Procédure d'Ouverture d'un dossier sur les problèmes IPSec (VPN)
Resolution
Apprenez à collecter les informations préliminaires requises par le centre d'Assistance technique (TAC) pour commencer à travailler sur les problèmes IPSec (VPN). Il existe plusieurs démons responsables de la négociation et l'installation d'un tunnel IPSec sur le plan de gestion ainsi que sur le plan de données.
Plan de gestion
- ikemgr: responsable de la négociation de la phase 1 et de la phase 2
- keymgr: responsable de la mise à jour de la table SPI pour tous les tunnels configurés après les négociations ikemgr.
Dataplane
- mprelay: responsable de l'association du SPIs correct obtenu de keymgr au tunnel correspondant.
Fenêtre d'état du tunnel IPSec, accessible depuis les tunnels IPSec de WebGUI > Network.
À l'intérieur de cette fenêtre, vous voyez l'état de tous les tunnels VPN IPSec que vous avez configurés sur ce pare-feu.
Fenêtre d'état du tunnel IPSec affichant l'état P1 et P2 de chaque tunnel de ce périphérique.
Détail de la deuxième partie de la même fenêtre affichant l'État du tunnel IPSec.
Voici des exemples de problèmes et d'informations IPSec nécessaires dans chaque scénario:
Phase 1 vers le bas
Effectuez les étapes ci-dessous pendant que le problème se produit, et si possible, alors que le pare-feu PA est le répondeur (session IKE lancée à partir du périphérique homologue). Veuillez noter que l'activation des débogues sur ikemgr et mprelay peut augmenter l'utilisation du processeur.
- Pouvez-vous ping Remote Peer IP?
- Y at-il nier toutes les règles bloquant IKE?
- > test routage FIB-Lookup Virtual-Router <vr-name>IP < remote="" peer="" ip=""> </vr-name>
- Emmenez IKE PCAP sur le plan de gestion. Cette capture aura les paquets de plan de contrôle transférés entre les pairs pour établir le tunnel.
> Debug IKE PCAP delete
> Debug IKE PCAP sur Activer les débogues sur ikemgr
> déboguer ike global sur debug- Activer les débogues sur mprelay
> Debug mprelay sur Debug - Prenez une capture de paquets sur le plan de données pour le trafic IKE. Configuration des filtres de paquets pour capturer le trafic destiné à l'adresse IP de l'appareil homologue sur le port 500
mise en route: capture de paquets - Lancez le tunnel à partir du périphérique homologue.
- > Afficher l’horloge
- > Show compteur global Filter Delta Oui paquet-filtre Oui (exécuter cette commande plusieurs fois)
- > Show session tous les filtres <value>source <value>application de destination IKE
ou
> Show session tous filtre source destination destination <value> <value>-port 500
> Show <value></value> session ID </value> </value> </value> </value> - > Show VPN IKE-sa Gateway de détail <name>(si vous exécutez Pan-OS 7. x et plus)
> Show VPN IKE-sa Gateway <name></name> </name> - Désactivez debugs and pcaps on Management plane
> Debug dataplane Packet-diag Set capture OFF
> Debug IKE PCAP OFF
> Debug IKE global on normal
> Debug mprelay on info - Exporter le PCAP IKE et l'attacher au cas
> SCP Export Debug-PCAP de ikemgr. PCAP à - Attachez la capture de paquet du plan de gestion aussi bien que du plan de données au cas.
- Générer un fichier de support technique et l'attacher au cas
Comment générer et télécharger un fichier de support technique en utilisant le WEBGUI et CLI - Veuillez spécifier l'heure exacte du problème.
- Fournissez la configuration IPSec de l'appareil homologue afin que nous puissions le comparer (si le périphérique homologue est un PA, répétez les étapes ci-dessus).
Phase 2 vers le bas
S'il vous plaît effectuer les étapes ci-dessous pendant que le problème se produit, et si possible, tandis que le pare-feu PA est le répondeur. Veuillez noter que l'activation des débogues sur ikemgr et mprelay peut augmenter l'utilisation du processeur.
- Y at-il refuser toutes les règles bloquant IPSec-ESP ou IPSec-ESP-UDP?
- Emmenez IKE PCAP sur le plan de gestion. Cette capture aura les paquets de plan de contrôle transférés entre les pairs pour établir le tunnel.
> Debug IKE PCAP delete
> Debug IKE PCAP sur - Activer debug sur ikemgr
> Debug IKE global sur Debug - Activer debug sur mprelay
> Debug mprelay sur Debug - Lancez le trafic à partir du périphérique homologue.
- > Afficher l’horloge
- > Show session tous filtre source <value> <value>application destination IPSec-ESP
> Show session tous filtre source <value> <value>application destination IPSec-ESP-UDP > Show session ID <value></value> </value> </value> </value> </value> - > Show VPN IPSec-sa tunnel <tunnel-name>
> Afficher VPN Flow tunnel-ID <tunnel-id from="" previous="" command=""></tunnel-id> </tunnel-name> - Désactivez les débogues et pcaps sur le plan de gestion.
> Debug IKE PCAP OFF
> Debug IKE global sur normal
> Debug mprelay sur info - Exporter le PCAP IKE et l'attacher au cas
> SCP Export Debug-PCAP de ikemgr. PCAP à - Attachez la capture de paquet du plan de gestion au cas.
- Générer un fichier de support technique et l'attacher au cas
Comment générer et télécharger un fichier de support technique en utilisant le WEBGUI et CLI - Veuillez spécifier l'heure exacte du problème.
- Fournissez la configuration IPSec de l'appareil homologue afin que nous puissions le comparer (si le périphérique homologue est un PA, répétez les étapes ci-dessus).
Pourquoi devons-nous cette information ?
Pour que la phase 1 et la phase 2 soient mises en place, les sessions IKE et ESP devraient être établies. Les informations ci-dessus nous permettront de vérifier que les paquets IKE et ESP sont reçus et transmis. Il est important d'effectuer les étapes ci-dessus tandis que le pare-feu PA est le répondeur, car cela nous donnera des inforamtion utiles pour le dépannage.
- Tunnel est en place, mais le trafic ne passe pas
- Prenez un paquet de capture du trafic intéressant.
Mise en route : La Capture des paquets - Lancez le trafic.
- > Afficher l’horloge
- > Show compteur global Filter Delta Oui paquet-filtre Oui (exécuter cette commande plusieurs fois)
- > Show session toute la source du filtre <value>destination <value>
> Show <value></value> session ID </value> </value> - > Show VPN IPSec-sa tunnel <tunnel-name>
> Afficher VPN Flow tunnel-ID <tunnel-id from="" previous="" command="">(exécuter cette commande plusieurs fois)</tunnel-id> </tunnel-name>admin @ PA-5060 > Show VPN IPSec-sa tunnel SAP-SAP GwID/client IP TnID Peer-Address tunnel (Gateway) algorithme SPI (in) SPI (out) Life (sec/KB) --------------- ---- ------------ --------------- --------- ------- -------- ------------ 90 207 10.1.1.1 SAP-SAP (SAP) ESP/3DES/SHA1 8AE5524F B198C409 25978/0 Afficher IPSec sa: total 1 tunnels trouvés. 1 IPSec sa trouvé. admin @ PA-5060 > Show VPN flux tunnel-ID 207 tunnel SAP-SAP ID: 207 type: IPSec ID Gateway: 90 adresse IP locale: 10.1.1.2 IP de l'homologue: 10.1.1.1 interface interne: tunnel. 10 interface externe: ethernet1/21 État: actif session: 145372 MTU tunnel: 9128 durée de vie: 25935 sec dernière recomposition: 2865 il ya quelques secondes Moniteur: désactivé surveiller les paquets vus: 0 surveiller les paquets réponse: 0 fr/Decap contexte: 23 SPI local: 8AE5524F SPI distant: B198C409 type de clé: clé automatique Protocole: ESP algorithme AUTH: SHA1 algorithme enc: 3DES IP local proxy-ID: 0.0.0.0/0 IP à distance proxy-ID: 0.0.0.0/0 proxy-ID Protocol: 0 proxy-ID port local: 0 port distant de proxy-ID: 0 anti Replay Check: non copier TOS: non Erreurs d'Authentification: 0 Erreurs de décryptage: 0 avertissements de paquets intérieurs: 0 rejouer les paquets: 0 paquets reçus Lorsque la durée de vie expirée: 0 Lorsque LifeSize expiré: 0 séquence d'envoi: 0 séquence de réception: 0 encap paquets: 387833 Decap paquets: 1483008 encap octets: 71262032 Decap octets: 2107755408 principales demandes d'acquisition: 12 État du propriétaire: 0 propriétaire CPUID: s1dp0 propriété: 1 - Confirmez qu'il y a un itinéraire pour envoyer le trafic dans le tunnel.
> test routage FIB-Lookup Virtual-Router <vr-name>IP < destination="" ip="" behind="" remote="" peer=""> </vr-name> - Générer un fichier de support technique et le joindre au cas
https://Live.paloaltonetworks.com/T5/featured-Articles/How-to-Generate-and-Upload-a-Tech-Support-file-using-the-WebGUI/ta-p/60757 - Indiquez l'heure exacte du problème.
- Pourquoi devons-nous cette information ?
Si le trafic ne passe pas par le tunnel IPSec, nous devrons savoir si le problème est de transmettre (chiffrer) le trafic ou de recevoir (décrypter) le trafic. Les commandes ci-dessus fourniront les compteurs de paquets de encap et de Decap qui nous aideront à rétrécir le problème vers le bas.
- Problèmes de performance:
Veuillez effectuer les étapes ci-dessous pendant que le problème se produit.
- Prenez un paquet de capture du trafic intéressant.
Mise en route : La Capture des paquets - > dataplane statistiques de pool de débogage
- > Show compteur global Filter Delta Oui paquet-filtre Oui (exécuter plusieurs fois)
- > afficher Running Resource-Monitor deuxième dernière 5 (exécuter plusieurs fois)
- > Debug dataplane Pow performance (exécuter plusieurs fois)
- > Show VPN IPSec-sa tunnel <name>
> Afficher VPN Flow tunnel-ID (exécuter plusieurs fois) </name> - Générer un fichier de support technique et l'attacher au cas
Comment générer et télécharger un fichier de support technique en utilisant le WEBGUI et CLI - Indiquez l'heure exacte du problème.
- Pourquoi devons-nous cette information ?
Les étapes ci-dessus nous aideront à comprendre la charge sur le PA pendant le temps de la question, et S'il ya des erreurs sur le tunnel IPSec.
- Articles utiles de KB
- Commandes CLI pour état, effacer, restaurer et surveiller un VPN IPSEC Tunnel
- Erreur VPN IPSec: la négociation de phase-2 de IKE est échouée en tant qu'initiateur, mode rapide
- Comment faire pour résoudre les problèmes IPSec VPN des problèmes de connectivité
- VPN Tunnel Encapsulation de trafic incrémentation mais aucun Decaps
- Prenez un paquet de capture du trafic intéressant.
--Alaauddin Shieha (ashieha)