Clever Geek Handbook

Cara memecahkan masalah VPN IPsec domestik. Bagian 1





Situasi



Keluaran. Saya minum kopi. Siswa mengatur koneksi VPN antara dua titik dan menghilang. Saya memeriksa: terowongan itu benar-benar ada, tetapi tidak ada lalu lintas di terowongan. Siswa tidak menjawab panggilan.



Saya menyalakan ketel dan terjun ke pemecahan masalah C-Terra Gateway. Saya berbagi pengalaman dan metodologi saya.



Data awal



Dua situs yang terpisah secara geografis dihubungkan oleh terowongan GRE. GRE perlu dienkripsi:







Memeriksa apakah terowongan GRE berfungsi. Untuk melakukan ini, saya melakukan ping dari perangkat R1 ke antarmuka GRE dari perangkat R2. Ini adalah lalu lintas yang ditargetkan untuk enkripsi. Tidak ada Jawaban: 



root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057ms


Saya melihat log di Gate1 dan Gate2. Log dengan senang hati melaporkan bahwa terowongan IPsec telah berhasil naik, tidak masalah: 



root@Gate1:~# cat /var/log/cspvpngate.log
Aug  5 16:14:23 localhost  vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter 
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1


Dalam statistik terowongan IPsec di Gate1, saya melihat bahwa terowongan itu benar-benar ada, tetapi penghitung Rcvd menjadi nol: 



root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0


Saya memecahkan masalah C-Terra seperti ini: Saya mencari di mana paket target hilang dalam perjalanan dari R1 ke R2. Dalam proses (spoiler) saya akan menemukan kesalahan.



Penyelesaian masalah



Langkah 1. Apa yang didapat Gate1 dari R1 Saya



menggunakan paket sniffer - tcpdump. Saya menjalankan sniffer pada antarmuka internal (Gi0 / 1 dalam notasi mirip Cisco atau eth1 dalam notasi OS Debian): 



root@Gate1:~# tcpdump -i eth1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64


Saya melihat bahwa Gate1 menerima paket GRE dari R1. Bergerak.



Langkah 2. Apa yang dilakukan Gate1 dengan paket GRE



Menggunakan utilitas klogview, saya dapat melihat apa yang terjadi dengan paket GRE di dalam driver C-Terra VPN: 



root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated


Saya melihat bahwa lalu lintas target GRE (proto 47) 172.16.0.1 -> 172.17.0.1 jatuh (PASS) di bawah aturan enkripsi LIST di peta crypto CMAP dan dienkripsi (dienkapsulasi). Paket tersebut kemudian dialihkan (pingsan). Tidak ada lalu lintas respons dalam keluaran klogview.



Memeriksa daftar akses pada perangkat Gate1. Saya melihat satu daftar akses LIST, yang menentukan lalu lintas target untuk enkripsi, yang berarti bahwa aturan ME tidak dikonfigurasi: 



Gate1#show access-lists
Extended IP access list LIST
    10 permit gre host 172.16.0.1 host 172.17.0.1


Kesimpulan: masalahnya bukan pada perangkat Gate1.



Lebih lanjut tentang



driver VPN klogview menangani semua lalu lintas jaringan, tidak hanya yang perlu dienkripsi. Pesan ini terlihat dalam klogview jika driver VPN memproses lalu lintas jaringan dan mengirimkannya tanpa enkripsi: 



root@R1:~# ping 172.17.0.1 -c 4


root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filtered


Saya melihat bahwa lalu lintas ICMP (proto 1) 172.16.0.1-> 172.17.0.1 tidak mendapatkan (tidak ada kecocokan) dalam aturan enkripsi peta crypto CMAP. Paket itu dirutekan (pingsan) dalam teks bersih.



Langkah 3. Apa yang diterima Gate2 dari Gate1 Luncurkan



sniffer pada antarmuka WAN (eth0) dari Gate2: 



root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140


Saya melihat bahwa Gate2 menerima paket ESP dari Gate1.



Langkah 4. Apa yang dilakukan Gate2 dengan paket ESP



Luncurkan utilitas klogview di Gate2: 



root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall


Saya melihat bahwa paket ESP (proto 50) dijatuhkan (DROP) oleh aturan (L3VPN) dari firewall. Saya memastikan bahwa daftar akses L3VPN benar-benar dilampirkan ke Gi0 / 0: 



Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 10.10.10.252/24
  MTU is 1500 bytes
  Outgoing access list is not set
  Inbound  access list is L3VPN


Saya menemukan masalahnya.



Langkah 5. Apa yang salah dengan daftar akses



Saya melihat apa daftar akses L3VPN: 



Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit icmp host 10.10.10.251 any


Saya melihat bahwa paket ISAKMP diizinkan, jadi terowongan IPsec dibuat. Tetapi tidak ada aturan permisif untuk ESP. Rupanya, siswa tersebut bingung dengan icmp dan esp.



Saya memperbaiki daftar akses: 



Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any


Langkah 6. Memeriksa fungsionalitas



Pertama-tama, pastikan daftar akses L3VPN sudah benar: 



Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit esp host 10.10.10.251 any


Sekarang saya meluncurkan lalu lintas yang ditargetkan dari perangkat R1: 



root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 ms


Kemenangan. Terowongan GRE telah didirikan. Penghitung lalu lintas masuk dalam statistik IPsec tidak nol: 



root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480


Di Gate2, dalam output klogview, muncul pesan bahwa lalu lintas target 172.16.0.1-> 172.17.0.1 berhasil (PASS) didekripsi (didekapsulasi) oleh aturan LIST di peta kripto CMAP: 



root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulated


Hasil



Pelajar merusak hari liburnya.

Hati-hati dengan aturan AKU.



Insinyur anonim

t.me/anonimous_engineer


More articles:


All Articles