Descripción
Este artículo describe técnicas sobre cómo identificar, depurar y solucionar problemas de túneles VPN IPsec.
Solución
1) Identificación
Como primera acción, aislar el túnel problemático.
Ingrese el VDOM (si corresponde) donde está configurada la VPN y escriba el comando:
#obtener resumen de túnel ipsec vpn
‘to10.174.0.182’ 10.174.0.182:0 selectores(total,up): 1/1 rx(pkt,err): 1921/0 tx(pkt,err): 69/2
‘ to10 .189.0.182′ 10.189.0.182:0 selectores (total, ascendente): 1/0 rx (paquete, error): 0/0 tx (paquete, error): 0/0
En la salida particular, se ven dos túneles VPN, to10.174.0.182 y to10.189.0.182. El segundo túnel VPN de la lista tiene sus selectores en un estado inactivo, por lo que el foco estará en ese túnel.
2) Comprobaciones de la fase 1
Una vez que se haya identificado el túnel problemático, será posible comprender el estado de la fase 1.
Para hacerlo, escriba el siguiente comando:#diagnose vpn ike gateway list name to10.189.0.182
vd: root/0
name: to10.189.0.182
version: 1
interface: port9 10
addr: 10.189.0.31:500 -> 10.189.0.182:500
created: 15s ago
IKE SA: creado 1/1
IPsec SA: creado 0/0id/spi: 19576 a83334b3c66f871b/0000000000000000
dirección: respondedor
estado: conectando, estado 3, iniciado hace 15 s
El campo importante de este comando en particular es el estado. El campo de estado tiene una salida discreta que puede conectarse o establecerse.
1) Establecido significa que la Fase 1 está funcionando
2) Conexión significa que la Fase 1 está inactivaSi la Fase 1 está inactiva, realice comprobaciones adicionales para identificar el motivo.
– Asegúrese de que exista conectividad bidireccional entre las puertas de enlace VPN.
Intente rastrear la ruta hacia el par VPN, en nuestro ejemplo, use los comandos:#ejecutar traceroute-options fuente 10.189.0.31
#ejecutar traceroute 10.189.0.182-Confirme que el tráfico IKE para el puerto 500 o 4500 no esté bloqueado en algún lugar a lo largo de la ruta.
Para ello, realice un rastreador de paquetes:#diagnostique el paquete del rastreador cualquier ‘host 10.189.0.182 y puerto 500’ 4 0 l
interfaces=[cualquiera]
filtros=[host 10.189.0.182 y puerto 500]– Depuración de IKE
Si las dos verificaciones anteriores son exitosas, comience a depurar el protocolo IKE para verificar posibles discrepancias de configuración entre los pares:#diagnose vpn ike log-filter dst-addr4 10.189.0.182
#diagnose debug application ike -1
#diagnose debug enable3) Comprobaciones de la Fase 2
Si el estado de la Fase 1 está establecido, céntrese en la Fase 2. Para hacerlo, emita el comando:
#diagnose vpn tunnel list name 10.189.0.182
list all ipsec tunnel in vd 0
name=to10.189.0.182 ver=1 serial=2 10.189.0.31:0->10.189.0.182:0bound_if=10
lgwy=static/1 tun =intf/0 mode=auto/1 encap=none/8 options[0008]=npu
proxyid_num=1 child_num=0 refcnt=10 ilast=25 olast=25 ad=/0
stat: rxp=0 txp=0 rxb=0 txb=0
dpd: mode=on-demand on=0 inactivo=20000ms retry=3 count=0 seqno=534
natt: mode=none draft=0 interval=0 remote_port=0
proxyid=to10.189.0.182 proto=0 sa =0 ref=1 serial=4
src: 0:172.16.170.0/255.255.255.0:0
dst: 0:192.168.50.0/255.255.255.0:0El campo importante de la salida particular es »sa». SA puede tener tres valores:
a) sa=0 indica que no hay coincidencia entre los selectores o que no se inicia ningún tráfico
b) sa=1 indica que IPsec SA coincide y hay tráfico entre los selectores
c) sa=2 solo es visible durante IPsec Cambio de clave de SAPor último, puede haber casos en los que los algoritmos de cifrado y hash en la Fase 2 también no coincidan.
Para identificar este tipo de errores, ejecute la depuración de IKE como se describió anteriormente.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!