Cómo solucionar problemas de un túnel VPN IPsec IKEv2 desactivado por DPD

Cómo solucionar problemas de un túnel VPN IPsec IKEv2 desactivado por DPD

12853
Created On 07/15/24 21:31 PM - Last Modified 08/14/24 01:48 AM


Objective


  • Verifique la configuración de comprobación de ejecución en ambos puntos de conexión del túnel VPN IPsec.
  • Utilice la marca de tiempo del evento DPD down para correlacionarlo con otros eventos que podrían afectar a la conectividad entre los pares VPN.
  • Solucione problemas de conectividad VPN IPsec.
  • Recopile capturas de paquetes de depuración para comprobar si el firewall está enviando y recibiendo paquetes de comprobación de vida.

Environment


  • Túnel VPN IPsec
  • IKEv2
  • DPD/ Verificación de vida

Procedure


  1. Verifique la configuración de comprobación de ejecución en ambos puntos de conexión del túnel VPN IPsec. Para NGFW, vaya a Red > Perfiles de red > Gateways IKE > Opciones avanzadas. Asegúrese de que la comprobación de ejecución esté habilitada y que el intervalo coincida con la configuración del otro extremo del túnel:Comprobación de vida
    1. IKEv2 usa una comprobación de ejecución (similar a la detección de pares inactivos (DPD) en IKEv1) para determinar si un par sigue estando disponible. La opción de comprobación de vida está habilitada de forma predeterminada.
  2. Cuando el túnel IPsec se cae debido a DPD, los siguientes mensajes de registro se mostrarán en el registro del sistema: 
    > show log system direction equal backward
2019/03/06 18:24:04 low      vpn     seapa- ikev2-n 0  IKEv2 IKE SA is down determined by DPD.
2019/03/06 17:26:27 low      vpn     seapa- ikev2-n 0  IKEv2 IKE SA is down determined by DPD.

    Y los siguientes mensajes aparecerán en los registros de ikemgr: 
    > less mp-log ikemgr.log
2019-03-06 17:26:28.000 -0800  [INFO]: \{    1:    1}: DPD down, rekey vpn tunnel <awsseapa-to-azeapa>, SA state ESTABLISHED
2019-03-06 18:24:05.000 -0800  [INFO]: \{    1:    1}: DPD down, rekey vpn tunnel <awsseapa-to-azeapa>, SA state ESTABLISHED
    El intervalo predeterminado de liveness Checking es cada 5 segundos cuando SA está inactivo. Al perder la conexión, el firewall realizará 10 reintentos de ejecución. Una vez alcanzado el número máximo de reintentos, el firewall eliminará las SA de fase 1 y fase 2. Busque los mensajes anteriores y anote la marca de tiempo para que pueda usarla para correlacionar otros eventos relacionados, lo que ayudará a encontrar la causa raíz del error de verificación de ejecución.
  3. Cuando el túnel IPsec deja de funcionar debido a DPD, es una indicación de que hay problemas de conectividad entre los pares VPN IPsec. Para obtener más detalles sobre cómo solucionarlo, consulte Cómo solucionar problemas de conectividad VPN IPSec.
  4. Para un problema continuo de túnel inactivo debido a DPD y en caso de duda, el firewall está recibiendo o enviando el paquete de verificación de vida, que es el paquete de información vacío. Establezca una ventana de mantenimiento para recopilar una captura de paquetes debug ikemgr: 
    debug ike pcap on
view-pcap no-dns-lookup yes no-port-lookup yes debug-pcap ikemgr.pcap
scp export debug-pcap from ikemgr.pcap to username@host:path
debug ike pcap off
    Nota: Tenga mucho cuidado con los comandos anteriores, especialmente con el resaltado en naranja, ya que puede llegar a consumir muchos recursos, por lo que se recomienda emitirlo durante una ventana de mantenimiento.
    1. Si el firewall envía y recibe el paquete de verificación de vida informacional vacío, la captura del paquete tendrá el siguiente aspecto:captura de paquetes
    2. Del mismo modo, puede realizar una captura de paquetes de plano de datos entre los dos puntos finales del túnel configurando el origen y el destino del filtro de paquetes para que sean las direcciones IP de los puntos finales, como se muestra en la imagen siguiente:captura de paquetes 3
    3. Habilite las depuraciones para la puerta de enlace afectada mediante el comando: 
      debug ike gateway <name of the gateway> on debug
      Los registros de ikemg en este caso mostrarán los siguientes mensajes: 
      2024-07-15 10:55:41.005 -0700  [DEBG]: 10.46.36.241[500] - 10.46.36.240[500]:(nil) 1 times of 76 bytes message will be sent over socket 1024
2024-07-15 10:55:41.007 -0700  [DEBG]: processing isakmp packet
2024-07-15 10:55:41.007 -0700  [DEBG]: ===
2024-07-15 10:55:41.007 -0700  [DEBG]: 76 bytes message received from 10.46.36.240
2024-07-15 10:55:41.007 -0700  [DEBG]: {    2:     }: [IKE Initiator] response message_id 704 expected 704
2024-07-15 10:55:41.013 -0700  [DEBG]: {    2:     }: response exch type 37
2024-07-15 10:55:41.013 -0700  [DEBG]: {    2:     }: update response message_id 0x2c0
2024-07-15 10:55:46.005 -0700  [DEBG]: 10.46.36.241[500] - 10.46.36.240[500]:(nil) 1 times of 76 bytes message will be sent over socket 1024
2024-07-15 10:55:46.006 -0700  [DEBG]: processing isakmp packet
2024-07-15 10:55:46.006 -0700  [DEBG]: ===
2024-07-15 10:55:46.006 -0700  [DEBG]: 76 bytes message received from 10.46.36.240
2024-07-15 10:55:46.006 -0700  [DEBG]: {    2:     }: [IKE Initiator] response message_id 705 expected 705
2024-07-15 10:55:46.014 -0700  [DEBG]: {    2:     }: response exch type 37
2024-07-15 10:55:46.014 -0700  [DEBG]: {    2:     }: update response message_id 0x2c1
    4. Deshabilite las depuraciones usando el comando: 
      debug ike gateway <name of the gateway> off
  5. Nota IMPORTANTE sobre el comportamiento de la comprobación de ejecución de IKEv2:
    1. DPD (que es la comprobación de vida en el caso de IKEv2) siempre está activado. Todos los paquetes IKEv2, además del paquete informativo vacío, sirven para verificar la vida.
    2. El paquete de verificación de vida (informativo) solo se envía mientras no hay actividad después de dpd_interval a través de la SA de IKE y la SA secundaria.
    3. enable: si se establece en sí, se enviará un mensaje informativo vacío después de un tiempo de inactividad (IKE). Este tiempo de espera está definido por dpd_interval.
    4. Si se produce un error en la comprobación de ejecución, se eliminan la SA de IKE y todas las SA secundarias configuradas a través de esa SA de IKE. La puerta de enlace IKE iniciará un nuevo intercambio de IKE_SA_INIT.
  6. En función de la captura de paquetes recopilada entre los dos pares del túnel, la resolución del problema puede incluir el ajuste del valor del intervalo de verificación de actividad, aumentándolo en ambos extremos para que la verificación sea menos estricta. Otras soluciones podrían implicar la corrección de políticas mal configuradas, la configuración de entradas de ruta adecuadas o la solución de cualquier posible problema de red que afecte a la accesibilidad del par remoto.

Additional Information


Comprobación de vida: Si solo ha habido tráfico saliente en todas las SA asociadas con una SA de IKE, es esencial confirmar la actividad del otro punto final para evitar agujeros negros. Las puertas de enlace IKEv2 pueden realizar comprobaciones de ejecución para evitar el envío de mensajes a un par inactivo. La recepción de un mensaje nuevo protegido criptográficamente en una SA de IKE o en cualquiera de sus SA secundarias garantiza la vida de la SA de IKE y de todas sus SA secundarias.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDbVCAW&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language