Descripción
Este artículo describe cómo solucionar problemas básicos del túnel IPsec y comprender cómo recopilar los datos requeridos por TAC para investigar los problemas de VPN.
Proceso responsable de negociar fase-1 y fase-2: ‘IKE’.
Use los siguientes pasos para ayudar a resolver un túnel VPN que no está activo o que pasa tráfico.
Solución
Paso 1: ¿Qué tipo de túnel tiene problemas?
FortiOS admite:
– VPN de sitio a sitio.
– VPN de acceso telefónico.
Paso 2: ¿Está el estado de la fase 2 ‘ARRIBA’?
– No (SA=0) – Continúe con el Paso 3.
– Sí (SA=1) – Si el tráfico no está pasando, – Vaya al Paso 6.
– Flapping – SA está oscilando entre el estado ‘UP’ y ‘Down’ – Saltar al Paso 7.
¿Cómo identificar si la Fase 2 es ‘ARRIBA’ o ‘Abajo’?
El estado de la fase 2 se puede encontrar tanto desde la GUI como desde la línea de comandos.
Desde GUI:
cuando Phase2 está inactivo:
# Ejecute el comando ‘ # diagnose vpn tunnel list name <phase2-name> ‘ <—– Para ver el estado de fase2 para un túnel específico.
No (Estado – ‘Conectando’) – Continúe con el Paso 4.
Sí (Estado – ‘Establecido’) – Vaya al Paso 5.
Ejecute el comando ‘ # diagnose vpn tunnel list name <phase2-name>‘ <—– Para ver el estado de la fase 2 de un túnel específico.
La mejor manera de solucionar los problemas de la Fase 1 de IKE es revisar los mensajes de estado de la VPN en el firewall del respondedor.
Lista de verificación:
1) ¿Hay algún otro dispositivo aguas arriba del cortafuegos?
2) ¿La puerta de enlace VPN está configurada para usar la interfaz de salida correcta?
3) ¿La IP remota está configurada correctamente?
3) Ejecute la captura de paquetes en la interfaz de salida y confirme que es posible ver el tráfico del par remoto. De lo contrario,
asegúrese de que el tráfico IKE en el puerto 500/4500 esté permitido en el dispositivo de red conectado en sentido ascendente.
La captura de paquetes se puede ejecutar desde CLI o GUI:
GUI:
CLI:
# diagnose sniffer packet any ‘<remote-peer-ip> and port (500 or 4500)’ 6 0 l , control + c para detener
4) Si es posible ver el tráfico en el puerto 500/4500, siga los pasos a continuación para solucionar este problema:
a) Ejecute los siguientes comandos (en el receptor) para capturar los registros de IKE e iniciar el túnel/tráfico desde el extremo remoto.
# diagnose debug console timestamp enable
# diagnose debug application Ike -1
# diagnose debug enable
Nota: intente ejecutar la captura de paquetes y los registros al mismo tiempo.
Si VDOM está habilitado, asegúrese de estar en el contexto de VDOM y luego ejecute los comandos anteriores.
Paso 5: Phase1 se ha establecido pero Phase2 está inactivo.
Lista de verificación:
1) Confirme si los algoritmos de cifrado y hashing coinciden tanto en el receptor como en el iniciador.
2) Verifique si PFS está habilitado; en caso afirmativo, asegúrese de que la configuración coincida en ambas unidades.
3) Asegúrese de que los selectores de modo rápido (tráfico interesante) coincidan en ambas unidades.
4) Si la Fase 2 aún no está activa, ejecute la captura de paquetes en el puerto 500/4500 y ejecute los siguientes comandos,
# diagnose vpn ike gateway list (or diagnose vpn ike gateway list name <tunnel-name>)
# diagnose debug console timestamp enable
# diagnose debug application ike -1
# diagnose debug enable
Nota: si VDOM está habilitado, asegúrese de estar en el contexto de VDOM y luego ejecute los comandos anteriores.
La captura de paquetes se puede recopilar como se muestra a continuación:
Una vez que el túnel esté activo, el tráfico se encapsulará en el protocolo ESP (Encapsulating Security Payload) y se enviará al par remoto.
Lista de verificación:
1) Asegúrese de que el selector de modo rápido definido en la Fase 2 esté configurado correctamente para permitir el flujo de tráfico que tiene el problema.
Por ejemplo:
la Fase 2 definida a continuación permite el tráfico entre – 192.168.1.0/24 y 192.168.2.0/24.
Si esta PC está tratando de llegar a cualquier host en la red 192.168.2.0/24, FortiGate eliminará este tráfico porque el selector de modo rápido de fase 2 no incluye esta red de origen.
2) Verifique las políticas de IPv4 y confirme:
a) Si hay una política definida para este flujo de tráfico.
b) Si hay direcciones de origen y destino definidas, asegúrese de que esté configurado para permitir este flujo de tráfico.
3) Si el problema persiste:
a) Habilite la captura de paquetes para la dirección IP del par remoto y establezca el protocolo en 50 (ESP).
b) Abra dos sesiones SSH y ejecute los siguientes comandos:
Sesión SSH 1:
# diagnose debug console timestamp enable
# diagnose debug flow filter addr <destination-IP>
# diagnose debug flow filter proto <1 or 17 or 6> (optional) where 1=ICMP, 6 = TCP, 17 = UDP…
# diagnose debug flow show iprope enable
# diagnose debug flow trace start 1000
Tenga en cuenta que también se pueden usar otros números de protocolo, por ejemplo, OSPF (89).
SSH Sesión 2:
# diagnose vpn tunnel list (or # diagnose vpn tunnel list name <phase2_tunnel_name> ).
Nota: si VDOM está habilitado, asegúrese de que no esté en el contexto de VDOM y luego ejecute el comando anterior.
Asegúrese de recopilar la captura de paquetes y los registros mencionados anteriormente alrededor de la misma y adjúntelos a las actualizaciones del caso de Fortinet.
Paso 7: Solucione los problemas de la VPN IPsec que está fallando.
Lista de verificación:
1) ¿El problema afecta a una VPN o a todas las VPN configuradas?
a) Si todos los túneles VPN están afectados:
– Verifique la conexión a Internet.
– Ejecute el siguiente comando para encontrar errores/registros asociados con el firewall/interfaz.
# diagnose debug crashlog read
# diagnose sys top 2 50, control + c to stop (run for 5 iterations)
# get system performance status
# diagnose hardware sysinfo conserve
# diagnose hardware deviceinfo nic <interface-name>
# execute tac report
Nota: si VDOM está habilitado, asegúrese de que no esté en el contexto global y luego ejecute los comandos anteriores.
b) Si solo un túnel está aleteando:
– Recopile el registro de ‘Eventos VPN’ como se muestra a continuación:
– Sí – Investigue si hay cambios en la red o en la unidad o si se ha agregado algún nuevo equipo de red al entorno. Si es así, confirme que los cambios/adiciones son correctos.
– No, recopile registros y captura de paquetes como se menciona en el Paso 4.
Asegúrese de recopilar la captura de paquetes y todos los registros mencionados anteriormente alrededor del mismo y adjúntelos a las actualizaciones del caso de Fortinet.
Junto con esta información, adjunte la topología de la red (si corresponde). Con esta información, TAC investigará este problema.
Paso 8: Los registros se recopilarán y adjuntarán al caso del TAC.
Lista de verificación:
Sesión 1 de SSH:
# diagnose debug console timestamp enable
# diagnose debug application Ike -1
# diagnose debug enable
SSH Sesión 2:
# diagnose debug crashlog read
# diagnose sys top 2 50, control + c to stop (run for 5 iterations)
# get system performance status
# diagnose hardware sysinfo conserve
# diagnose hardware deviceinfo nic <interface-name>
# diagnose vpn ike gateway list
# diagnose vpn tunnel list
# execute tac report
Primera captura de paquetes: tráfico IKE en los puertos 500/4500.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!