Keadaan ini
Hari cuti. Saya minum kopi. Pelajar itu menyediakan sambungan VPN antara dua titik dan hilang. Saya periksa: benar-benar ada terowong, tetapi tidak ada lalu lintas di dalam terowong. Pelajar tidak menjawab panggilan.
Saya meletakkan cerek dan menyelam ke dalam penyelesaian masalah S-Terra Gateway. Saya berkongsi pengalaman dan metodologi saya.
Data mentah
Kedua-dua tapak yang dipisahkan secara geografi disambungkan oleh terowong GRE. GRE perlu disulitkan:
Saya sedang menyemak kefungsian terowong GRE. Untuk melakukan ini, saya menjalankan ping dari peranti R1 ke antara muka GRE peranti R2. Ini ialah trafik sasaran untuk penyulitan. Tiada jawapan:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057ms
Saya melihat log pada Gate1 dan Gate2. Log dengan gembira melaporkan bahawa terowong IPsec telah berjaya dilancarkan, tiada masalah:
root@Gate1:~# cat /var/log/cspvpngate.log
Aug 5 16:14:23 localhost vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1
Dalam statistik terowong IPsec di Gate1 saya melihat bahawa benar-benar terdapat terowong, tetapi kaunter RΡvd ditetapkan semula kepada sifar:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0
Saya menyusahkan S-Terra seperti ini: Saya mencari di mana paket sasaran hilang di laluan dari R1 hingga R2. Dalam proses (spoiler) saya akan mendapati kesilapan.
Penyelesaian masalah
Langkah 1. Apa yang Gate1 terima daripada R1
Saya menggunakan sniffer paket terbina dalam - tcpdump. Saya melancarkan sniffer pada antara muka dalaman (Gi0/1 dalam notasi seperti Cisco atau eth1 dalam notasi OS Debian):
root@Gate1:~# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64
Saya melihat bahawa Gate1 menerima paket GRE daripada R1. Saya teruskan.
Langkah 2. Apa yang Gate1 lakukan dengan paket GRE
Menggunakan utiliti klogview saya dapat melihat apa yang berlaku dengan paket GRE di dalam pemacu VPN S-Terra:
root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated
Saya melihat bahawa trafik GRE sasaran (proto 47) 172.16.0.1 -> 172.17.0.1 berada di bawah peraturan penyulitan LIST dalam peta kripto CMAP dan dikapsulkan. Seterusnya, paket telah dihalakan (pingsan). Tiada trafik tindak balas dalam output klogview.
Saya sedang menyemak senarai akses pada peranti Gate1. Saya melihat satu LIST senarai akses, yang mentakrifkan trafik sasaran untuk penyulitan, yang bermaksud peraturan tembok api tidak dikonfigurasikan:
Gate1#show access-lists
Extended IP access list LIST
10 permit gre host 172.16.0.1 host 172.17.0.1
Kesimpulan: masalahnya bukan dengan peranti Gate1.
Lebih lanjut mengenai klogview
Pemacu VPN mengendalikan semua trafik rangkaian, bukan hanya trafik yang perlu disulitkan. Ini ialah mesej yang boleh dilihat dalam klogview jika pemacu VPN memproses trafik rangkaian dan menghantarnya tanpa disulitkan:
root@R1:~# ping 172.17.0.1 -c 4
root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filtered
Saya melihat bahawa trafik ICMP (proto 1) 172.16.0.1->172.17.0.1 tidak disertakan (tiada padanan) dalam peraturan penyulitan kad crypto CMAP. Paket telah dialihkan (pingsan) dalam teks yang jelas.
Langkah 3. Perkara yang diterima oleh Gate2 daripada Gate1
Saya melancarkan sniffer pada antara muka WAN (eth0) Gate2:
root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140
Saya melihat bahawa Gate2 menerima paket ESP daripada Gate1.
Langkah 4. Apa yang Gate2 lakukan dengan pakej ESP
Saya melancarkan utiliti klogview pada Gate2:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall
Saya melihat bahawa paket ESP (proto 50) telah digugurkan (DROP) oleh peraturan firewall (L3VPN). Saya memastikan bahawa Gi0/0 sebenarnya mempunyai senarai akses L3VPN yang dilampirkan padanya:
Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
Internet address is 10.10.10.252/24
MTU is 1500 bytes
Outgoing access list is not set
Inbound access list is L3VPN
Saya menemui masalahnya.
Langkah 5. Apa yang salah dengan senarai akses
Saya melihat apakah senarai akses L3VPN:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit icmp host 10.10.10.251 any
Saya melihat bahawa paket ISAKMP dibenarkan, jadi terowong IPsec ditubuhkan. Tetapi tiada peraturan yang membolehkan ESP. Rupa-rupanya, pelajar itu keliru icmp dan esp.
Mengedit senarai akses:
Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any
Langkah 6. Menyemak fungsi
Pertama sekali, saya memastikan bahawa senarai akses L3VPN adalah betul:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit esp host 10.10.10.251 any
Sekarang saya melancarkan trafik sasaran daripada peranti R1:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 ms
Kemenangan. Terowong GRE telah ditubuhkan. Kaunter trafik masuk dalam statistik IPsec bukan sifar:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480
Pada get laluan Gate2, dalam output klogview, mesej kelihatan bahawa trafik sasaran 172.16.0.1->172.17.0.1 telah berjaya dinyahsulitkan (PASS) oleh peraturan LIST dalam peta kripto CMAP:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulated
Keputusan
Seorang pelajar merosakkan hari cutinya.
Berhati-hati dengan peraturan ME.
Jurutera Tanpa Nama
t.me/anonymous_engineer
Sumber: www.habr.com