situasjon
Fridag. Jeg drikker kaffe. Eleven satte opp en VPN-forbindelse mellom to punkter og forsvant. Jeg sjekker: det er virkelig en tunnel, men det er ingen trafikk i tunnelen. Eleven svarer ikke på anrop.
Jeg setter på vannkokeren og dykker ned i feilsøkingen av S-Terra Gateway. Jeg deler min erfaring og metodikk.
Innledende data
De to geografisk adskilte stedene er forbundet med en GRE-tunnel. GRE må krypteres:
Jeg sjekker funksjonaliteten til GRE-tunnelen. For å gjøre dette, kjører jeg ping fra enhet R1 til GRE-grensesnittet til enhet R2. Dette er måltrafikken for kryptering. Ingen svar:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057msJeg ser på loggene på Gate1 og Gate2. Loggen rapporterer gladelig at IPsec-tunnelen ble lansert, ingen problemer:
root@Gate1:~# cat /var/log/cspvpngate.log
Aug 5 16:14:23 localhost vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1I statistikken til IPsec-tunnelen på Gate1 ser jeg at det virkelig er en tunnel, men Rсvd-telleren er tilbakestilt til null:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0Jeg plager S-Terra slik: Jeg ser etter hvor målpakkene går tapt på banen fra R1 til R2. I prosessen (spoiler) vil jeg finne en feil.
Feilsøking
Trinn 1. Hva Gate1 mottar fra R1
Jeg bruker den innebygde packet sniffer - tcpdump. Jeg starter snifferen på det interne (Gi0/1 i Cisco-lignende notasjon eller eth1 i Debian OS-notasjon) grensesnittet:
root@Gate1:~# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64Jeg ser at Gate1 mottar GRE-pakker fra R1. Jeg går videre.
Trinn 2. Hva Gate1 gjør med GRE-pakker
Ved å bruke klogview-verktøyet kan jeg se hva som skjer med GRE-pakker inne i S-Terra VPN-driveren:
root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated
Jeg ser at mål-GRE-trafikken (proto 47) 172.16.0.1 -> 172.17.0.1 kom under LIST-krypteringsregelen i CMAP-kryptokartet og ble innkapslet. Deretter ble pakken rutet (besvimt). Det er ingen responstrafikk i klogview-utgangen.
Jeg sjekker tilgangslistene på Gate1-enheten. Jeg ser én tilgangsliste LIST, som definerer måltrafikken for kryptering, noe som betyr at brannmurregler ikke er konfigurert:
Gate1#show access-lists
Extended IP access list LIST
10 permit gre host 172.16.0.1 host 172.17.0.1Konklusjon: problemet er ikke med Gate1-enheten.
Mer om klogview
VPN-driveren håndterer all nettverkstrafikk, ikke bare trafikken som må krypteres. Dette er meldingene som er synlige i klogview hvis VPN-driveren behandlet nettverkstrafikken og overførte den ukryptert:
root@R1:~# ping 172.17.0.1 -c 4root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filteredJeg ser at ICMP-trafikk (proto 1) 172.16.0.1->172.17.0.1 ikke var inkludert (ingen samsvar) i krypteringsreglene til CMAP-kryptokortet. Pakken ble rutet (svimt ut) i klartekst.
Trinn 3. Hva Gate2 mottar fra Gate1
Jeg starter snifferen på WAN (eth0) Gate2-grensesnittet:
root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140Jeg ser at Gate2 mottar ESP-pakker fra Gate1.
Trinn 4. Hva Gate2 gjør med ESP-pakker
Jeg starter klogview-verktøyet på Gate2:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall
Jeg ser at ESP-pakker (proto 50) ble droppet (DROP) av brannmurregelen (L3VPN). Jeg sørger for at Gi0/0 faktisk har en L3VPN-tilgangsliste knyttet til seg:
Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
Internet address is 10.10.10.252/24
MTU is 1500 bytes
Outgoing access list is not set
Inbound access list is L3VPNJeg oppdaget problemet.
Trinn 5. Hva er galt med tilgangslisten
Jeg ser på hva L3VPN-tilgangslisten er:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit icmp host 10.10.10.251 anyJeg ser at ISAKMP-pakker er tillatt, så det opprettes en IPsec-tunnel. Men det er ingen aktiveringsregel for ESP. Tilsynelatende forvekslet studenten icmp og esp.
Redigere tilgangslisten:
Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 anyTrinn 6. Kontroll av funksjonalitet
Først og fremst sørger jeg for at L3VPN-tilgangslisten er riktig:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit esp host 10.10.10.251 anyNå starter jeg måltrafikk fra enhet R1:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 msSeier. GRE-tunnelen er etablert. Telleren for innkommende trafikk i IPsec-statistikk er ikke null:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480På Gate2-gatewayen, i klogview-utgangen, dukket det opp meldinger om at måltrafikken 172.16.0.1->172.17.0.1 ble vellykket dekryptert (PASS) av LIST-regelen i CMAP-kryptokartet:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulatedResultater av
En student ødela fridagen hans.
Vær forsiktig med ME-reglene.
Anonym ingeniør
t.me/anonym_ingeniør
Kilde: www.habr.com