పరిస్థితి
రోజు సెలవు. నేను కాఫీ తాగుతాను. విద్యార్థి రెండు పాయింట్ల మధ్య VPN కనెక్షన్ని సెటప్ చేసి అదృశ్యమయ్యాడు. నేను తనిఖీ చేస్తాను: నిజంగా ఒక సొరంగం ఉంది, కానీ సొరంగంలో ట్రాఫిక్ లేదు. విద్యార్థి కాల్లకు సమాధానం ఇవ్వడు.
నేను కెటిల్ని ఉంచాను మరియు S-టెర్రా గేట్వే ట్రబుల్షూటింగ్లో మునిగిపోయాను. నేను నా అనుభవాన్ని మరియు పద్దతిని పంచుకుంటాను.
మూల డేటా
రెండు భౌగోళికంగా వేరు చేయబడిన సైట్లు GRE సొరంగం ద్వారా అనుసంధానించబడ్డాయి. GRE ఎన్క్రిప్ట్ చేయాలి:
నేను GRE టన్నెల్ యొక్క కార్యాచరణను తనిఖీ చేస్తున్నాను. దీన్ని చేయడానికి, నేను పరికరం R1 నుండి పరికరం R2 యొక్క GRE ఇంటర్ఫేస్కు పింగ్ని అమలు చేస్తాను. ఇది ఎన్క్రిప్షన్ కోసం టార్గెట్ ట్రాఫిక్. జవాబు లేదు:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057ms
నేను Gate1 మరియు Gate2లోని లాగ్లను చూస్తున్నాను. IPsec సొరంగం విజయవంతంగా ప్రారంభించబడిందని లాగ్ సంతోషంగా నివేదిస్తుంది, సమస్యలు లేవు:
root@Gate1:~# cat /var/log/cspvpngate.log
Aug 5 16:14:23 localhost vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1
Gate1లోని IPsec టన్నెల్ గణాంకాలలో నిజంగా ఒక సొరంగం ఉందని నేను చూశాను, కానీ Rсvd కౌంటర్ సున్నాకి రీసెట్ చేయబడింది:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0
నేను S-Terraని ఇలా ఇబ్బంది పెడుతున్నాను: R1 నుండి R2కి దారిలో టార్గెట్ ప్యాకెట్లు ఎక్కడ పోయాయో నేను వెతుకుతున్నాను. ప్రక్రియలో (స్పాయిలర్) నేను పొరపాటును కనుగొంటాను.
సమస్య పరిష్కరించు
దశ 1. R1 నుండి Gate1 ఏమి పొందుతుంది
నేను అంతర్నిర్మిత ప్యాకెట్ స్నిఫర్ - tcpdumpని ఉపయోగిస్తాను. నేను స్నిఫర్ను అంతర్గత (సిస్కో-లాంటి సంజ్ఞామానంలో Gi0/1 లేదా డెబియన్ OS సంజ్ఞామానంలో eth1) ఇంటర్ఫేస్లో ప్రారంభిస్తాను:
root@Gate1:~# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64
Gate1 R1 నుండి GRE ప్యాకెట్లను అందుకుంటున్నట్లు నేను చూస్తున్నాను. నేను ముందుకు వెళ్తున్నాను.
దశ 2. GRE ప్యాకెట్లతో Gate1 ఏమి చేస్తుంది
klogview యుటిలిటీని ఉపయోగించి S-Terra VPN డ్రైవర్లో GRE ప్యాకెట్లతో ఏమి జరుగుతుందో నేను చూడగలను:
root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated
లక్ష్యం GRE ట్రాఫిక్ (ప్రోటో 47) 172.16.0.1 -> 172.17.0.1 CMAP క్రిప్టో మ్యాప్లో LIST ఎన్క్రిప్షన్ నియమం క్రిందకు వచ్చిందని మరియు ఎన్క్యాప్సులేట్ చేయబడిందని నేను చూస్తున్నాను. తరువాత, ప్యాకెట్ రూట్ చేయబడింది (పాస్ అవుట్ చేయబడింది). klogview అవుట్పుట్లో ప్రతిస్పందన ట్రాఫిక్ లేదు.
నేను Gate1 పరికరంలో యాక్సెస్ జాబితాలను తనిఖీ చేస్తున్నాను. నేను ఒక యాక్సెస్ జాబితా జాబితాను చూస్తున్నాను, ఇది ఎన్క్రిప్షన్ కోసం టార్గెట్ ట్రాఫిక్ని నిర్వచిస్తుంది, అంటే ఫైర్వాల్ నియమాలు కాన్ఫిగర్ చేయబడవు:
Gate1#show access-lists
Extended IP access list LIST
10 permit gre host 172.16.0.1 host 172.17.0.1
ముగింపు: సమస్య Gate1 పరికరంలో లేదు.
klogview గురించి మరింత
VPN డ్రైవర్ అన్ని నెట్వర్క్ ట్రాఫిక్ను నిర్వహిస్తుంది, కేవలం గుప్తీకరించాల్సిన ట్రాఫిక్ మాత్రమే కాదు. VPN డ్రైవర్ నెట్వర్క్ ట్రాఫిక్ను ప్రాసెస్ చేసి, దానిని ఎన్క్రిప్ట్ చేయకుండా ప్రసారం చేస్తే klogviewలో కనిపించే సందేశాలు ఇవి:
root@R1:~# ping 172.17.0.1 -c 4
root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filtered
CMAP క్రిప్టో కార్డ్ ఎన్క్రిప్షన్ నియమాలలో ICMP ట్రాఫిక్ (ప్రోటో 1) 172.16.0.1->172.17.0.1 చేర్చబడలేదు (పోలిక లేదు) అని నేను చూస్తున్నాను. ప్యాకెట్ స్పష్టమైన వచనంలో రూట్ చేయబడింది (పాస్ అవుట్ చేయబడింది).
దశ 3. Gate2 నుండి Gate1 ఏమి పొందుతుంది
నేను WAN (eth0) Gate2 ఇంటర్ఫేస్లో స్నిఫర్ని ప్రారంభించాను:
root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140
Gate2 నుండి Gate1 ESP ప్యాకెట్లను అందుకుంటున్నట్లు నేను చూస్తున్నాను.
దశ 4. ESP ప్యాకేజీలతో Gate2 ఏమి చేస్తుంది
నేను Gate2లో klogview యుటిలిటీని ప్రారంభించాను:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall
ఫైర్వాల్ నియమం (L50VPN) ద్వారా ESP ప్యాకెట్లు (ప్రోటో 3) తొలగించబడినట్లు (DROP) నేను చూశాను. వాస్తవానికి Gi0/0కి L3VPN యాక్సెస్ జాబితా జోడించబడిందని నేను నిర్ధారించుకున్నాను:
Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
Internet address is 10.10.10.252/24
MTU is 1500 bytes
Outgoing access list is not set
Inbound access list is L3VPN
నేను సమస్యను కనుగొన్నాను.
దశ 5. యాక్సెస్ జాబితాలో తప్పు ఏమిటి
నేను L3VPN యాక్సెస్ జాబితా ఏమిటో చూస్తున్నాను:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit icmp host 10.10.10.251 any
ISAKMP ప్యాకెట్లు అనుమతించబడిందని నేను చూస్తున్నాను, కాబట్టి IPsec టన్నెల్ ఏర్పాటు చేయబడింది. కానీ ESP కోసం ఎనేబుల్ చేసే నియమం లేదు. స్పష్టంగా, విద్యార్థి icmp మరియు espని గందరగోళపరిచాడు.
యాక్సెస్ జాబితాను సవరించడం:
Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any
దశ 6. కార్యాచరణను తనిఖీ చేస్తోంది
అన్నింటిలో మొదటిది, L3VPN యాక్సెస్ జాబితా సరైనదని నేను నిర్ధారించుకుంటాను:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit esp host 10.10.10.251 any
ఇప్పుడు నేను పరికరం R1 నుండి లక్ష్య ట్రాఫిక్ను ప్రారంభించాను:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 ms
విజయం. GRE సొరంగం ఏర్పాటు చేయబడింది. IPsec గణాంకాలలో ఇన్కమింగ్ ట్రాఫిక్ కౌంటర్ సున్నా కాదు:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480
Gate2 గేట్వేలో, klogview అవుట్పుట్లో, CMAP క్రిప్టో మ్యాప్లోని LIST నియమం ద్వారా టార్గెట్ ట్రాఫిక్ 172.16.0.1->172.17.0.1 విజయవంతంగా డీక్రిప్ట్ చేయబడిందని (PASS) సందేశాలు కనిపించాయి:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulated
ఫలితాలు
ఒక విద్యార్థి తన సెలవు దినాన్ని నాశనం చేశాడు.
ME నిబంధనలతో జాగ్రత్తగా ఉండండి.
అజ్ఞాత ఇంజనీర్
t.me/anonymous_engineer
మూలం: www.habr.com