IPSec (VPN) の問題のケースを開く方法
Resolution
テクニカルアシスタンスセンター (TAC) で必要な予備情報を収集して、IPSec (VPN) の問題の作業を開始する方法について説明します。データ面上だけでなく、管理面上の IPSec トンネルのネゴシエーションとインストールを担当する複数のデーモンが存在します。
管理面
- ikemgr: フェーズ1とフェーズ2の交渉を担当
- keymgr: ikemgr ネゴシエーション後に構成されたすべてのトンネルの SPI テーブルを更新する責任があります。
データ プレーン ・
- mprelay: keymgr から得られた正しい SPIs を対応するトンネルに関連付ける責任があります。
[WebGUI] > [ネットワーク] > [ipsec トンネル] からアクセスできる [ipsec トンネルの状態] ウィンドウ。
このウィンドウの内部には、このファイアウォールで構成したすべての IPSec VPN トンネルの状態が表示されます。
このデバイス上のすべてのトンネルの P1 および P2 ステータスの両方を示す IPSec トンネルステータスウィンドウ。
IPSec トンネルの状態を示す、同じウィンドウの2番目の部分の詳細。
以下は、各シナリオで必要とされる IPSec の問題と情報の例です。
フェーズ1ダウン
問題が発生している間に以下の手順を実行し、可能であれば、PA ファイアウォールが応答側 (ピアデバイスから開始されている IKE セッション) であることを確認してください。ikemgr と mprelay でデバッグを有効にすると、CPU 使用率が向上する可能性があることに注意してください。
- リモートピア IP を ping できますか?
- ike をブロックするすべてのルールが拒否されていますか。
- > テストルーティング fib ルックアップ仮想ルータの<vr-name>ip < remote="" peer="" ip=""> </vr-name>
- 管理面で IKE pcap を実行します。このキャプチャは、トンネルを確立するために、ピア間で転送されたコントロールプレーンのパケットを持つことになります。
> ike pcap のデバッグ
の削除 > ike pcap のデバッグ ikemgr でデバッグを有効にする
> ike デバッグ グローバル デバッグ- mprelay でデバッグを有効にする
> デバッグ時に mprelay をデバッグする - IKE トラフィックのデータプレーンのパケットキャプチャを実行します。ポート500経由でピアデバイスの IP アドレス宛てのトラフィックをキャプチャするようにパケットフィルタをセットアップする
はじめに: パケットキャプチャ - ピアデバイスからトンネルを開始します。
- > 時計を表示
- > カウンタグローバルフィルタデルタを表示するはいパケットフィルタはい (このコマンドを複数回実行します)
- > すべてのフィルタの送信元<value>の送信先アプリケーションを表示する<value>ike
または
> セッションを表示すべてのフィルタソース<value>の宛先宛先<value>-ポート 500
> セッション id <value></value>の表示</value> </value> </value> </value> - > vpn ike-sa 詳細ゲートウェイを表示<name>する (PAN-OS 6.x 以降を実行している場合)
> [vpn ike-sa <name></name>ゲートウェイを表示する]</name> - 管理面でデバッグと pcaps をオフにする
> デバッグ dataplane パケット-diag セットのキャプチャオフ > ike pcap のデバッグをオフにする >
ike のグローバルデバッグを通常どおり
> デバッグ mprelay 情報を オンにします。 - ike pcap をエクスポートして、ケース
> scp エクスポートデバッグ-pcap から ikemgr にアタッチします。pcap - データプレーンと同様に、管理平面からケースにパケットキャプチャを接続します。
- テクニカルサポートファイルを生成し、
WebGUI および CLI を使用してテクニカルサポートファイルを生成およびアップロードする方法をケースに添付します。 - 問題の正確な時刻を指定してください。
- ピアデバイスの IPSec 構成を比較できるようにします (ピアデバイスが PA の場合は、上記の手順を繰り返してください)。
フェーズ2ダウン
問題が起きている間は、以下の手順を実行してください, 可能であれば, PA のファイアウォールは、レスポンダである間. ikemgr と mprelay でデバッグを有効にすると、CPU 使用率が向上する可能性があることに注意してください。
- ipsec-esp または ipsec-esp-udp をブロックするすべてのルールを拒否することはありますか?
- 管理面で IKE pcap を実行します。このキャプチャは、トンネルを確立するために、ピア間で転送されたコントロールプレーンのパケットを持つことになります。
> ike pcap のデバッグ
の削除 > ike pcap のデバッグ - ikemgr でデバッグを有効にする
> デバッグ時に ike グローバルをデバッグする - デバッグ時に mprelay
> デバッグ mprelayでデバッグを有効にする - ピアデバイスからトラフィックを開始します。
- > 時計を表示
- > すべてのフィルタソース送信先アプリケーションを表示する<value> <value>ipsec-esp
> セッションを表示すべてのフィルタソース<value>送信先<value>アプリケーション ipsec-esp-udp <value></value> > セッション id の表示</value></value> </value> </value> - > vpn の ipsec-sa トンネルを表示する<tunnel-name>
> vpn フロートンネル<tunnel-id from="" previous="" command=""></tunnel-id>を表示する-id </tunnel-name> - 管理平面上のデバッグと pcaps をオフにします。
> ike pcap をデバッグする
> 標準で ike グローバルをデバッグする >
情報のデバッグ mprelay - ike pcap をエクスポートして、ケース
> scp エクスポートデバッグ-pcap から ikemgr にアタッチします。pcap - 管理面からケースにパケットキャプチャを接続します。
- テクニカルサポートファイルを生成し、
WebGUI および CLI を使用してテクニカルサポートファイルを生成およびアップロードする方法をケースに添付します。 - 問題の正確な時刻を指定してください。
- ピアデバイスの IPSec 構成を比較できるようにします (ピアデバイスが PA の場合は、上記の手順を繰り返してください)。
なぜ我々 はこの情報が必要ですか。
フェーズ1とフェーズ2が来るためには、IKE と ESP セッションを確立する必要があります。上記の情報により、IKE および ESP パケットが受信および送信されていることを確認できます。これは、トラブルシューティングのための有用な案内を私たちに提供するように、PA のファイアウォールは、レスポンダである間は、上記の手順を実行することが重要です。
- トンネルがアップしているが、トラフィックが通過していない
- 興味深いトラフィックのパケットキャプチャを取る。
パケット キャプチャの開始: - トラフィックを開始します。
- > 時計を表示
- > カウンタグローバルフィルタデルタを表示するはいパケットフィルタはい (このコマンドを複数回実行します)
- > すべてのフィルタソースの宛先を表示する<value> <value>
> <value></value>セッション id を表示</value> </value> - > vpn ipsec-sa トンネル<tunnel-name>
の表示 > vpn フロートンネル id の表示<tunnel-id from="" previous="" command="">(このコマンドを複数回実行)</tunnel-id> </tunnel-name>管理者 @ PA-5060 > 表示 vpn の ipsec-sa のトンネル樹液-樹液 GwID/クライアント IP TnID ピアアドレストンネル (ゲートウェイ) アルゴリズム spi (in) spi (out) ライフ (秒/KB) --------------- ---- ------------ --------------- --------- ------- -------- ------------ 90 207 10.1.1.1 sap sap (sap) ESP/3des/SHA1 8AE5524F B198C409 25978/0 IPSec SA を表示: 合計1件のトンネルが見つかりました。1 ipsec sa が見つかりました。 管理者 @ PA-5060 > 表示 vpn フロートンネル-id 207 トンネル樹液-樹液 id: 207 タイプ: IPSec ゲートウェイ id:90 ローカル ip アドレス: 10.1.1.2 ピア ip: 10.1.1.1 内部インターフェイス: トンネル10 外のインターフェイス: ethernet1/21 状態: アクティブ セッション: 145372 トンネルの mtu: 9128 寿命は残る: 25935 sec 最新の rekey: 2865 秒前 モニタ: オフ 見られるパケットを監視: 0 パケットを監視する返信: 0 en/decap コンテキスト:23 ローカル spi: 8AE5524F リモート spi: B198C409 キーの種類: 自動キー プロトコル: ESP 認証アルゴリズム: SHA1 j アルゴリズム: 3des プロキシ id ローカル ip: 0.0.0.0/0 プロキシ id リモート ip: 0.0.0.0/0 プロキシ id プロトコル: 0 プロキシ id ローカルポート: 0 プロキシ id リモートポート: 0 アンチリプレイチェック: いいえ コピー tos: いいえ 認証エラー: 0 復号化エラー: 0 内部パケットの警告: 0 リプレイパケット: 0 受信したパケット 有効期限が切れた場合: 0 等身大の有効期限: 0 送信シーケンス: 0 受信シーケンス: 0 方法パケット: 387833 decap パケット: 1483008 方法バイト: 71262032 decap バイト: 2107755408 キー取得要求:12 所有者の状態: 0 所有者 cpuid: s1dp0 所有権: 1
- トンネルにトラフィックを送信するルートがあることを確認します。
> テストルーティング fib ルックアップ仮想ルータの<vr-name>ip < destination="" ip="" behind="" remote="" peer=""> </vr-name> - テクニカルサポートファイルを生成し、ケースに添付し
https://live.paloaltonetworks.com/t5/Featured-Articles/How-to-Generate-and-Upload-a-Tech-Support-File-Using-the-WebGUI/ta-p/60757 - 問題の正確な時刻を指定します。
- なぜ我々 はこの情報が必要ですか。
トラフィックが IPSec トンネルを通過していない場合、問題がトラフィックを送信 (暗号化) しているか、トラフィックを受信 (復号化) しているかを調べる必要があります。上記のコマンドは、私たちが問題を絞り込むのに役立つ方法と decap のパケットカウンタを提供します。
- パフォーマンスの問題:
問題が起きている間、以下の手順を実行してください。
- 興味深いトラフィックのパケットキャプチャを取る。
パケット キャプチャの開始: - > デバッグ データ プレーン ・ プール統計
- > カウンタグローバルフィルタデルタを表示するはいパケットフィルタはい (複数回実行)
- > 実行中のリソースモニタを表示する2番目の最後の 5 (複数回実行)
- > デバッグ dataplane 捕虜のパフォーマンス (複数回実行)
- > vpn ipsec-sa トンネル<name>
の表示 > vpn フロートンネルの表示-id (複数回実行) </name> - テクニカルサポートファイルを生成し、
WebGUI および CLI を使用してテクニカルサポートファイルを生成およびアップロードする方法をケースに添付します。 - 問題の正確な時刻を指定します。
- なぜ我々 はこの情報が必要ですか。
上記の手順は、問題の発生時に PA の負荷を理解し、IPSec トンネルにエラーがある場合に役立ちます。
- 役立つサポート技術情報の記事
- 興味深いトラフィックのパケットキャプチャを取る。
--Alaauddin Shieha (ashieha)