Situácia
Deň voľna. Pijem kávu. Študent zriadil pripojenie VPN medzi dvoma bodmi a zmizol. Skontrolujem: tunel skutočne existuje, ale v tuneli nie je žiadna premávka. Študent neodpovedá na hovory.
Nasadil som kanvicu a ponoril sa do riešenia problémov S-Terra Gateway. Zdieľam svoje skúsenosti a metodiku.
Surové údaje
Dve geograficky oddelené lokality sú spojené tunelom GRE. GRE musí byť šifrované:
Kontrolujem výkonnosť tunela GRE. Aby som to urobil, spustím ping zo zariadenia R1 na rozhranie GRE zariadenia R2. Toto je cielená návštevnosť pre šifrovanie. Žiadna odpoveď:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057msPozerám sa na záznamy na Gate1 a Gate2. Denník šťastne hlási, že tunel IPsec bol úspešne vytvorený, žiadne problémy:
root@Gate1:~# cat /var/log/cspvpngate.log
Aug 5 16:14:23 localhost vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1V štatistike IPsec tunela na Gate1 vidím, že tunel skutočne existuje, ale počítadlo Rcvd je vynulované:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0C-Terra riešim takto: Hľadám, kde sa strácajú cieľové pakety na ceste z R1 do R2. V procese (spoiler) nájdem chybu.
Riešenie problémov
Krok 1: Čo Gate1 získa z R1
Používam vstavaný sniffer paketov - tcpdump. Spustím sniffer na internom rozhraní (Gi0/1 v notácii podobnej Cisco alebo eth1 v notácii OS Debian):
root@Gate1:~# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64Vidím, že Gate1 prijíma pakety z R1 GRE. idem ďalej.
Krok 2. Čo robí Gate1 s paketmi GRE
Pomocou pomôcky klogview vidím, čo sa stane s paketmi GRE v ovládači C-Terra VPN:
root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated
Vidím, že cieľová prevádzka GRE (proto 47) 172.16.0.1 -> 172.17.0.1 spadla (PASS) pod pravidlo šifrovania LIST v kryptomape CMAP a bola zašifrovaná (zapuzdrená). Potom bol paket smerovaný (vydaný). Vo výstupe klogview nie je žiadna spätná prevádzka.
Kontrola zoznamov prístupových práv na zariadení Gate1. Vidím jeden zoznam prístupových práv LIST, ktorý určuje cieľovú prevádzku pre šifrovanie, čo znamená, že pravidlá ME nie sú nakonfigurované:
Gate1#show access-lists
Extended IP access list LIST
10 permit gre host 172.16.0.1 host 172.17.0.1Záver: problém nie je na zariadení Gate1.
Viac o klogview
Ovládač VPN spracováva všetku sieťovú prevádzku, nielen tú, ktorá musí byť šifrovaná. Tu sú správy zobrazené v klogview, ak ovládač VPN spracoval sieťovú prevádzku a odoslal ju ako obyčajný text:
root@R1:~# ping 172.17.0.1 -c 4root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filteredVidím, že prevádzka ICMP (proto 1) 172.16.0.1->172.17.0.1 nespadala (žiadna zhoda) do pravidiel šifrovania kryptomapy CMAP. Paket bol smerovaný (vydaný) v čistom stave.
Krok 3. Čo dostane Gate2 od Gate1
Spustím sniffer na WAN (eth0) rozhraní Gate2:
root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140Vidím, že brána 2 prijíma pakety ESP od brány 1.
Krok 4. Čo robí Gate2 s paketmi ESP
Spustím nástroj klogview na Gate2:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall
Vidím, že pakety ESP (proto 50) boli zahodené (DROP) pravidlom (L3VPN) brány firewall (firewall). Som presvedčený, že Gi0 / 0 je skutočne viazaný na zoznam prístupových práv L3VPN:
Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
Internet address is 10.10.10.252/24
MTU is 1500 bytes
Outgoing access list is not set
Inbound access list is L3VPNNašiel sa problém.
Krok 5: Čo je zlé na zozname prístupových práv
Pozerám sa, čo je zoznam prístupových práv L3VPN:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit icmp host 10.10.10.251 anyVidím, že pakety ISAKMP sú povolené, takže sa vytvára tunel IPsec. Ale neexistuje žiadne prípustné pravidlo pre ESP. Študent si zrejme pomýlil icmp a esp.
Úprava zoznamu prístupových práv:
Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 anyKrok 6. Skontrolujem výkon
Najprv sa uistím, že zoznam prístupových práv L3VPN je správny:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit esp host 10.10.10.251 anyTeraz spúšťam cielenú návštevnosť zo zariadenia R1:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 msVíťazstvo. Zriadený tunel GRE. Počítadlo prichádzajúcej návštevnosti v štatistike IPsec je nenulové:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480Na bráne Gate2 sa vo výstupe klogview objavili správy, že cieľová prevádzka 172.16.0.1-> 172.17.0.1 bola úspešne (PASS) dekapsulovaná pravidlom LIST v kryptomape CMAP:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulatedVýsledky
Študent pokazil deň voľna.
Pozor na pravidlá ME.
Anonymný inžinier
t.me/anonymous_engineer
Zdroj: hab.com