Wie man einen Fall auf IPSec (VPN) Probleme öffnet

Erfahren Sie, wie Sie vorläufige Informationen sammeln, die vom Technical Assistance Center (TAC) benötigt werden, um mit der Arbeit an IPSec (VPN) Problemen zu beginnen. Es gibt mehrere Daemons, die für die Aushandlung und Installation eines IPSec-Tunnels auf der Managementebene sowie auf dem Daten Flugzeug verantwortlich sind.

Management Plane

• ikemgr: verantwortlich für die Verhandlungen Phase 1 und Phase 2
• keymgr: verantwortlich für die Aktualisierung der SPI-Tabelle für alle konfigurierten Tunnel nach ikemgr-Verhandlungen.

Dataplane

• mprelay: verantwortlich für die assoziieren der richtigen SPIs, die von keymgr in den entsprechenden Tunnel gewonnen werden.

IPSec-Tunnel Status-Fenster, das über das WEBGUI > Netzwerk > IPSec-Tunnel abgerufen werden kann.

In diesem Fenster sehen Sie den Status aller IPSec-VPN-Tunnel, die Sie auf dieser Firewall konfiguriert haben.

IPSec-Tunnel Status-Fenster, das sowohl den P1 als auch den P2-Status jedes Tunnels auf diesem Gerät anzeigt.

Detail des zweiten Teils desselben Fensters, der den IPSec-Tunnel Status anzeigt.

Im folgenden finden Sie Beispiele für IPSec-Probleme und Informationen, die in jedem Szenario benötigt werden:

Phase 1 nach unten

Bitte führen Sie die folgenden Schritte durch, während das Problem stattfindet, und wenn möglich, während die PA-Firewall die Responder ist (IKE-Session, die vom Peer-Gerät initiiert wird). Bitte beachten Sie, dass die Aktivierung von debugs auf ikemgr und mprelay die CPU-Auslastung erhöhen kann.

1. Können Sie Remote Peer IP Ping?
2. Gibt es irgendwelche Bestimmungen, die IKE blockieren?
3. > Test-Routing FIB-Lookup Virtual- <vr-name>Router < remote="" peer="" ip=""> IP</vr-name>
4. Nehmen Sie IKE pcap auf der Management-Ebene. Diese Erfassung wird die Kontroll Plane Pakete zwischen den Gleichaltrigen übertragen werden, um den Tunnel zu etablieren.
   > Debug IKE pcap DELETE
   > Debug IKE pcap on

5.  Debugs auf ikemgr aktivieren

   > Ike global auf Debug Debuggen
6. Aktivieren Sie debugs auf mprelay
   > Debug mprelay auf Debug
7. Nehmen Sie eine Paket Aufnahme auf dem datenflugzeug für den IKE-Verkehr. Richten Sie die Paketfilter ein, um den Verkehr zu erfassen, der für die IP-Adresse des Peer-Geräts über Port 500
   beginnt: Paket Erfassung
8. Den Tunnel vom Peer-Gerät aus initiieren.
9. > zeigen Uhr
10. > Counter Global Filter Delta ja Packet-Filter Ja (führen Sie diesen Befehl mehrmals aus)
11. > Session alle Filter Quelle <value>Ziel <value>Anwendung IKE
    oder
    > Session alle Filter Quelle Zielziel <value> <value>-Port 500
    > Show Session ID <value></value> </value> </value> </value> </value>
12. > VPN IKE-SA Detail Gateway anzeigen <name>(wenn Sie Pan-OS 7. x und höher laufen)
    > VPN IKE-SA Gateway <name></name> anzeigen </name>
13. Deaktivieren Sie debugs und pcaps auf der Management
    -Ebene > Debug dataplane-Paket-Diag Set Capture off
    > Debug IKE pcap off
    > Debug IKE Global auf Normal
    > Debug mprelay on Info
14. Exportieren Sie die IKE pcap und befestigen Sie Sie an den Case
    > SCP Export Debug-pcap von ikemgr. pcap, um
15. Befestigen Sie die Paket Aufnahme von der Management-Ebene sowie von der Datenebene an den Fall.
16. Generieren Sie eine Tech-Support-Datei und befestigen Sie Sie an den Fall,
    wie Sie eine Tech-Support-Datei mit dem WebGui und CLI generieren und hochladen
17. Bitte geben Sie den genauen Zeitpunkt der Ausgabe an.
18. Stellen Sie die Peer-Device-IPSec-Konfiguration zur Verfügung, damit wir Sie vergleichen können (wenn das Peer-Gerät eine PA ist, wiederholen Sie bitte die oben genannten Schritte).

Phase 2 Down

Bitte führen Sie die folgenden Schritte durch, während das Problem passiert, und wenn möglich, während die PA-Firewall der Responder ist. Bitte beachten Sie, dass die Aktivierung von debugs auf ikemgr und mprelay die CPU-Auslastung erhöhen kann.

1. Gibt es irgendwelche Bestimmungen, die IPSec-ESP oder IPSec-ESP-UDP blockieren?
2. Nehmen Sie IKE pcap auf der Management-Ebene. Diese Erfassung wird die Kontroll Plane Pakete zwischen den Gleichaltrigen übertragen werden, um den Tunnel zu etablieren.
   > Debug IKE pcap DELETE
   > Debug IKE pcap on
3. Aktivieren Sie Debug auf ikemgr
   > Debug IKE Global auf Debug
4. Aktivieren Sie Debug auf mprelay
   > Debug mprelay auf Debug
5. Starten Sie den Verkehr aus dem Peer-Gerät.
6. > zeigen Uhr 
7. > Session alle Filter Quelle <value>Destination <value>Anwendung IPSec-ESP
   > Show Session alle Filter Source <value>Destination <value>Anwendung IPSec-ESP-UDP > Show Session ID <value></value> </value> </value> </value> </value>
8. > VPN IPSec-SA Tunnel <tunnel-name>
   > VPN Flow Tunnel-ID <tunnel-id from="" previous="" command=""></tunnel-id> anzeigen </tunnel-name>
9. Deaktivieren Sie debugs und pcaps auf der Managementebene.
   > Debug IKE pcap off
   > Debug IKE Global auf Normal
   > Debug mprelay on Info
10. Exportieren Sie die IKE pcap und befestigen Sie Sie an den Case
    > SCP Export Debug-pcap von ikemgr. pcap, um
11. Befestigen Sie die Paket Aufnahme von der Verwaltungsebene an den Fall.
12. Generieren Sie eine Tech-Support-Datei und befestigen Sie Sie an den Fall,
    wie Sie eine Tech-Support-Datei mit dem WebGui und CLI generieren und hochladen
13. Bitte geben Sie den genauen Zeitpunkt der Ausgabe an.
14. Stellen Sie die Peer-Device-IPSec-Konfiguration zur Verfügung, damit wir Sie vergleichen können (wenn das Peer-Gerät eine PA ist, wiederholen Sie bitte die oben genannten Schritte).

Warum brauchen wir diese Informationen?

Damit Phase 1 und Phase 2 kommen, sollten IKE und ESP-Sessions eingerichtet werden. Die oben genannten Informationen werden uns überprüfen lassen, ob IKE und ESP-Pakete empfangen und übermittelt werden. Es ist wichtig, die oben genannten Schritte durchzuführen, während die PA-Firewall der Responder ist, da dies uns eine nützliche Information für die Fehlerbehebung bieten wird.

• Tunnel ist oben, aber der Verkehr ist nicht vorbei
  1. Nehmen Sie eine Paket Aufnahme des interessanten Verkehrs.
     Getting Started: Paketerfassung
  2. Den Verkehr einleiten.
  3. > zeigen Uhr
  4. > Counter Global Filter Delta ja Packet-Filter Ja (führen Sie diesen Befehl mehrmals aus)
  5. > Session alle Filter Quelle <value>Ziel <value>
     > Session-ID <value></value> anzeigen </value> </value>
  6. > VPN IPSec-SA Tunnel <tunnel-name>
     > Show VPN Flow Tunnel-ID <tunnel-id from="" previous="" command="">(führen Sie diesen Befehl mehrmals)</tunnel-id> </tunnel-name>
     

     admin @ PA-5060 > VPN IPSec-SA Tunnel SAP-SAP anzeigen 
     
     GwID/Client IP TnID Peer-Address Tunnel (Gateway) Algorithmus SPI (in) SPI (Out) Leben (SEC/KB)
     --------------- ---- ------------           ---------------                                ---------     -------  -------- ------------
                  90 207 10.1.1.1 SAP-SAP (SAP) ESP/3DES/SHA1 8AE5524F B198C409 25978/0
     
     Anzeige IPSec SA: insgesamt 1 Tunnel gefunden 1 IPSec SA gefunden.
     
     admin @ PA-5060 > VPN Flow Tunnel-ID 207 anzeigen
     
     Tunnel SAP-SAP
             ID: 207
             Typ: IPSec
             Gateway ID: 90
             lokale IP: 10.1.1.2
             Peer IP: 10.1.1.1
             innere Schnittstelle: Tunnel. 10 
             äußere Schnittstelle: Ethernet1/21
             Staat: aktiv
             Session: 145372
             Tunnel MTU: 9128
             Lebensdauer bleiben: 25935 sec
             neuester Rekey: 2865 Sekunden vor
             Monitor: Off
             Monitor-Pakete gesehen: 0
             Monitor Pakete Antworten: 0
             en/decap context: 23       
             lokales SPI: 8AE5524F
             Remote SPI: B198C409
             Schlüsseltyp: Autoschlüssel
             Protokoll: ESP
             auth-Algorithmus: SHA1
             ENC-Algorithmus: 3DES
             Proxy-ID Local IP: 0.0.0.0/0
             Proxy-ID Remote IP: 0.0.0.0/0
             Proxy-ID-Protokoll: 0  
             Proxy-ID Local Port: 0   
             Proxy-ID Remote Port: 0
             Anti-Replay-Check: Nein
             Copy TOS: Nein
             Authentifizierungsfehler: 0
             Entschlüsselungs Fehler: 0
             innen Paket Warnungen: 0
             Wiederholungs Pakete: 0
             Pakete erhalten 
               Wenn die Lebensdauer abgelaufen ist: 0
               Wenn die Lebensgröße abgelaufen ist: 0
             Sendesequenz: 0
             Sequenz erhalten: 0
             ENCAP-Pakete: 387833
             decap-Pakete: 1483008
             ENCAP bytes: 71262032
             decap bytes: 2107755408
             Key erwirbt Anfragen: 12
             Eigentümer Staat: 0
             Besitzer CPUID: s1dp0
             Besitz: 1
      
     

  7. Bestätigen, dass es eine Route gibt, um den Verkehr in den Tunnel zu schicken.
     > Test-Routing FIB-Lookup Virtual- <vr-name>Router < destination="" ip="" behind="" remote="" peer=""> IP</vr-name>
  8. Generieren Sie eine Tech-Support-Datei und befestigen Sie Sie an dem Fall
     https://Live.paloaltonetworks.com/T5/Featured-Articles/How-to-Generate-and-Upload-a-Tech-Support-file-using-the-WebGui/Ta-p/60757
  9. Geben Sie den genauen Zeitpunkt der Ausgabe an.

   

  • Warum brauchen wir diese Informationen?

   

  Wenn der Verkehr nicht über den IPSec-Tunnel führt, müssen wir herausfinden, ob das Problem darin besteht, den Verkehr zu übertragen (zu verschlüsseln) oder den Verkehr zu empfangen (zu entschlüsseln). Die obigen Befehle werden die Zähler ENCAP und decap-Pakete zur Verfügung stellen, die uns helfen, das Problem zu verringern.

   

  • Leistungs Fragen:

  Bitte führen Sie die folgenden Schritte durch, während das Problem passiert.

  1. Nehmen Sie eine Paket Aufnahme des interessanten Verkehrs.
     Getting Started: Paketerfassung
  2. > Dataplane Pool Statistiken zu debuggen
  3. > Counter Global Filter Delta ja Packet-Filter Ja (mehrmals laufen)
  4. > Lauf Ressource anzeigen-Monitor Second Last 5 (mehrmals laufen)
  5. > Debug dataplane Pow Performance (mehrmals laufen)
  6. > VPN IPSec-SA Tunnel <name>
     > VPN Flow Tunnel-ID anzeigen (mehrmals laufen) </name>
  7. Generieren Sie eine Tech-Support-Datei und befestigen Sie Sie an den Fall,
     wie Sie eine Tech-Support-Datei mit dem WebGui und CLI generieren und hochladen
  8. Geben Sie den genauen Zeitpunkt der Ausgabe an.

   

  • Warum brauchen wir diese Informationen?

  Die obigen Schritte werden uns helfen, die Belastung der PA während der Zeit des Problems zu verstehen, und wenn es irgendwelche Fehler im IPSec-Tunnel gibt.

  • Hilfreiche KB Artikel
    1. CLI-Befehle zum Status, löschen, restaurieren und ÜberWachen einer IPSEC VPN Tunnel
    2. IPSec VPN-Fehler: IKE Phase-2-Verhandlung ist als Initiator, Quick-Modus gescheitert
    3. Gewusst wie: Problembehandlung bei IPSec-VPN-Verbindungsprobleme
    4. VPN-Tunnel Verkehr Kapselung inkrementieren, aber keine Decaps

   

--Alaauddin Shieha (ashieha)