Sugerencia para la resolución de problemas: Conectividad de túnel ipsec site to site

Descripción
Este artículo describe cómo solucionar problemas básicos del túnel IPsec y comprender cómo recopilar los datos requeridos por TAC para investigar los problemas de VPN.

Proceso responsable de negociar fase-1 y fase-2: ‘IKE’.

Use los siguientes pasos para ayudar a resolver un túnel VPN que no está activo o que pasa tráfico.

Solución
Paso 1: ¿Qué tipo de túnel tiene problemas?

FortiOS admite:
– VPN de sitio a sitio.
– VPN de acceso telefónico.

Paso 2: ¿Está el estado de la fase 2 ‘ARRIBA’?

– No (SA=0) – Continúe con el Paso 3.
– Sí (SA=1) – Si el tráfico no está pasando, – Vaya al Paso 6.
– Flapping – SA está oscilando entre el estado ‘UP’ y ‘Down’ – Saltar al Paso 7.

¿Cómo identificar si la Fase 2 es ‘ARRIBA’ o ‘Abajo’?

El estado de la fase 2 se puede encontrar tanto desde la GUI como desde la línea de comandos.

Desde GUI:

cuando Phase2 está inactivo:


Cuando Phase2 está ARRIBA:
 
Desde CLI:

# Ejecute el comando ‘ # diagnose vpn tunnel list name <phase2-name>  <—– Para ver el estado de fase2 para un túnel específico.     

[‘ # diagnose vpn tunnel list ‘, también se puede ejecutar para ver el estado de la fase 2 de todos los túneles].
Cuando Phase2 está inactivo:
 
 

Cuando Phase2 está ARRIBA:
 
Paso 3: ¿Está activa la Fase 1 de IKE?

No (Estado – ‘Conectando’) – Continúe con el Paso 4.
Sí (Estado – ‘Establecido’) – Vaya al Paso 5.

Ejecute el comando ‘ # diagnose vpn tunnel list name <phase2-name>‘ <—– Para ver el estado de la fase 2 de un túnel específico.      

[‘ # diagnose vpn tunnel list ‘, también se puede ejecutar para ver el estado de la fase 2 de todos los túneles].
 
Cuando Phase1 está inactivo:
 
 

Cuando Phase1 está ARRIBA:
 
 
 
 
Paso 4: analice los mensajes de la fase 1 de IKE en el respondedor para encontrar una solución. [Fase 1 no arriba].

La mejor manera de solucionar los problemas de la Fase 1 de IKE es revisar los mensajes de estado de la VPN en el firewall del respondedor.

El respondedor es el lado del ‘receptor’ de la VPN que recibe las solicitudes de configuración del túnel.
El iniciador es el lado de la VPN que envía las solicitudes iniciales de configuración del túnel.

Artículos relacionados  Autenticar a los usuarios remotos y locales con un solo grupo

Lista de verificación:

1) ¿Hay algún otro dispositivo aguas arriba del cortafuegos?
2) ¿La puerta de enlace VPN está configurada para usar la interfaz de salida correcta?  
3) ¿La IP remota está configurada correctamente?
3) Ejecute la captura de paquetes en la interfaz de salida y confirme que es posible ver el tráfico del par remoto. De lo contrario,  

asegúrese de que el tráfico IKE en el puerto 500/4500 esté permitido en el dispositivo de red conectado en sentido ascendente.

La captura de paquetes se puede ejecutar desde CLI o GUI:

GUI:

 
 

CLI:

# diagnose sniffer packet any ‘<remote-peer-ip> and port (500 or 4500)’ 6 0 l , control + c para detener

4) Si es posible ver el tráfico en el puerto 500/4500, siga los pasos a continuación para solucionar este problema:

a) Ejecute los siguientes comandos (en el receptor) para capturar los registros de IKE e iniciar el túnel/tráfico desde el extremo remoto.

# diagnose debug console timestamp enable  
# diagnose debug application Ike -1
# diagnose debug enable 

Nota: intente ejecutar la captura de paquetes y los registros al mismo tiempo.  
Si VDOM está habilitado, asegúrese de estar en el contexto de VDOM y luego ejecute los comandos anteriores.

Paso 5: Phase1 se ha establecido pero Phase2 está inactivo.

Lista de verificación:

1) Confirme si los algoritmos de cifrado y hashing coinciden tanto en el receptor como en el iniciador.
2) Verifique si PFS está habilitado; en caso afirmativo, asegúrese de que la configuración coincida en ambas unidades.
3) Asegúrese de que los selectores de modo rápido (tráfico interesante) coincidan en ambas unidades.
4) Si la Fase 2 aún no está activa, ejecute la captura de paquetes en el puerto 500/4500 y ejecute los siguientes comandos,

# diagnose vpn ike gateway list (or diagnose vpn ike gateway list name <tunnel-name>)
# diagnose debug console timestamp enable
# diagnose debug application ike -1
# diagnose debug enable   

Nota: si VDOM está habilitado, asegúrese de estar en el contexto de VDOM y luego ejecute los comandos anteriores.

La captura de paquetes se puede recopilar como se muestra a continuación:

 
Paso 6: Phase2 está activa pero el tráfico no pasa.

Artículos relacionados  Cambios en las búsquedas de SDNS y Webfilter

Una vez que el túnel esté activo, el tráfico se encapsulará en el protocolo ESP (Encapsulating Security Payload) y se enviará al par remoto.

Lista de verificación:

1) Asegúrese de que el selector de modo rápido definido en la Fase 2 esté configurado correctamente para permitir el flujo de tráfico que tiene el problema.

Por ejemplo:

la Fase 2 definida a continuación permite el tráfico entre – 192.168.1.0/24 y 192.168.2.0/24.

 
 

Supongamos que la dirección IP de la PC que tiene el problema es 10.10.100.100/24.
Si esta PC está tratando de llegar a cualquier host en la red 192.168.2.0/24, FortiGate eliminará este tráfico porque el selector de modo rápido de fase 2 no incluye esta red de origen.

2) Verifique las políticas de IPv4 y confirme:

a) Si hay una política definida para este flujo de tráfico.
b) Si hay direcciones de origen y destino definidas, asegúrese de que esté configurado para permitir este flujo de tráfico.

3) Si el problema persiste:

a) Habilite la captura de paquetes para la dirección IP del par remoto y establezca el protocolo en 50 (ESP).

 

b) Abra dos sesiones SSH y ejecute los siguientes comandos:

Sesión SSH 1:

# diagnose  debug  console timestamp  enable  
# diagnose  debug  flow filter addr <destination-IP>
# diagnose  debug  flow filter proto <1 or 17 or 6>  (optional)  where 1=ICMP, 6 = TCP, 17 = UDP…
# diagnose  debug  flow  show iprope enable
# diagnose  debug  flow  trace start 1000

Tenga en cuenta que también se pueden usar otros números de protocolo, por ejemplo, OSPF (89).

SSH Sesión 2:

# diagnose  vpn tunnel list  (or # diagnose vpn tunnel list name <phase2_tunnel_name>  ).

Nota: si VDOM está habilitado, asegúrese de que no esté en el contexto de VDOM y luego ejecute el comando anterior.

Asegúrese de recopilar la captura de paquetes y los registros mencionados anteriormente alrededor de la misma y adjúntelos a las actualizaciones del caso de Fortinet.

Junto con esta información, adjunte la topología de la red (si corresponde). 
Con esta información, TAC intentará descifrar el tráfico ESP en Wireshark.
Si el par remoto también es FortiGate, tome la captura de paquetes en esta unidad también, lo que asegurará que esta unidad recibió el tráfico cifrado o si se perdió en el medio.

Paso 7: Solucione los problemas de la VPN IPsec que está fallando.

Artículos relacionados  Creación de un enlace redundante

Lista de verificación:

1) ¿El problema afecta a una VPN o a todas las VPN configuradas?

a) Si todos los túneles VPN están afectados:
– Verifique la conexión a Internet.
– Ejecute el siguiente comando para encontrar errores/registros asociados con el firewall/interfaz.

# diagnose debug crashlog read
# diagnose sys top 2  50, control + c to stop (run for 5 iterations)
# get system performance status
# diagnose hardware sysinfo conserve
# diagnose hardware deviceinfo  nic <interface-name>  
#  execute tac report

Nota: si VDOM está habilitado, asegúrese de que no esté en el contexto global y luego ejecute los comandos anteriores.

b) Si solo un túnel está aleteando:
– Recopile el registro de ‘Eventos VPN’ como se muestra a continuación:

 
 

c) ¿La VPN fue estable durante un período de tiempo y ahora sube y baja?

– Sí – Investigue si hay cambios en la red o en la unidad o si se ha agregado algún nuevo equipo de red al entorno. Si es así, confirme que los cambios/adiciones son correctos.
– No, recopile registros y captura de paquetes como se menciona en el Paso 4.

Asegúrese de recopilar la captura de paquetes y todos los registros mencionados anteriormente alrededor del mismo y adjúntelos a las actualizaciones del caso de Fortinet.

Junto con esta información, adjunte la topología de la red (si corresponde). Con esta información, TAC investigará este problema.

Paso 8: Los registros se recopilarán y adjuntarán al caso del TAC.

Lista de verificación:

Sesión 1 de SSH:

# diagnose debug console timestamp enable  
# diagnose debug application Ike -1
# diagnose debug enable

SSH Sesión 2:

# diagnose debug crashlog read
# diagnose sys top 2  50, control + c to stop (run for 5 iterations)
# get system performance status
# diagnose hardware sysinfo conserve
# diagnose hardware deviceinfo  nic <interface-name>  
# diagnose vpn ike gateway list
# diagnose vpn tunnel list
#  execute tac report

Primera captura de paquetes: tráfico IKE en los puertos 500/4500.

 
 

 

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *