Cómo solucionar problemas de IPSec VPN conectividad

Este documento pretende ayudar a solucionar problemas de conectividad de VPN IPSec. Se divide en dos partes, una para cada fase de una VPN IPSec.

Fase 1

• Para descartar problemas relacionados con el ISP, intente hacer ping a la IP del par de la interfaz externa del PA. Asegúrese de que pings están habilitados en la interfaz externa de pares.
• Si los pings han sido bloqueados por los requisitos de seguridad, ver si el otro interlocutor está respondiendo a los mensajes de modo principal agresivo o los DPDs. Revise las respuestas de los mensajes de "¿estás ahí?" de los pares en los registros del sistema en la ficha Monitor o debajo de troncos ikemgr.
• Compruebe que la identidad de IKE está configurada correctamente.
• Verificar que la política esté en lugar para permitir aplicaciones IKE e IPSec. Generalmente esta política no es necesaria si no hay ninguna regla de limpieza configurada en el cuadro. Si se configura una regla de limpiar, la política se configura generalmente desde la zona externa a la zona externa.
• Verificar que las propuestas son correctas. Si es incorrecto, registros sobre el desajuste pueden encontrarse en los registros del sistema, o mediante la siguiente orden CLI:

  > less MP-log ikemgr. log  

• Compruebe que la clave previamente compartida es correcta. Si es incorrecto, registros sobre el desajuste pueden encontrarse en los registros del sistema, o mediante la siguiente orden CLI:

  > less MP-log ikemgr. log  

• Tomar capturas de paquetes para analizar el tráfico. Utilizar filtros para limitar el alcance del tráfico capturado.
  
  
• Útiles comandos CLI:

> Mostrar VPN IKE-SA Gateway <name> 
> prueba VPN IKE-SA Gateway <name>
> Debug IKE STAT</name> </name>

Avanzada de los comandos CLI:

• Para el registro detallado, activar el nivel de registro de depuración:

> debug IKE global en Debug
> less MP-log ikemgr. log

• Para ver las negociaciones de modo principal/agresivo y rápido, es posible encender pcaps para la captura de estas negociaciones. 5 y 6 en el modo principal y todos los paquetes en el modo rápido los mensajes tienen su carga de datos encriptado:

> debug IKE pcap en
> View-pcap no-DNS-lookup yes no-Port-lookup Yes Debug-pcap ikemgr. pcap

• Apague la depura

> debug IKE pcap OFF 

Configuración de captura y filtrado de paquetes restringe pcaps sólo a la depuración trabajado encendido, un pcap de IKE en muestra pcaps para todo el tráfico VPN.

Para comprobar si está activado el NAT-T, paquetes será en el puerto 4500 en lugar de 500 de los mensajes de 5ª y 6ª de modo principal.

Compruebe si id de proveedor de los pares es compatible con el dispositivo de Palo Alto Networks y viceversa.

Fase 2

• Compruebe si los firewalls están negociando los túneles y asegúrese de que existen 2 SPIs unidireccionales:

> Mostrar VPN IPSec-SA
> Mostrar VPN IPSec-SA túnel <tunnel.name></tunnel.name> 

• Compruebe si las propuestas son correctas. Si es incorrecto, los registros sobre el desajuste pueden encontrarse en los registros del sistema en la pestaña monitor, o mediante el comando siguiente:

> less MP-log ikemgr. log  

• Compruebe si está habilitada pfs en ambos extremos. Si es incorrecto, los registros sobre el desajuste pueden encontrarse en los registros del sistema en la pestaña monitor, o mediante el comando:

>  less MP-log ikemgr. log  

• Compruebe la configuración de proxy-id. Normalmente, esto no se requiere cuando el túnel está entre dos cortafuegos de Palo Alto Networks, pero cuando el interlocutor es de otro proveedor, los IDS usualmente necesitan ser configurados.
  Un desajuste se indicaría en los registros del sistema o mediante el comando:

> menos mp-registro ikemgr.log

• Útiles comandos CLI:

> Mostrar nombre de flujo VPN <tunnel.id unnel.name=""> 
> Mostrar nombre de flujo VPN <tunnel.id unnel.name="">| bytes de coincidencia</tunnel.id> </tunnel.id>

• Compruebe si la encapsulación y desencapsulación bytes están aumentando. Si el cortafuegos está pasando tráfico, ambos valores deben aumentar.

> Mostrar nombre de flujo VPN <tunnel.id unnel.name="">| bytes de coincidencia</tunnel.id>

Si bytes encapsulación están aumentando y desencapsulación es constante, el firewall es enviar pero no recibe paquetes.

• Comprobar si una política está disminuyendo el tráfico, o si un puerto traducir dispositivo frente a PAN que podría bajar los paquetes ESP.

> Mostrar nombre de flujo VPN <tunnel.id unnel.name="">| bytes de coincidencia</tunnel.id>

Si bytes decapsulation están aumentando y la encapsulación es constante, el firewall es recibir pero no transmitir paquetes.

• Verifique si una política está disminuyendo el tráfico:

> enrutamiento de prueba FIB-búsqueda virtual-router default IP <destination ip=""> 
 --------------------------------------------------
Runtime ruta de búsqueda
--------------------------------------------------
virtual-router:
destino predeterminado : 10.5.1.1
resultado: túnel de interfaz. 1

> Mostrar ruta
de enrutamiento > prueba VPN IPSec- <name></name> SA Tunnel        </destination>

Comandos avanzados de CLI:
> Debug IKE global en Debug
> less MP-log ikemgr. log
> Debug IKE pcap en
> View-pcap no-DNS-lookup yes no-Port-lookup Yes Debug-pcap ikemgr. pcap
> Debug IKE pcap OFF    

Si son túneles pero tráfico no pasa a través del túnel:

• Revise la política de seguridad y enrutamiento.
• Busque dispositivos aguas arriba que realizan traducciones de puerto y dirección. Porque el ESP es un protocolo de capa 3, paquetes ESP no tienen números de puerto. Cuando tales dispositivos reciban paquetes ESP, hay una alta posibilidad que silenciosamente pueden caer, porque no ven los números de puerto para traducir.
• Aplicar filtros de paquetes de depuración, capturas o registros, si es necesario, para aislar el problema donde el tráfico es que cayó.

Propietario: kprakash