Gewusst wie: Problembehandlung bei IPSec-VPN-Verbindungsprobleme

Dieses Dokument soll helfen, IPSec VPN-Verbindungsprobleme zu beheben. Es gliedert sich in zwei Teile, einen für jede Phase eine IPSec-VPN.

Phase 1

• Um ISP-bezogene Probleme auszuschließen, versuchen Sie Ping Peer IP von der PA externe Schnittstelle. Sicherstellen Sie, dass Pings auf dem Peer externe Schnittstelle aktiviert sind.
• Pings pro Sicherheitsanforderungen gesperrt haben, sehen Sie, ob die anderen Peer auf der Main/aggressiven Modus Nachrichten oder die DPDs reagiert. Überprüfen Sie die Antworten der "Bist du da?" Nachrichten vom Peer in den Systemprotokollen unter der Registerkarte "überwachen" oder unter Ikemgr Protokolle.
• Überprüfen Sie, dass die IKE-Identität ordnungsgemäß konfiguriert ist.
• Überprüfen Sie, dass die Politik im Ort um IKE und IPSec-Anwendungen zu ermöglichen. Diese Politik ist in der Regel nicht erforderlich, wenn keine Bereinigung Regel konfiguriert auf der Box vorhanden ist. Wenn Aufräumarbeiten in der Regel konfiguriert ist, wird die Politik in der Regel aus der äußeren Zone der äußeren Zone konfiguriert.
• Überprüfen Sie, dass Vorschläge korrekt sind. Wenn falsch, Protokolle über die Diskrepanz unter den Systemprotokollen oder mithilfe des folgenden Befehls CLI finden Sie:

  > weniger MP-Log ikemgr. log  

• Überprüfen Sie der vorinstallierte Schlüssel korrekt ist. Wenn falsch, Protokolle über die Diskrepanz unter den Systemprotokollen oder mithilfe des folgenden Befehls CLI finden Sie:

  > weniger MP-Log ikemgr. log  

• Nehmen Sie Paket erfasst, den Verkehr zu analysieren. Verwenden Sie Filter, um die erfassten Verkehr einzugrenzen.
  
  
• Nützliche CLI-Befehle:

> VPN IKE-SA Gateway <name> 
> Test VPN IKE-SA Gateway <name>
> Debug IKE stat</name> </name>

Erweiterte CLI-Befehle:

• Aktivieren Sie für die ausführliche Protokollierung die Protokollierungsebene zu debuggen:

> Debug IKE Global auf Debug
> less MP-Log ikemgr. log

• Um den Main/aggressive und schnelle Modus Verhandlungen anzuzeigen, ist es möglich, Pcaps für die Aufnahme von Verhandlungen zu aktivieren. Nachrichten 5 und 6 in der Haupt-Modus und alle Pakete im Schnellmodus haben ihre Nutzdaten verschlüsselt:

> Debug IKE pcap on
> View-pcap No-DNS-Lookup ja no-Port-Lookup ja Debug-pcap ikemgr. pcap

• Schalten Sie Debug

> Debug IKE pcap Off 

Konfigurieren von Paketfilter und fängt schränkt Pcaps nur auf einer bearbeiteten, Debug zeigt IKE Pcap auf Pcaps für alle VPN-Datenverkehr.

Um zu überprüfen, wenn NAT-T aktiviert ist, werden Pakete auf Port 4500 anstatt 500 aus den 5. und 6. Botschaften der Hauptmodus.

Überprüfen Sie, ob Vendor-Id des Peers auf dem Palo Alto Networks Gerät und umgekehrt unterstützt wird.

Phase 2

• Überprüfen Sie, ob die Firewalls die Tunnel verhandeln und sicherzustellen Sie, dass 2 unidirektional SPIs vorhanden sind:

> VPN IPSec-SA
> VPN IPSec-SA <tunnel.name></tunnel.name> Tunnel anzeigen

• Überprüfen Sie, ob Vorschläge korrekt sind. Wenn falsch, finden Sie Protokolle über die Diskrepanz unter den Systemprotokollen unter der Registerkarte "überwachen" oder mithilfe des folgenden Befehls:

> weniger MP-Log ikemgr. log  

• Überprüfen Sie, ob an beiden Enden Pfs aktiviert ist. Wenn falsch, finden Sie Protokolle über die Diskrepanz unter den Systemprotokollen unter der Registerkarte "überwachen" oder mithilfe des Befehls:

>  weniger MP-Log ikemgr. log  

• Überprüfen Sie die Proxy-Id-Konfiguration. Dies ist in der Regel nicht erforderlich, wenn der Tunnel zwischen zwei Palo Alto Networks Firewalls ist, aber wenn der Peer von einem anderen Anbieter ist, müssen die IDs in der Regel konfiguriert werden.
  Ein Missverhältnis würde unter den Systemprotokollen angezeigt, oder mit dem Befehl:

> weniger mp-Log ikemgr.log

• Nützliche CLI-Befehle:

> VPN-Flow-Name anzeigen <tunnel.id unnel.name=""> 
> VPN-Flow-Name anzeigen <tunnel.id unnel.name="">| Match Bytes</tunnel.id> </tunnel.id>

• Überprüfen Sie, ob Kapselung und Delamination Bytes erhöhen. Wenn die Firewall Datenverkehr, sollten beide Werte erhöht werden.

> VPN Flow Name <tunnel.id unnel.name="">| Match Bytes</tunnel.id> anzeigen

Wenn Kapselung Bytes steigen und Delamination konstant ist, ist die Firewall senden aber nicht empfangen von Paketen.

• Überprüfen Sie, wenn eine Politik den Verkehr sinkt oder einen Port übersetzen Gerät vor Pfanne, die ESP-Pakete fallen lassen könnte.

> VPN Flow Name <tunnel.id unnel.name="">| Match Bytes</tunnel.id> anzeigen

Wenn Delamination Bytes steigen und Kapselung konstant ist, ist die Firewall empfangen aber nicht senden Pakete.

• Überprüfen Sie, ob eine Politik den Verkehr fällt:

> Test-Routing FIB-Lookup Virtual-Router default IP <destination ip=""> 
 --------------------------------------------------
Runtime Route Lookup
--------------------------------------------------
Virtual-Router: Standard
Destination : 10.5.1.1
Ergebnis: Interface Tunnel. 1

> Routing Route
> Test VPN IPSec-SA Tunnel <name></name>         </destination>

Erweiterte CLI-Befehle:
> Debug IKE Global auf Debug
> weniger MP-Log ikemgr. log
> Debug IKE pcap on
> View-pcap No-DNS-Lookup ja no-Port-Lookup ja Debug-pcap ikemgr. pcap
> Debug IKE pcap off    

Wenn Tunnel sind aber Datenverkehr ist nicht durch den Tunnel:

• Sicherheitspolitik und routing zu überprüfen.
• Überprüfen Sie für alle Geräte flussaufwärts, die Port-Adresse-Übersetzungen durchführen. Weil ESP eine Schicht 3 Protokoll ist, haben ESP-Pakete keine Port-Nummern. Wenn solche Geräte ESP-Pakete erhalten, gibt es eine hohe Wahrscheinlichkeit, dass sie ihnen automatisch löschen können, weil sie nicht, die Port-Nummern sehen zu übersetzen.
• Wenden Sie Debug-Paketfilter, erfasst oder Protokolle an, falls erforderlich, um das Problem zu isolieren, wo der Verkehr fällt immer.

Besitzer: Kprakash