iš Gate1.
4 veiksmas. Ką Gate2 daro su ESP paketais
Paleidžiu „Klogview“ programą „Gate2“:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall
Matau, kad ESP paketai (proto 50) buvo atmesti (DROP) dėl ugniasienės taisyklės (L3VPN). Įsitikinkite, kad Gi0/0 iš tikrųjų turi pridėtą L3VPN prieigos sąrašą:
Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
Internet address is 10.10.10.252/24
MTU is 1500 bytes
Outgoing access list is not set
Inbound access list is L3VPNAš atradau problemą.
5 veiksmas. Kas negerai su prieigos sąrašu
Žiūriu, koks yra L3VPN prieigos sąrašas:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit icmp host 10.10.10.251 anyMatau, kad ISAKMP paketai yra leidžiami, todėl sukuriamas IPsec tunelis. Tačiau ESP įgalinimo taisyklės nėra. Matyt, studentas supainiojo icmp ir esp.
Prieigų sąrašo redagavimas:
Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any6 veiksmas. Veikimo tikrinimas
Visų pirma įsitikinu, kad L3VPN prieigos sąrašas yra teisingas:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit esp host 10.10.10.251 anyDabar paleidžiu tikslinį srautą iš įrenginio R1:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 msPergalė. GRE tunelis buvo įkurtas. Įeinančio srauto skaitiklis IPsec statistikoje nėra nulis:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480„Gate2“ šliuzo „klogview“ išvestyje pasirodė pranešimai, kad tikslinis srautas 172.16.0.1->172.17.0.1 buvo sėkmingai iššifruotas (PASS) naudojant LIST taisyklę CMAP šifravimo žemėlapyje:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulatedrezultatai
Studentas sugadino savo laisvadienį.
Būkite atsargūs su ME taisyklėmis.
Anonimas inžinierius
t.me/anonymous_engineer
Šaltinis: www.habr.com