🆎 👩🏽‍🤝‍👩🏻 🍫 كيفية استكشاف أخطاء IPsec VPN المحلية وإصلاحها. الجزء الأول 📱 🏊 🏾

موقف

انتاج. انا اشرب القهوة. قام الطالب بإعداد اتصال VPN بين نقطتين واختفى. أتحقق: النفق موجود بالفعل ، لكن لا توجد حركة مرور في النفق. لا يرد الطالب على المكالمات.

أضع الغلاية وأغرق في استكشاف أخطاء بوابة C-Terra وإصلاحها. أشارك تجربتي ومنهجتي.

بيانات أولية

الموقعان المنفصلان جغرافياً متصلان بواسطة نفق GRE. يجب تشفير GRE:

التحقق مما إذا كان نفق GRE يعمل. للقيام بذلك ، أقوم بإجراء ping من الجهاز R1 إلى واجهة GRE الخاصة بجهاز R2. هذه هي حركة المرور المستهدفة للتشفير. لا اجابة:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057ms

ألقي نظرة على السجلات الموجودة على البوابة 1 و Gate2. يُبلغ السجل بسعادة أن نفق IPsec قد ارتفع بنجاح ، فلا مشكلة:

root@Gate1:~# cat /var/log/cspvpngate.log
Aug  5 16:14:23 localhost  vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter 
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1

في إحصائيات نفق IPsec على البوابة 1 ، أرى أن النفق موجود بالفعل ، لكن عداد Rcvd صفري:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0

أقوم باستكشاف أخطاء C-Terra وإصلاحها على النحو التالي: أنا أبحث عن مكان فقدان الحزم المستهدفة في الطريق من R1 إلى R2. في العملية (المفسد) سأجد خطأ.

استكشاف الأخطاء وإصلاحها

الخطوة 1. ما تحصل عليه Gate1 من R1

أستخدم أداة الشم المضمنة للحزمة - tcpdump. أقوم بتشغيل برنامج الشم على الواجهة الداخلية (Gi0 / 1 في تدوين يشبه Cisco أو eth1 في تدوين نظام تشغيل Debian):

root@Gate1:~# tcpdump -i eth1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64

أرى أن البوابة 1 تتلقى حزم GRE من R1. المضي قدما.

الخطوة 2. ما يفعله Gate1 مع حزم GRE

باستخدام الأداة المساعدة klogview ، يمكنني رؤية ما يحدث مع حزم GRE داخل برنامج تشغيل C-Terra VPN:

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated

أرى أن حركة مرور GRE المستهدفة (proto 47) 172.16.0.1 -> 172.17.0.1 سقطت (PASS) بموجب قاعدة تشفير LIST في خريطة تشفير CMAP وتم تشفيرها (مغلفة). ثم تم توجيه الحزمة (فقدت). لا توجد استجابة حركة المرور في إخراج klogview.

التحقق من قوائم الوصول على جهاز Gate1. أرى قائمة وصول واحدة LIST ، والتي تحدد حركة المرور المستهدفة للتشفير ، مما يعني أن قواعد ME لم يتم تكوينها:

Gate1#show access-lists
Extended IP access list LIST
    10 permit gre host 172.16.0.1 host 172.17.0.1

الخلاصة: المشكلة ليست في جهاز Gate1.

المزيد حول

برنامج تشغيل klogview VPN يتعامل مع جميع حركات مرور الشبكة ، وليس فقط الحركة التي تحتاج إلى تشفير. تظهر هذه الرسائل في klogview إذا قام برنامج تشغيل VPN بمعالجة حركة مرور الشبكة ونقلها بدون تشفير:

root@R1:~# ping 172.17.0.1 -c 4

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filtered

أرى أن حركة مرور ICMP (أولية 1) 172.16.0.1-> 172.17.0.1 لم تحصل (لا يوجد تطابق) في قواعد التشفير لخريطة تشفير CMAP. تم توجيه الحزمة (تم إخراجها) بنص واضح.

الخطوة 3. ما تتلقاه Gate2 من Gate1 قم بتشغيل

المتشمم على واجهة WAN (eth0) للبوابة 2:

root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140

أرى أن Gate2 تتلقى حزم ESP من Gate1.

الخطوة 4. ما يفعله Gate2 بحزم ESP

قم بتشغيل الأداة المساعدة klogview على Gate2:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall

أرى أن حزم ESP (proto 50) تم إسقاطها (DROP) بموجب قاعدة (L3VPN) لجدار الحماية. أتأكد من أن قائمة وصول L3VPN مرتبطة بالفعل بـ Gi0 / 0:

Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 10.10.10.252/24
  MTU is 1500 bytes
  Outgoing access list is not set
  Inbound  access list is L3VPN

لقد وجدت المشكلة.

الخطوة 5. ما هو الخطأ في قائمة الوصول التي

أرى ما هي قائمة وصول L3VPN:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit icmp host 10.10.10.251 any

أرى أن حزم ISAKMP مسموح بها ، لذلك تم إنشاء نفق IPsec. لكن لا توجد قاعدة متساهلة لـ ESP. على ما يبدو ، خلط الطالب ICMP و esp.

أصحح قائمة الوصول:

Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any

الخطوة السادسة: التحقق من الوظيفة

أولاً ، تأكد من صحة قائمة وصول L3VPN:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit esp host 10.10.10.251 any

الآن أقوم بتشغيل حركة المرور المستهدفة من جهاز R1:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 ms

فوز. تم إنشاء نفق GRE. عداد المرور الوارد في إحصائيات IPsec ليس صفراً:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480

على بوابة Gate2 ، في إخراج klogview ، ظهرت رسائل تفيد بأن حركة المرور المستهدفة 172.16.0.1-> 172.17.0.1 تم فك تشفيرها (PASS) بنجاح (decapsulated) بواسطة قاعدة LIST في خريطة تشفير CMAP:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulated

النتائج

أفسد الطالب يوم عطلة.

كن حذرا مع قواعد ME.

مهندس مجهول

t.me/anonimous_engineer

كيفية استكشاف أخطاء IPsec VPN المحلية وإصلاحها. الجزء الأول

موقف

بيانات أولية

استكشاف الأخطاء وإصلاحها

More articles: