Cómo abrir un caso en problemas de IPSec (VPN)

Aprenda a recopilar información preliminar requerida por el centro de asistencia técnica (TAC) para comenzar a trabajar en los problemas de IPSec (VPN). Hay varios daemons responsables de negociar e instalar un túnel IPSec en el plano de administración, así como en el plano de datos.

Plano de gestión

• ikemgr: responsable de la negociación de la fase 1 y la fase 2
• keymgr: responsable de la actualización de la tabla SPI para todos los túneles configurados después de las negociaciones de ikemgr.

Dataplane

• mprelay: responsable de asociar el Spis correcto Obtenido de keymgr al túnel correspondiente.

Ventana de estado del túnel IPSec, a la que se puede acceder desde el webgui > Network > túneles IPSEC.

Dentro de esa ventana, verá el estado de todos los túneles VPN IPSec que haya configurado en este cortafuegos.

Ventana de estado del túnel IPSec que muestra el estado P1 y P2 de cada túnel de este dispositivo.

Detalle de la segunda parte de la misma ventana que muestra el estado del túnel IPSec.

A continuación se muestran ejemplos de problemas e información de IPSec necesarios en cada escenario:

Fase 1

Realice los pasos siguientes mientras el problema está sucediendo y, si es posible, mientras que el cortafuegos PA es el respondedor (la sesión IKE se inicia desde el dispositivo peer). Tenga en cuenta que habilitar los desbugs en ikemgr y mprelay podría aumentar la utilización de la CPU.

1. ¿Puede hacer ping IP remoto peer?
2. ¿Hay alguna negación de todas las reglas de bloqueo de IKE?
3. > enrutamiento de prueba FIB-búsqueda virtual- <vr-name>router < remote="" peer="" ip=""> IP</vr-name>
4. Lleva a IKE pcap al avión de administración. Esta captura tendrá los paquetes de plano de control transferidos entre los pares para establecer el túnel.
   > debug IKE pcap Delete
   > Debug IKE pcap on

5.  Activar desbugs en ikemgr

   &gt; depurar ike global de depuración
6. Activar desbugs en mprelay
   > Debug mprelay en Debug
7. Tome una captura de paquetes en el plano de datos para el tráfico IKE. Configurar los filtros de paquetes para capturar el tráfico destinado a la dirección IP del dispositivo peer sobre el puerto 500
   Introducción : captura de paquetes
8. Inicie el túnel desde el dispositivo del mismo nivel.
9. &gt; Mostrar reloj
10. > Mostrar contador global filtro Delta sí paquete-filtro sí (ejecutar este comando varias veces)
11. > Mostrar sesión todo el origen <value> <value>del filtro aplicación
    de destino IKE o
    > Mostrar sesión todo el origen del filtro destino destino <value> <value>-Puerto 500
    > Mostrar ID <value></value> de sesión </value> </value> </value> </value>
12. > Mostrar VPN IKE-SA detalle Gateway <name>(si usted está ejecutando pan-os 7. x y superior)
    > Mostrar VPN IKE-SA Gateway <name></name> </name>
13. Desactivar debugs y pcaps en plano de gestión
    > paquete de plan de datos de depuración-Diag conjunto capturar apagado
    > Debug IKE pcap OFF
    > Debug IKE global en normal
    > Debug mprelay en info
14. Exportar el IKE pcap y adjuntarlo al caso
    > SCP Export Debug-pcap de ikemgr. pcap a
15. AdJunte la captura de paquetes desde el plano de administración, así como desde el plano de datos al caso.
16. Generar un archivo de soporte técnico y adjuntarlo al caso de
    Cómo generar y cargar un archivo de soporte técnico utilizando el webgui y CLI
17. Por favor especifique la hora exacta del problema.
18. Proporcione la configuración IPSec del dispositivo peer para que podamos compararla (si el dispositivo peer es un PA, repita los pasos anteriores).

Fase 2 abajo

Por favor, realice los pasos siguientes mientras el problema está sucediendo, y si es posible, mientras que el Firewall de PA es el respondedor. Tenga en cuenta que habilitar los desbugs en ikemgr y mprelay podría aumentar la utilización de la CPU.

1. ¿Hay alguna denegar todas las reglas de bloqueo de IPsec-ESP o IPsec-ESP-UDP?
2. Lleva a IKE pcap al avión de administración. Esta captura tendrá los paquetes de plano de control transferidos entre los pares para establecer el túnel.
   > debug IKE pcap Delete
   > Debug IKE pcap on
3. Activar debug en ikemgr
   > Debug IKE global en Debug
4. Habilitar debug en mprelay
   > Debug mprelay en Debug
5. Inicie el tráfico desde el dispositivo del mismo nivel.
6. &gt; Mostrar reloj 
7. > Mostrar sesión todo el origen <value> <value>del filtro aplicación de destino IPsec-ESP
   > Mostrar sesión todo el origen del filtro <value> <value>aplicación de destino IPsec-ESP <value></value> -UDP > Mostrar ID de sesión</value> </value> </value> </value>
8. > Mostrar VPN IPSec-túnel de SA <tunnel-name>
   > Mostrar túnel de flujo VPN <tunnel-id from="" previous="" command=""></tunnel-id> -ID </tunnel-name>
9. Apague las dechinches y pcaps en el plano de administración.
   > debug IKE pcap OFF
   > Debug IKE global en normal
   > Debug mprelay en info
10. Exportar el IKE pcap y adjuntarlo al caso
    > SCP Export Debug-pcap de ikemgr. pcap a
11. AdJunte la captura de paquetes del plano de administración al caso.
12. Generar un archivo de soporte técnico y adjuntarlo al caso de
    Cómo generar y cargar un archivo de soporte técnico utilizando el webgui y CLI
13. Por favor especifique la hora exacta del problema.
14. Proporcione la configuración IPSec del dispositivo peer para que podamos compararla (si el dispositivo peer es un PA, repita los pasos anteriores).

¿Por qué necesitamos esta información?

Para que la fase 1 y la fase 2 lleguen, se deben establecer sesiones IKE y ESP. La información anterior nos permitirá verificar que los paquetes IKE y ESP están siendo recibidos y transmitidos. Es importante realizar los pasos anteriores mientras que el servidor de seguridad PA es el respondedor, ya que esto nos proporcionará inforamtion útiles para la solución de problemas.

• Túnel está arriba, pero el tráfico no está pasando
  1. Toma una captura de paquetes del tráfico interesante.
     Primeros pasos: Captura de paquetes
  2. Inicien el tráfico.
  3. &gt; Mostrar reloj
  4. > Mostrar contador global filtro Delta sí paquete-filtro sí (ejecutar este comando varias veces)
  5. > Mostrar sesión todo el destino de origen del filtro <value> <value>
     > <value></value> Mostrar identificador de sesión </value> </value>
  6. > Mostrar VPN IPSec-túnel de SA <tunnel-name>
     > Mostrar túnel de flujo VPN-ID <tunnel-id from="" previous="" command="">(ejecutar este comando varias veces)</tunnel-id> </tunnel-name>
     

     admin @ PA-5060 > show VPN IPSec-SA túnel SAP-SAP 
     
     GwID/Client IP TnID peer-dirección Tunnel (Gateway) algoritmo SPI (in) SPI (out) Life (SEC/KB)
     --------------- ---- ------------           ---------------                                ---------     -------  -------- ------------
                  90 207 10.1.1.1 SAP-SAP (SAP) ESP/3DES/SHA1 8AE5524F B198C409 25978/0
     
     Mostrar IPSec SA: se encontraron 1 túneles totales. 1 se encontró IPSec SA.
     
     admin @ PA-5060 > Mostrar VPN túnel de flujo-ID 207
     
     túnel SAP-SAP
             ID: 207
             tipo: IPSec
             ID de Gateway: 90
             IP local: 10.1.1.2
             IP del par: 10.1.1.1
             interfaz interna: Tunnel. 10 
             interfaz externo: ethernet1/21
             Estado: activo
             sesión: 145372
             MTU del túnel: 9128
             duración: 25935 seg.
             últimas reintroducir: 2865 hace segundos
             monitor: OFF
             supervisar paquetes vistos: 0
             monitor de paquetes de respuesta: 0
             contexto en/DECAP: 23       
             local SPI: 8AE5524F
             telecontrol SPI: B198C409
             tipo dominante: llave auto
             Protocolo: ESP
             algoritmo de autenticación: SHA1
             algoritmo enc: 3DES
             IP local de proxy-ID: 0.0.0.0/0
             IP alejado del proxy-ID: 0.0.0.0/0
             Protocolo de ID de proxy: 0  
             puerto local de proxy-ID: 0   
             Puerto remoto proxy-ID: 0
             anti Replay check: no
             Copy tos: no
             errores de autenticación: 0
             errores de desencriptación: 0
             Advertencias de paquetes internos: 0
             reproducir paquetes: 0
             paquetes recibidos 
               Cuando la vida expiró: 0
               Cuando LifeSize expiró: 0
             secuencia de envío: 0
             secuencia de recepción: 0
             encap paquetes: 387833
             DECAP paquetes: 1483008
             encap bytes: 71262032
             DECAP bytes: 2107755408
             clave adquirir solicitudes: 12
             Estado del propietario: 0
             propietario CPUID: s1dp0
             propiedad: 1
      
     

  7. Confirme que hay una ruta para enviar el tráfico al túnel.
     > enrutamiento de prueba FIB-búsqueda virtual- <vr-name>router < destination="" ip="" behind="" remote="" peer=""> IP</vr-name>
  8. Generar un archivo de soporte técnico y adjuntarlo al caso
     https://Live.paloaltonetworks.com/T5/Featured-Articles/How-to-generate-and-upload-a-Tech-Support-File-Using-the-webgui/TA-p/60757
  9. Especifique la hora exacta del problema.

   

  • ¿Por qué necesitamos esta información?

   

  Si el tráfico no está pasando por el túnel IPSec, tendremos que averiguar si el problema es transmitir (cifrar) el tráfico o recibir (descifrar) el tráfico. Los comandos anteriores proporcionarán los contadores de paquetes encap y DECAP que nos ayudarán a reducir el problema.

   

  • Problemas de rendimiento:

  Por favor, realice los pasos siguientes mientras el problema está sucediendo.

  1. Toma una captura de paquetes del tráfico interesante.
     Primeros pasos: Captura de paquetes
  2. &gt; estadísticas de piscina dataplane de depuración
  3. > Mostrar contador global filtro Delta sí paquete-filtro sí (ejecutar varias veces)
  4. > Mostrar ejecutar recurso-monitor segundo último 5 (ejecutar varias veces)
  5. > depuración de los resultados del plan de Pow (ejecutar varias veces)
  6. > Mostrar VPN IPSec-túnel de SA <name>
     > Mostrar túnel de flujo VPN-ID (ejecutar varias veces) </name>
  7. Generar un archivo de soporte técnico y adjuntarlo al caso de
     Cómo generar y cargar un archivo de soporte técnico utilizando el webgui y CLI
  8. Especifique la hora exacta del problema.

   

  • ¿Por qué necesitamos esta información?

  Los pasos anteriores nos ayudarán a entender la carga en el PA durante el tiempo del problema, y si hay algún error en el túnel IPSec.

  • Artículos útiles en KB
    1. Comandos CLI para estado, borrar, restaurar y supervisar una VPN IPSEC Tunnel
    2. Error de VPN IPSec: se ha fallado la negociación IKE Phase-2 como iniciador, modo rápido
    3. Cómo solucionar problemas de IPSec VPN conectividad
    4. Túnel VPN tráfico encapsulado incremento pero no Decaps

   

--Alaauddin Shieha (ashieha)