Solución de problemas de ipsec VPN

Descripción
Este artículo describe técnicas sobre cómo identificar, depurar y solucionar problemas de túneles VPN IPsec.

Solución
1) Identificación

Como primera acción, aislar el túnel problemático. 
Ingrese el VDOM (si corresponde) donde está configurada la VPN y escriba el comando:

#obtener resumen de túnel ipsec vpn
‘to10.174.0.182’ 10.174.0.182:0 selectores(total,up): 1/1 rx(pkt,err): 1921/0 tx(pkt,err): 69/2
‘ to10 .189.0.182′ 10.189.0.182:0 selectores (total, ascendente): 1/0 rx (paquete, error): 0/0 tx (paquete, error): 0/0

En la salida particular, se ven dos túneles VPN, to10.174.0.182 y to10.189.0.182. El segundo túnel VPN de la lista tiene sus selectores en un estado inactivo, por lo que el foco estará en ese túnel.

2) Comprobaciones de la fase 1


Una vez que se haya identificado el túnel problemático, será posible comprender el estado de la fase 1.
Para hacerlo, escriba el siguiente comando:

#diagnose vpn ike gateway list name to10.189.0.182

vd: root/0
name: to10.189.0.182
version: 1
interface: port9 10
addr: 10.189.0.31:500 -> 10.189.0.182:500
created: 15s ago
IKE SA: creado 1/1
IPsec SA: creado 0/0

  id/spi: 19576 a83334b3c66f871b/0000000000000000
  dirección: respondedor
  estado: conectando, estado 3, iniciado hace 15 s

El campo importante de este comando en particular es el estado. El campo de estado tiene una salida discreta que puede conectarse o establecerse.

1) Establecido significa que la Fase 1 está funcionando

2) Conexión significa que la Fase 1 está inactiva

Si la Fase 1 está inactiva, realice comprobaciones adicionales para identificar el motivo.

– Asegúrese de que exista conectividad bidireccional entre las puertas de enlace VPN.

Intente rastrear la ruta hacia el par VPN, en nuestro ejemplo, use los comandos:

#ejecutar traceroute-options fuente 10.189.0.31
#ejecutar traceroute 10.189.0.182

-Confirme que el tráfico IKE para el puerto 500 o 4500 no esté bloqueado en algún lugar a lo largo de la ruta.
Para ello, realice un rastreador de paquetes:

#diagnostique el paquete del rastreador cualquier ‘host 10.189.0.182 y puerto 500’ 4 0 l
interfaces=[cualquiera]
filtros=[host 10.189.0.182 y puerto 500]

– Depuración de IKE
Si las dos verificaciones anteriores son exitosas, comience a depurar el protocolo IKE para verificar posibles discrepancias de configuración entre los pares:

#diagnose vpn ike log-filter dst-addr4 10.189.0.182
#diagnose debug application ike -1
#diagnose debug enable

3) Comprobaciones de la Fase 2

Si el estado de la Fase 1 está establecido, céntrese en la Fase 2. Para hacerlo, emita el comando:

#diagnose vpn tunnel list name 10.189.0.182
list all ipsec tunnel in vd 0
name=to10.189.0.182 ver=1 serial=2 10.189.0.31:0->10.189.0.182:0bound_if=10
lgwy=static/1 tun =intf/0 mode=auto/1 encap=none/8 options[0008]=npu
proxyid_num=1 child_num=0 refcnt=10 ilast=25 olast=25 ad=/0
stat: rxp=0 txp=0 rxb=0 txb=0
dpd: mode=on-demand on=0 inactivo=20000ms retry=3 count=0 seqno=534
natt: mode=none draft=0 interval=0 remote_port=0
proxyid=to10.189.0.182 proto=0 sa =0 ref=1 serial=4
src: 0:172.16.170.0/255.255.255.0:0
dst: 0:192.168.50.0/255.255.255.0:0

El campo importante de la salida particular es »sa». SA puede tener tres valores:
a) sa=0 indica que no hay coincidencia entre los selectores o que no se inicia ningún tráfico
b) sa=1 indica que IPsec SA coincide y hay tráfico entre los selectores
c) sa=2 solo es visible durante IPsec Cambio de clave de SA

Por último, puede haber casos en los que los algoritmos de cifrado y hash en la Fase 2 también no coincidan.
Para identificar este tipo de errores, ejecute la depuración de IKE como se describió anteriormente.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *