Configure a VPN IPsec baseada em políticas com certificados
Este exemplo mostra como configurar, verificar e solucionar problemas de PKI. Este tópico inclui as seguintes seções:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Versão do Junos OS 9.4 ou posterior
Dispositivos de segurança da Juniper Networks
Antes de começar:
Garanta que a interface interna de LAN do firewall da Série SRX seja ge-0/0/0 em zone trust e tenha uma sub-rede IP privada.
Certifique-se de que a interface de Internet do dispositivo seja ge-0/0/3 na zona não confiável e tenha um IP público.
Garanta que todo o tráfego entre as LANs locais e remotas seja permitido, e o tráfego possa ser iniciado de ambos os lados.
Certifique-se de que o SSG5 foi pré-configurado corretamente e carregado com um certificado local pronto para uso, certificado ca e CRL.
Certifique-se de que o dispositivo SSG5 esteja configurado para usar o FQDN de ssg5.example.net (ID IKE).
Certifique-se de que os certificados PKI com chaves de 1024 bits sejam usados para as negociações de IKE de ambos os lados.
Certifique-se de que o CA seja um CA independente no domínio example.com para ambos os pares de VPN.
Visão geral
Figura 1 mostra a topologia de rede usada para este exemplo para configurar uma VPN IPsec baseada em políticas para permitir que os dados sejam transferidos com segurança entre um escritório corporativo e um escritório remoto.
A administração do PKI é a mesma para VPNs baseadas em políticas e VPNs baseadas em rota.
Neste exemplo, o tráfego VPN está entrando na interface ge-0/0/0.0 com o próximo salto de 10.1.1.1. Assim, o tráfego é de saída na interface ge-0/0/3.0. Qualquer política de túnel deve considerar interfaces de entrada e saída.
Opcionalmente, você pode usar um protocolo de roteamento dinâmico, como o OSPF (não descrito neste documento). Ao processar o primeiro pacote de uma nova sessão, o dispositivo que executa o Junos OS primeiro realiza uma busca de rota. A rota estática, que também é a rota padrão, dita a zona para o tráfego VPN de saída.
Muitos CAs usam nomes de host (por exemplo, FQDN) para especificar vários elementos do PKI. Como o CDP é geralmente especificado usando uma URL contendo um FQDN, você deve configurar um resolver DNS no dispositivo que executa o Junos OS.
A solicitação do certificado pode ser gerada pelos seguintes métodos:
Criação de um perfil de CA para especificar as configurações da CA
Gerando a solicitação de certificado PKCS10
O processo de solicitação de certificado PKCS10 envolve gerar um par de chaves públicos ou privados e, em seguida, gerar a solicitação do certificado em si, usando o par chave.
Observe as seguintes informações sobre o perfil da CA:
O perfil da CA define os atributos de uma autoridade de certificado.
Cada perfil de CA está associado a um certificado ca. Se um certificado ca novo ou renovado precisar ser carregado sem remover o certificado ca mais antigo, um novo perfil deve ser criado. Esse perfil também pode ser usado para busca on-line do CRL.
Pode haver vários desses perfis presentes no sistema criados para diferentes usuários.
Se você especificar um endereço de e-mail do administrador da CA para enviar a solicitação do certificado, o sistema compõe um e-mail do arquivo de solicitação de certificado e o encaminha para o endereço de e-mail especificado. A notificação de status de e-mail é enviada ao administrador.
A solicitação do certificado pode ser enviada ao CA por meio de um método fora de banda.
As opções a seguir estão disponíveis para gerar a solicitação de certificado PKCS10:
certificate-id
— Nome do certificado digital local e do par de chave pública/privada. Isso garante que o par chave apropriado seja usado para a solicitação do certificado e, em última instância, para o certificado local.A partir do Junos OS Release 19.1R1, uma verificação de confirmação é adicionada para impedir que o usuário adicionando
.
,/
e%
espaço em um identificador de certificados ao mesmo tempo em que gera um certificado local ou remoto ou um par chave.subject
— Formato de nome distinto que contém o nome, departamento, nome da empresa, estado e país comuns:CN — Nome comum
OU — Departamento
O — Nome da empresa
L — Localidade
ST — Estado
C — País
CN — Telefone
DC — Componente de domínio
Você não é obrigado a inserir todos os componentes de nome do assunto. Observe também que você pode inserir vários valores de cada tipo.
domain-name
— FQDN. A FQDN fornece a identidade do proprietário do certificado para negociações de IKE e fornece uma alternativa ao nome do assunto.filename (path | terminal)
— (Opcional) Local onde a solicitação do certificado deve ser feita, ou no terminal de login.ip-address
— Endereço IP (opcional) do dispositivo.email
— Endereço de e-mail (opcional) do administrador da CA.Você deve usar um nome de domínio, um endereço ip ou um endereço de e-mail.
A solicitação de certificado gerado é armazenada em um local de arquivo especificado. Uma cópia local da solicitação do certificado é salva no armazenamento de certificados local. Se o administrador reemissar esse comando, a solicitação do certificado será gerada novamente.
A solicitação de certificado PKCS10 é armazenada em um arquivo e local especificados, dos quais você pode baixá-lo e enviar ao CA para inscrição. Se você não tiver especificado o nome ou a localização do arquivo, você pode obter detalhes de solicitação de certificado PKCS10 usando o show security pki certificate-request certificate-id <id-name>
comando na CLI. Você pode copiar a saída de comando e cole-a em uma parte frontal da Web para o servidor CA ou em um e-mail.
A solicitação do certificado PKCS10 é gerada e armazenada no sistema como um certificado ou solicitação de certificado pendente. Uma notificação por e-mail é enviada ao administrador da CA (neste exemplo, certadmin@example.com).
Uma identidade única chamada ID de certificado é usada para nomear o par de chave gerado. Essa ID também é usada em comandos de inscrição de certificados e solicitação para obter o par chave certo. O par-chave gerado é salvo na loja de certificados em um arquivo com o mesmo nome do certificado ID. O tamanho do arquivo pode ser de 1024 ou 2048 bits.
Um perfil padrão (fallback) pode ser criado se os CAs intermediários não estiverem pré-instalados no dispositivo. Os valores de perfil padrão são usados na ausência de um perfil de CA configurado especificamente.
No caso de um CDP, segue-se a seguinte ordem:
De acordo com o perfil da CA
CDP incorporado no certificado ca
Perfil padrão da CA
Recomendamos usar um perfil de CA específico em vez de um perfil padrão.
O administrador envia a solicitação do certificado à CA. O administrador da CA verifica a solicitação do certificado e gera um novo certificado para o dispositivo. O administrador do dispositivo da Juniper Networks o recupera, juntamente com o certificado ca e CRL.
O processo de recuperação do certificado ca, do novo certificado local do dispositivo e do CRL da CA depende da configuração do CA e do fornecedor de software em uso.
O Junos OS oferece suporte aos seguintes fornecedores de CA:
Confiar
Verisign
Microsoft
Embora outros serviços de software de CA, como o OpenSSL, possam ser usados para gerar certificados, esses certificados não são verificados pelo Junos OS.
Configuração
- Configuração básica de PKI
- Configuração de um perfil de CA
- Gerando um par de chave público-privado
- Inscrição de um certificado local
- Carregamento de ca e certificados locais
- Configurando a VPN IPsec com os certificados
Configuração básica de PKI
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar o PKI:
Configure um endereço IP e uma família de protocolo nas interfaces Gigabit Ethernet.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@host# set ge-0/0/3 unit 0 family inet address 10.1.1.2/30
Configure uma rota padrão para a Internet no próximo salto.
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
Definir a hora e a data do sistema.
[edit] user@host# set system time-zone PST8PDT
Após o compromisso da configuração, verifique as configurações do relógio usando o
show system uptime
comando.user@host> show system uptime Current time: 2007-11-01 17:57:09 PDT System booted: 2007-11-01 14:36:38 PDT (03:20:31 ago) Protocols started: 2007-11-01 14:37:30 PDT (03:19:39 ago) Last configured: 2007-11-01 17:52:32 PDT (00:04:37 ago) by root 5:57PM up 3:21, 4 users, load averages: 0.00, 0.00, 0.00
Defina o endereço do servidor NTP.
user@host> set date ntp 130.126.24.24 1 Nov 17:52:52 ntpdate[5204]: step time server 172.16.24.24 offset -0.220645 sec
Definir a configuração de DNS.
[edit] user@host# set system name-server 172.31.2.1 user@host# set system name-server 172.31.2.2
Configuração de um perfil de CA
Procedimento passo a passo
-
Crie um perfil de CA confiável.
[edit] user@host# set security pki ca-profile ms-ca ca-identity example.com
-
Crie uma verificação de revogação para especificar um método para verificar a revogação do certificado.
Definir o intervalo de atualização, em horas, para especificar a frequência em que atualizar o CRL. Os valores padrão são o tempo de próxima atualização no CRL, ou 1 semana, se não for especificado um tempo de próxima atualização.
[edit] user@host# set security pki ca-profile ms-ca revocation-check crl refresh-interval 48
Na declaração de
revocation-check
configuração, você pode usar a opçãodisable
para desabilitar a verificação de revogação ou selecionar a opçãocrl
de configurar os atributos CRL. Você pode selecionar a opçãodisable on-download-failure
de permitir as sessões correspondentes ao perfil ca, quando o download do CRL falhar em um perfil de CA. As sessões só serão permitidas se nenhum CRL antigo estiver presente no mesmo perfil da CA. -
Especifique a localização (URL) para recuperar o CRL (HTTP ou LDAP). Por padrão, a URL está vazia e usa informações de CDP incorporadas no certificado ca.
[edit] user@host# set security pki ca-profile ms-ca revocation-check crl url http://srv1.example.com/CertEnroll/EXAMPLE.crl
Atualmente, você pode configurar apenas uma URL. O suporte para a configuração de URL de backup não está disponível.
-
Especifique um endereço de e-mail para enviar a solicitação do certificado diretamente a um administrador da CA.
user@host# set security pki ca-profile ms-ca administrator email-address certadmin@example.com
-
Confirmar a configuração:
user@host# commit and-quit
commit complete
Exiting configuration mode
Gerando um par de chave público-privado
Procedimento passo a passo
Quando o perfil ca é configurado, o próximo passo é gerar um par-chave no dispositivo Juniper Networks. Para gerar o par de chaves privadas e públicas:
Crie um par chave de certificado.
user@host> request security pki generate-key-pair certificate-id ms-cert size 1024
Resultados
Após a geração do par chave público-privado, o dispositivo da Juniper Networks exibe o seguinte:
Generated key pair ms-cert, key size 1024 bits
Inscrição de um certificado local
Procedimento passo a passo
-
Gere uma solicitação de certificado digital local no formato PKCS-10. Consulte a solicitação de solicitação de solicitação de certificado de geração de pki de segurança.
user@host> request security pki generate-certificate-request certificate-id ms-cert subject "CN=john doe,CN=10.1.1.2,OU=sales,O=example, L=Sunnyvale,ST=CA,C=US" email user@example.net filename ms-cert-req Generated certificate request -----BEGIN CERTIFICATE REQUEST----- MIIB3DCCAUUCAQAwbDERMA8GA1UEAxMIam9obiBkb2UxDjAMBgNVBAsTBXNhbGVz MRkwFwYDVQQKExBKdW5pcGVyIE5ldHdvcmtzMRIwEAYDVQQHEwlTdW5ueXZhbGUx CzAJBgNVBAgTAkNBMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw gYkCgYEA5EG6sgG/CTFzX6KC/hz6Czal0BxakUxfGxF7UWYWHaWFFYLqo6vXNO8r OS5Yak7rWANAsMob3E2X/1adlQIRi4QFTjkBqGI+MTEDGnqFsJBqrB6oyqGtdcSU u0qUivMvgKQVCx8hpx99J3EBTurfWL1pCNlBmZggNogb6MbwES0CAwEAAaAwMC4G CSqGSIb3DQEJDjEhMB8wHQYDVR0RBBYwFIESInVzZXJAanVuaXBlci5uZXQiMA0G CSqGSIb3DQEBBQUAA4GBAI6GhBaCsXk6/1lE2e5AakFFDhY7oqzHhgd1yMjiSUMV djmf9JbDz2gM2UKpI+yKgtUjyCK/lV2ui57hpZMvnhAW4AmgwkOJg6mpR5rsxdLr 4/HHSHuEGOF17RHO6x0YwJ+KE1rYDRWj3Dtz447ynaLxcDF7buwd4IrMcRJJI9ws -----END CERTIFICATE REQUEST----- Fingerprint: 47:b0:e1:4c:be:52:f7:90:c1:56:13:4e:35:52:d8:8a:50:06:e6:c8 (sha1) a9:a1:cd:f3:0d:06:21:f5:31:b0:6b:a8:65:1b:a9:87 (md5)
Na amostra do certificado PKCS10, a solicitação começa e inclui a linha de SOLICITAção de CERTIFICADO DE INÍCIO e termina com a linha de SOLICITAÇÃO DE CERTIFICADO FINAL. Essa parte pode ser copiada e colada ao seu CA para inscrição. Opcionalmente, você também pode descarregar o arquivo ms-cert-req e enviar isso para o seu CA.
-
Envie a solicitação do certificado ao CA e receba o certificado.
Carregamento de ca e certificados locais
Procedimento passo a passo
Carregue o certificado local, o certificado ca e o CRL.
user@host> file copy ftp://192.168.10.10/certnew.cer certnew.cer /var/tmp//...transferring.file.........crYdEC/100% of 1459 B 5864 kBps user@host> file copy ftp:// 192.168.10.10/CA-certnew.cer CA-certnew.cer /var/tmp//...transferring.file.........UKXUWu/100% of 1049 B 3607 kBps user@host> file copy ftp:// 192.168.10.10/certcrl.crl certcrl.crl /var/tmp//...transferring.file.........wpqnpA/100% of 401 B 1611 kBps
Você pode verificar se todos os arquivos foram carregados usando o comando
file list
.Carregue o certificado no armazenamento local a partir do arquivo externo especificado.
Você também deve especificar a ID do certificado para manter a ligação adequada com o par de chave privada ou pública. Essa etapa carrega o certificado no armazenamento de cache de RAM do módulo PKI, verifica a chave privada associada e verifica a operação de assinatura.
user@host> request security pki local-certificate load certificate-id ms-cert filename certnew.cer Local certificate loaded successfully
Carregue o certificado ca do arquivo externo especificado.
Você deve especificar o perfil da CA para associar o certificado ca ao perfil configurado.
user@host> request security pki ca-certificate load ca-profile ms-ca filename CA-certnew.cer Fingerprint: 1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1) 90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5) Do you want to load this CA certificate ? [yes,no] (no) yes CA certificate for profile ms-ca loaded successfully
Carregue o CRL no armazenamento local.
O tamanho máximo do CRL é de 5 MB. Você deve especificar o perfil de CA associado no comando.
user@host> request security pki crl load ca-profile ms-ca filename certcrl.crl CRL for CA profile ms-ca loaded successfully
Resultados
Verifique se todos os certificados locais estão carregados.
user@host> show security pki local-certificate certificate-id ms-cert detail Certificate identifier: ms-cert Certificate version: 3 Serial number: 3a01c5a0000000000011 Issuer: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: LAB Subject: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: john doe Alternate subject: "user@example.net", fqdn empty, ip empty Validity: Not before: 11- 2-2007 22:54 Not after: 11- 2-2008 23:04 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:e4:41:ba:b2:01:bf:09:31:73:5f:a2:82:fe 1c:fa:0b:36:a5:d0:1c:5a:91:4c:5f:1b:11:7b:51:66:16:1d:a5:85 15:82:ea:a3:ab:d7:34:ef:2b:39:2e:58:6a:4e:eb:58:03:40:b0:ca 1b:dc:4d:97:ff:56:9d:95:02:11:8b:84:05:4e:39:01:a8:62:3e:31 31:03:1a:7a:85:b0:90:6a:ac:1e:a8:ca:a1:ad:75:c4:94:bb:4a:94 8a:f3:2f:80:a4:15:0b:1f:21:a7:1f:7d:27:71:01:4e:ea:df:58:bd 69:08:d9:41:99:98:20:36:88:1b:e8:c6:f0:11:2d:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: ldap:///CN=LAB,CN=LABSRV1,CN=CDP,CN=Public%20Key%20Services,CN=Services, CN=Configuration,DC=domain,DC=com?certificateRevocationList?base? objectclass=cRLDistributionPoint http://labsrv1.domain.com/CertEnroll/LAB.crl Fingerprint: c9:6d:3d:3e:c9:3f:57:3c:92:e0:c4:31:fc:1c:93:61:b4:b1:2d:58 (sha1) 50:5d:16:89:c9:d3:ab:5a:f2:04:8b:94:5d:5f:65:bd (md5)
Você pode exibir os detalhes do certificado individual especificando a ID do certificado na linha de comando.
Verifique todos os certificados de CA ou os certificados ca de um perfil de CA individual (especificado).
user@host> show security pki ca-certificate ca-profile ms-ca detail Certificate identifier: ms-ca Certificate version: 3 Serial number: 44b033d1e5e158b44597d143bbfa8a13 Issuer: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: example Subject: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: example Validity: Not before: 09-25-2007 20:32 Not after: 09-25-2012 20:41 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d1:9e:6f:f4:49:c8:13:74:c3:0b:49:a0:56 11:90:df:3c:af:56:29:58:94:40:74:2b:f8:3c:61:09:4e:1a:33:d0 8d:53:34:a4:ec:5b:e6:81:f5:a5:1d:69:cd:ea:32:1e:b3:f7:41:8e 7b:ab:9c:ee:19:9f:d2:46:42:b4:87:27:49:85:45:d9:72:f4:ae:72 27:b7:b3:be:f2:a7:4c:af:7a:8d:3e:f7:5b:35:cf:72:a5:e7:96:8e 30:e1:ba:03:4e:a2:1a:f2:1f:8c:ec:e0:14:77:4e:6a:e1:3b:d9:03 ad:de:db:55:6f:b8:6a:0e:36:81:e3:e9:3b:e5:c9:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: ldap:///CN=LAB,CN=LABSRV1,CN=CDP,CN=Public%20Key%20Services,CN=Services, CN=Configuration,DC=domain,DC=com?certificateRevocationList?base? objectclass=cRLDistributionPoint http://srv1.domain.com/CertEnroll/LAB.crl Use for key: CRL signing, Certificate signing, Non repudiation Fingerprint: 1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1) 90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5)
Verifique todos os CRLs carregados ou os CRLs do perfil ca individual especificado.
user@host> show security pki crl ca-profile ms-ca detail CA profile: ms-ca CRL version: V00000001 CRL issuer: emailAddress = certadmin@example.net, C = US, ST = CA, L = Sunnyvale, O = Example, OU = example, CN = example Effective date: 10-30-2007 20:32 Next update: 11- 7-2007 08:52
Verifique o caminho do certificado para o certificado local e o certificado ca.
user@host> request security pki local-certificate verify certificate-id ms-cert Local certificate ms-cert verification success user@host> request security pki ca-certificate verify ca-profile ms-ca CA certificate ms-ca verified successfully
Configurando a VPN IPsec com os certificados
Procedimento passo a passo
Para configurar a VPN IPsec com o certificado, consulte o diagrama de rede mostrado em Figura 1
Configure zonas de segurança e atribua interfaces às zonas.
Neste exemplo, os pacotes estão chegando
ge-0/0/0
, e a zona de entrada é a zona de confiança.[edit security zones security-zone] user@host# set trust interfaces ge-0/0/0.0 user@host# set untrust interfaces ge-0/0/3.0
Configure serviços de entrada de host para cada zona.
Os serviços de entrada de host são para tráfego destinado ao dispositivo da Juniper Networks. Essas configurações incluem, mas não se limitam ao FTP, HTTP, HTTPS, IKE, ping, rlogin, RSH, SNMP, SSH, Telnet, TFTP e traceroute.
[edit security zones security-zone] user@host# set trust host-inbound-traffic system-services all user@host# set untrust host-inbound-traffic system-services ike
Configure as entradas da lista de endereços para cada zona.
[edit security zones security-zone] user@host# set trust address-book address local-net 192.168.10.0/24 user@host# set untrust address-book address remote-net 192.168.168.0/24
Configure a proposta de IKE (Fase 1) para usar criptografia RSA.
[edit security ike proposal rsa-prop1] user@host# set authentication-method rsa-signatures user@host# set encryption-algorithm 3des-cbc user@host# set authentication-algorithm sha1 user@host# set dh-group group2
Configure uma política de IKE.
A troca da fase 1 pode ocorrer no modo principal ou no modo agressivo.
[edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals rsa-prop1 user@host# set certificate local-certificate ms-cert user@host# set certificate peer-certificate-type x509- signature user@host# set certificate trusted-ca use-all
Configure um gateway IKE.
Neste exemplo, o peer é identificado por um FQDN (nome de host). Portanto, o ID IKE de gateway deve ser o nome de domínio de peer remoto. Você deve especificar a interface externa correta ou iD peer para identificar adequadamente o gateway IKE durante a configuração da Fase 1.
[edit security ike gateway ike-gate] user@host# set external-interface ge-0/0/3.0 user@host# set ike-policy ike-policy1 user@host# set dynamic hostname ssg5.example.net
Configure a política de IPsec.
Este exemplo usa o conjunto de propostas padrão, que inclui
esp-group2-3des-sha1
eesp-group2- aes128-sha1
propostas. No entanto, uma proposta única pode ser criada e depois especificada na política de IPsec, se necessário.[edit security ipsec policy vpn-policy1] user@host# set proposal-set standard user@host# set perfect-forward-secrecy keys group2
Configure a VPN IPsec com um gateway IKE e uma política de IPsec.
Neste exemplo, o nome VPN ike-vpn deve ser mencionado na política de túnel para criar uma associação de segurança. Além disso, se necessário, um tempo ocioso e um ID proxy podem ser especificados se eles são diferentes dos endereços da política do túnel.
[edit security ipsec vpn ike-vpn ike] user@host# set gateway ike-gate user@host# set ipsec-policy vpn-policy1
Configure políticas bidirecionais de túnel para o tráfego de VPN.
Neste exemplo, o tráfego da LAN do host para a LAN de escritório remoto requer uma política de túnel confiável de zona a zona. No entanto, se uma sessão precisar se originar da LAN remota para a LAN do host, também é necessária uma política de túnel na direção oposta da confiança não confiável da zona até a zona. Quando você especifica a política na direção oposta à política de pares, a VPN se torna bidirecional. Observe que, além da ação de permissão, você também precisa especificar o perfil IPsec a ser usado. Observe que, para políticas de túneis, a ação é sempre permissão. Na verdade, se você estiver configurando uma política com a ação de negação, você não verá uma opção para especificar o túnel.
[edit security policies from-zone trust to-zone untrust] user@host# set policy tunnel-policy-out match source-address local-net user@host# set policy tunnel-policy-out match destination-address remote-net user@host# set policy tunnel-policy-out match application any user@host# set policy tunnel-policy-out then permit tunnel ipsec-vpn ike-vpn pair-policy tunnel-policy-in user@host# top edit security policies from-zone untrust to-zone trust user@host# set policy tunnel-policy-in match source-address remote-net user@host# set policy tunnel-policy-in match destination-address local-net user@host# set policy tunnel-policy-in match application any user@host# set policy tunnel-policy-in then permit tunnel ipsec-vpn ike-vpn pair-policy tunnel-policy-out
Configure uma regra de NAT de origem e uma política de segurança para o tráfego da Internet.
O dispositivo usa a interface de origem-nat especificada e traduz o endereço IP de origem e a porta para tráfego de saída, usando o endereço IP da interface de saída como endereço IP de origem e uma porta superior aleatória para a porta de origem. Se necessário, podem ser criadas políticas mais granulares para permitir ou negar determinado tráfego.
[edit security nat source rule-set nat-out] user@host#set from zone trust user@host#set to zone untrust user@host#set rule interface-nat match source-address 192.168.10.0/24 user@host#set rule interface-nat match destination-address 0.0.0.0/0 user@host#set rule interface-nat then source-nat interface
[edit security policies from-zone trust to-zone untrust] user@host# set policy any-permit match source-address any user@host# set policy any-permit match destination-address any user@host# set policy any-permit match application any user@host# set policy any-permit then permit
Mova a política de túnel acima da política de permissão.
[edit security policies from-zone trust to-zone untrust] user@host# insert policy tunnel-policy-out before policy any-permit
A política de segurança deve estar abaixo da política de túnel na hierarquia porque a lista de políticas é lida de cima a baixo. Se essa política estivesse acima da política do túnel, o tráfego sempre corresponderia a essa política e não continuaria para a próxima política. Assim, nenhum tráfego de usuário seria criptografado.
Configure a configuração tcp-mss para tráfego TCP em todo o túnel.
O TCP-MSS é negociado como parte do aperto de mão de três vias do TCP. Ele limita o tamanho máximo de um segmento de TCP para acomodar os limites de MTU em uma rede. Isso é muito importante para o tráfego VPN porque a sobrecarga de encapsulamento IPsec, juntamente com o IP e a sobrecarga de quadros, podem fazer com que o pacote ESP resultante exceda o MTU da interface física, causando fragmentação. Como a fragmentação aumenta a largura de banda e o uso dos recursos do dispositivo, e em geral ela deve ser evitada.
O valor recomendado a ser usado para tcp-mss é de 1350 para a maioria das redes baseadas em Ethernet com MTU de 1500 ou mais. Esse valor pode precisar ser alterado se algum dispositivo no caminho tiver um valor menor de MTU ou se houver alguma sobrecarga adicional, como PPP, Frame Relay e assim por diante. Como regra geral, você pode precisar experimentar diferentes valores tcp-mss para obter o melhor desempenho.
user@host# set security flow tcp-mss ipsec-vpn mss mss-value Example: [edit] user@host# set security flow tcp-mss ipsec-vpn mss 1350 user@host# commit and-quit commit complete Exiting configuration mode
Verificação
Confirme se a configuração está funcionando corretamente.
- Confirmando o status da Fase 1 do IKE
- Obtenção de detalhes sobre associações de segurança individuais
- Confirmando o status da Fase 2 do IPsec
- Exibição de detalhes da Associação de Segurança IPsec
- Verificando as estatísticas do IPsec SA
- Teste de fluxo de tráfego em toda a VPN
- Confirmando a conectividade
Confirmando o status da Fase 1 do IKE
Propósito
Confirme o status da VPN verificando o status de associações de segurança da Fase 1 do IKE.
O PKI relacionado a túneis IPsec é formado durante a configuração da Fase 1. A conclusão da Fase 1 indica que o PKI foi bem sucedido.
Ação
A partir do modo operacional, entre no show security ike security-associations comando.
user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 2010.2.2.2 UP af4f78bc135e4365 48a35f853ee95d21 Main
Significado
A saída indica que:
O peer remoto é 10.2.2.2 e o status é UP, o que significa a associação bem-sucedida do estabelecimento da Fase 1.
O ID de ID por peer remoto, a política de IKE e as interfaces externas estão todos corretos.
O índice 20 é um valor único para cada associação de segurança IKE. Você pode usar esses detalhes de saída para obter mais detalhes sobre cada associação de segurança. Veja Obtenção de detalhes sobre associações de segurança individuais.
Uma saída incorreta indicaria que:
O status de peer remoto está desativado.
Não há associações de segurança IKE.
Existem parâmetros de política de IKE, como o tipo de modo errado (Aggr ou Principal), problemas de PKI ou propostas de Fase 1 (todos devem corresponder a ambos os pares). Para obter mais informações, veja Resolução de problemas de IKE, PKI e IPsec.
A interface externa é inválida para o recebimento dos pacotes IKE. Verifique as configurações para problemas relacionados ao PKI, verifique o log de daemon de gerenciamento de chave (kmd) em caso de outros erros ou execute opções de rastreamento para encontrar a incompatibilidade. Para obter mais informações, veja Resolução de problemas de IKE, PKI e IPsec.
Obtenção de detalhes sobre associações de segurança individuais
Propósito
Obtenha detalhes sobre o IKE individual.
Ação
A partir do modo operacional, entre no show security ike security-associations index 20 detail comando.
user@host> show security ike security-associations index 20 detail IKE peer 10.2.2.2, Index 20, Role: Responder, State: UP Initiator cookie: af4f78bc135e4365, Responder cookie: 48a35f853ee95d21 Exchange type: Main, Authentication method: RSA-signatures Local: 10.1.1.2:500, Remote: 10.2.2.2:500 Lifetime: Expires in 23282 seconds Algorithms: Authentication : sha1 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Traffic statistics: Input bytes : 10249 Output bytes : 4249 Input packets: 10 Output packets: 9 Flags: Caller notification sent IPsec security associations: 2 created, 1 deleted Phase 2 negotiations in progress: 0
Significado
A saída exibe os detalhes dos SAs de IKE individuais, como função (iniciador ou respondente), status, tipo de troca, método de autenticação, algoritmos de criptografia, estatísticas de tráfego, status de negociação da Fase 2, etc.
Você pode usar os dados de saída para:
Conheça o papel da IKE SA. A solução de problemas é mais fácil quando o peer tem o papel de respondente.
Obtenha as estatísticas de tráfego para verificar o fluxo de tráfego em ambas as direções.
Obtenha o número de associações de segurança IPsec criadas ou em andamento.
Obtenha o status de qualquer negociação da Fase 2 concluída.
Confirmando o status da Fase 2 do IPsec
Propósito
Veja as associações de segurança IPsec (Fase 2).
Quando a Fase 1 do IKE for confirmada, veja as associações de segurança IPsec (Fase 2).
Ação
A partir do modo operacional, entre no show security ipsec security-associations comando.
user@host> show security ipsec security-associations total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <2 10.2.2.2 500 ESP:3des/sha1 bce1c6e0 1676/ unlim - 0 >2 10.2.2.2 500 ESP:3des/sha1 1a24eab9 1676/ unlim - 0
Significado
A saída indica que:
Há um par de SA IPsec configurado disponível. A porta número 500 indica que uma porta IKE padrão é usada. Caso contrário, é network address translation-traversal (NAT-T), 4500 ou porta alta aleatória.
O índice de parâmetros de segurança (SPI) é usado para ambas as direções. Os limites de vida ou uso da SA são expressos em segundos ou em kilobytes. Na saída, 1676/ ilimitado indica que a vida útil da Fase 2 está programada para expirar em 1676 segundos e não há tamanho de vida especificado.
O número de ID mostra o valor de índice único para cada SA IPsec.
Uma hífen (
-
) na coluna Mon indica que o monitoramento de VPN não está habilitado para esta SA.O sistema virtual (vsys) é zero, que é o valor padrão.
A vida útil da fase 2 pode ser diferente da vida útil da Fase 1 porque a Fase 2 não depende da Fase 1 após o aumento da VPN.
Exibição de detalhes da Associação de Segurança IPsec
Propósito
Exibir os detalhes individuais de SA IPsec identificados pelo número do índice.
Ação
A partir do modo operacional, entre no show security ipsec security-associations index 2 detail comando.
user@host> show security ipsec security-associations index 2 detail Virtual-system: Root Local Gateway: 10.1.1.2, Remote Gateway: 10.2.2.2 Local Identity: ipv4_subnet(any:0,[0..7]=192.168.10.0/24) Remote Identity: ipv4_subnet(any:0,[0..7]=192.168.168.0/24) DF-bit: clear Policy-name: tunnel-policy-out Direction: inbound, SPI: bce1c6e0, AUX-SPI: 0 Hard lifetime: Expires in 1667 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1093 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: enabled, Replay window size: 32 Direction: outbound, SPI: 1a24eab9, AUX-SPI: 0 Hard lifetime: Expires in 1667 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1093 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: enabled, Replay window size: 32
Significado
A saída exibe a Identidade local e a Identidade remota.
Observe que uma incompatibilidade de ID de proxy pode fazer com que a conclusão da Fase 2 seja reprovada. O ID por proxy é derivado da política de túnel (para VPNs baseadas em políticas). O endereço local e o endereço remoto são derivados das entradas da lista de endereços, e o serviço é derivado do aplicativo configurado para a política.
Se a Fase 2 falhar devido a uma incompatibilidade de ID de proxy, verifique quais entradas da lista de endereços estão configuradas na política e garanta que os endereços corretos sejam enviados. Certifique-se também de que as portas estejam correspondentes. Verifique duas vezes o serviço para garantir que as portas correspondam aos servidores remotos e locais.
Se vários objetos estiverem configurados em uma política de túnel para endereço de origem, endereço de destino ou aplicativo, então a ID proxy resultante para esse parâmetro será alterada para zeros.
Por exemplo, assuma o seguinte cenário para uma política de túnel:
Endereços locais de 192.168.10.0/24 e 10.10.20.0/24
Endereço remoto de 192.168.168.0/24
Aplicativo como junos-http
O ID proxy resultante é local 0.0.0.0/0, remoto 192.168.168.0/24, serviço 80.
Os IDs proxy resultantes podem afetar a interoperabilidade se o peer remoto não estiver configurado para a segunda sub-rede. Além disso, se você estiver empregando um aplicativo de um fornecedor terceirizado, você pode precisar inserir manualmente a ID de proxy para combinar.
Se o IPsec não for concluído, verifique o log kmd ou use o set traceoptions
comando. Para obter mais informações, veja Resolução de problemas de IKE, PKI e IPsec.
Verificando as estatísticas do IPsec SA
Propósito
Verifique estatísticas e erros para um IPsec SA.
Para uma finalidade de solução de problemas, verifique os contadores de encapsulamento de segurança payload/cabeçalho de autenticação (ESP/AH) para quaisquer erros com um SA IPsec específico.
Ação
A partir do modo operacional, entre no show security ipsec statistics index 2 comando.
user@host> show security ipsec statistics index 2 ESP Statistics: Encrypted bytes: 674784 Decrypted bytes: 309276 Encrypted packets: 7029 Decrypted packets: 7029 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Significado
Um valor de erro de zero na saída indica uma condição normal.
Recomendamos executar esse comando várias vezes para observar quaisquer problemas de perda de pacotes em uma VPN. A saída deste comando também exibe as estatísticas para contadores de pacotes criptografados e descriptografados, contadores de erros e assim por diante.
Você deve habilitar opções de rastreamento de fluxo de segurança para investigar quais pacotes ESP estão sofrendo erros e por quê. Para obter mais informações, veja Resolução de problemas de IKE, PKI e IPsec.
Teste de fluxo de tráfego em toda a VPN
Propósito
Teste o fluxo de tráfego em toda a VPN após a Fase 1 e a Fase 2 terem sido concluídas com sucesso. Você pode testar o fluxo de tráfego usando o ping
comando. Você pode ping do host local para o host remoto. Você também pode iniciar pings do próprio dispositivo da Juniper Networks.
Este exemplo mostra como iniciar uma solicitação de ping do dispositivo da Juniper Networks para o host remoto. Observe que quando os pings são iniciados a partir do dispositivo da Juniper Networks, a interface de origem deve ser especificada para garantir que a busca correta de rota ocorra e as zonas apropriadas sejam mencionadas na busca de políticas.
Neste exemplo, a interface ge-0/0/0.0 reside na mesma zona de segurança que o host local e deve ser especificada na solicitação de ping para que a busca por políticas possa ser da zona de confiança até a zona não confiável.
Ação
A partir do modo operacional, entre no ping 192.168.168.10 interface ge-0/0/0 count 5 comando.
user@host> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
Confirmando a conectividade
Propósito
Confirme a conectividade entre um host remoto e um host local.
Ação
A partir do modo operacional, entre no ping 192.168.10.10 from ethernet0/6 comando.
ssg5-> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
Significado
Você pode confirmar a conectividade de ponta a ponta usando o ping
comando do host remoto para o host local. Neste exemplo, o comando é iniciado a partir do dispositivo SSG5.
A conectividade de ponta a ponta com falha pode indicar um problema com roteamento, política, host final ou criptografia/descriptografia dos pacotes ESP. Para verificar as causas exatas da falha:
Verifique as estatísticas do IPsec para obter detalhes sobre erros descritos em Verificando as estatísticas do IPsec SA.
Confirme a conectividade do host final usando o
ping
comando de um host na mesma sub-rede que o host final. Se o host final for acessível por outros hosts, então você pode assumir que o problema não é com o host final.Habilite opções de rastreamento de fluxo de segurança para solucionar problemas relacionados ao roteamento e relacionados a políticas.
Resolução de problemas de IKE, PKI e IPsec
Solucione problemas de IKE, PKI e IPsec.
- Etapas básicas de solução de problemas
- Verificando o espaço gratuito do disco em seu dispositivo
- Verificando os arquivos de log para verificar diferentes cenários e enviar arquivos de log para um FTP
- Habilitando opções de rastreamento de IKE para visualizar mensagens no IKE
- Habilitando opções de rastreamento de PKI para visualizar mensagens no IPsec
- Configuração de opções de rastreamento de IKE e PKI para solucionar problemas de configuração do IKE com certificados
- Análise da mensagem de sucesso da Fase 1
- Análise da mensagem de falha da Fase 1 (Incompatibilidade de proposta)
- Análise da mensagem de falha da Fase 1 (falha de autenticação)
- Análise da mensagem de falha da Fase 1 (erro de tempo limite)
- Análise da mensagem de falha da Fase 2
- Análise da mensagem de falha da Fase 2
- Resolução de problemas comuns relacionados ao IKE e PKI
Etapas básicas de solução de problemas
Problema
As etapas básicas de solução de problemas são as seguintes:
Identificar e isolar o problema.
Depurando o problema.
A abordagem comum de iniciar a solução de problemas é com a camada mais baixa das camadas de OSI e trabalhando para aumentar a pilha de OSI para confirmar a camada em que a falha ocorre.
Solução
As etapas básicas para a resolução de problemas de IKE, PKI e IPsec são as seguintes:
Confirme a conectividade física do link da Internet nos níveis físico e de enlace de dados.
Confirme que o dispositivo da Juniper Networks tem conectividade à Internet no próximo salto e conectividade com o peer IKE remoto.
Confirme a conclusão da Fase 1 do IKE.
Confirme a conclusão da Fase 2 do IKE se a conclusão da Fase 1 do IKE for bem sucedida.
Confirme o fluxo de tráfego por toda a VPN (se a VPN estiver ativa).
O Junos OS inclui o recurso de opções de rastreamento. Usando esse recurso, você pode habilitar uma bandeira de opção de rastreamento para escrever os dados da opção de rastreamento para um arquivo de log, que pode ser predeterminado ou configurado manualmente e armazenado em memória flash. Esses logs de rastreamento podem ser retidos mesmo após uma reinicialização do sistema. Verifique o armazenamento flash disponível antes de implementar opções de rastreamento.
Você pode habilitar o recurso de opções de rastreamento no modo de configuração e comprometer a configuração para usar o recurso de opções de rastreamento. Da mesma forma que desativar opções de rastreamento, você deve desativar opções de rastreamento no modo de configuração e confirmar a configuração.
Verificando o espaço gratuito do disco em seu dispositivo
Problema
Verifique as estatísticas sobre o espaço de disco gratuito em seus sistemas de arquivos de dispositivo.
Solução
A partir do modo operacional, entre no show system storage comando.
user@host> show system storage Filesystem Size Used Avail Capacity Mounted on /dev/ad0s1a 213M 74M 137M 35% / devfs 1.0K 1.0K 0B 100% /dev devfs 1.0K 1.0K 0B 100% /dev/ /dev/md0 180M 180M 0B 100% /junos /cf 213M 74M 137M 35% /junos/cf devfs 1.0K 1.0K 0B 100% /junos/dev/ procfs 4.0K 4.0K 0B 100% /proc /dev/bo0s1e 24M 13K 24M 0% /config /dev/md1 168M 7.6M 147M 5% /mfs /cf/var/jail 213M 74M 137M 35% /jail/var
Ele /dev/ad0s1a
representa a memória flash integrada e atualmente está em 35% da capacidade.
Verificando os arquivos de log para verificar diferentes cenários e enviar arquivos de log para um FTP
Problema
Veja os arquivos de log para verificar as mensagens de depuração de IKE de segurança, depurações de fluxo de segurança e o estado do registro no syslog.
Solução
A partir do modo operacional, entre no show log kmd, show log pkidshow log security-tracee show log messages comandos.
user@host> show log kmd user@host> show log pkid user@host> show log security-trace user@host> show log messages
Você pode visualizar uma lista de todos os logs no /var/log directory usando o show log
comando.
Arquivos de log também podem ser carregados em um servidor FTP usando o file copy
comando.
(operational mode): user@host> file copy path/filename dest-path/filename Example:
user@host> file copy /var/log/kmd ftp://192.168.10.10/kmd.log
ftp://192.168.10.10/kmd.log 100% of 35 kB 12 MBps
Habilitando opções de rastreamento de IKE para visualizar mensagens no IKE
Problema
Para visualizar mensagens de sucesso ou falha para IKE ou IPsec, você pode visualizar o log kmd usando o show log kmd
comando. Como o log kmd exibe algumas mensagens gerais, pode ser útil obter mais detalhes habilitando opções de rastreamento IKE e PKI.
Geralmente, é a melhor prática solucionar problemas do peer que tem o papel de respondente. Você deve obter a saída de rastreamento do iniciador e do respondente para entender a causa de uma falha.
Configure as opções de rastreamento de IKE.
Solução
user@host> configure Entering configuration mode [edit] user@host# edit security ike traceoptions [edit security ike traceoptions]
user@host# set file ? Possible completions: <filename> Name of file in which to write trace information files Maximum number of trace files (2..1000) match Regular expression for lines to be logged no-world-readable Don't allow any user to read the log file size Maximum trace file size (10240..1073741824) world-readable Allow any user to read the log file
[edit security ike traceoptions]
user@host# set flag ? Possible completions: all Trace everything certificates Trace certificate events database Trace security associations database events general Trace general events ike Trace IKE module processing parse Trace configuration processing policy-manager Trace policy manager processing routing-socket Trace routing socket messages timer Trace internal timer events
Se você não especificar os nomes dos arquivos para o campo > <filename, todas as opções de rastreamento de IKE estarão escritas no log do kmd.
Você deve especificar pelo menos uma opção de bandeira para escrever vestígios de dados no log. Por exemplo:
file size
— Tamanho máximo de cada arquivo de rastreamento, em bytes. Por exemplo, 1 milhão (1.000.000 ) pode gerar um tamanho máximo de arquivo de 1 MB.files
— Número máximo de arquivos de rastreamento a serem gerados e armazenados em um dispositivo de memória flash.
Você deve confirmar sua configuração para iniciar o rastreamento.
Habilitando opções de rastreamento de PKI para visualizar mensagens no IPsec
Problema
Habilite opções de rastreamento de PKI para identificar se uma falha de IKE está relacionada ao certificado ou a um problema não PKI.
Solução
[edit security pki traceoptions]
user@host# set file ? Possible completions: <filename> Name of file in which to write trace information files Maximum number of trace files (2..1000) match Regular expression for lines to be logged no-world-readable Don't allow any user to read the log file size Maximum trace file size (10240..1073741824) world-readable Allow any user to read the log file
[edit security pki traceoptions]
user@host# set flag ? Possible completions: all Trace with all flags enabled certificate-verification PKI certificate verification tracing online-crl-check PKI online crl tracing
Configuração de opções de rastreamento de IKE e PKI para solucionar problemas de configuração do IKE com certificados
Problema
Configure as configurações recomendadas para opções de rastreamento de IKE e PKI.
As opções de rastreamento de IKE e PKI usam os mesmos parâmetros, mas o nome de arquivo padrão para todos os vestígios relacionados ao PKI é encontrado no log pkid.
Solução
user@host> configure Entering configuration mode [edit security ike traceoptions] user@host# set file size 1m user@host# set flag ike user@host# set flag policy-manager user@host# set flag routing-socket user@host# set flag certificates [edit security pki traceoptions] user@host# set file size 1m user@host# set flag all user@host# commit and-quit commit complete Exiting configuration mode
Análise da mensagem de sucesso da Fase 1
Problema
Entenda a saída do show log kmd
comando quando as condições da Fase 1 e fase 2 do IKE forem bem sucedidas.
Solução
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]= 10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net) Nov 7 11:52:14 Phase-2 [responder] done for p1_local=ipv4(udp:500,[0..3]=10.1.1.2) p1_remote=fqdn(udp:500,[0..15]=ssg5.example.net) p2_local=ipv4_subnet(any:0,[0..7]=192.168.10.0/24) p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
A saída da amostra indica:
10.1.1.2
— Endereço local.ssg5.example.net
— Peer remoto (nome de host com FQDN).udp: 500
— O NAT-T não foi negociado.Phase 1 [responder] done
— Status da fase 1, juntamente com a função (iniciador ou respondente).Phase 2 [responder] done
— Status da fase 1, juntamente com as informações de ID do proxy.Você também pode confirmar o status de SA IPsec usando os comandos de verificação mencionados em Confirmando o status da Fase 1 do IKE.
Análise da mensagem de falha da Fase 1 (Incompatibilidade de proposta)
Problema
Entender a saída do show log kmd
comando, onde a condição da Fase 1 do IKE é uma falha, ajuda a determinar a razão para a VPN não estabelecer a Fase 1.
Solução
Nov 7 11:52:14 Phase-1 [responder] failed with error(No proposal chosen) for local=unknown(any:0,[0..0]=) remote=fqdn(udp:500,[0..15]=ssg5.example.net) Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 011359c9 ddef501d - 2216ed2a bfc50f5f [- 1] / 0x00000000 } IP; Error = No proposal chosen (14)
A saída da amostra indica:
10.1.1.2
— Endereço local.ssg5.example.net
— Peer remoto (nome de host com FQDN).udp: 500
— O NAT-T não foi negociado.Phase-1 [responder] failed with error (No proposal chosen)
— Falha na fase 1 devido à incompatibilidade de propostas.
Para resolver esse problema, garanta que os parâmetros para as propostas da Fase 1 do gateway IKE no respondente e no iniciador combinem. Confirme também que existe uma política de túnel para a VPN.
Análise da mensagem de falha da Fase 1 (falha de autenticação)
Problema
Entenda a saída do show log kmd
comando quando a condição da Fase 1 do IKE for uma falha. Isso ajuda a determinar o motivo para a VPN não estabelecer a Fase 1.
Solução
Nov 7 12:06:36 Unable to find phase-1 policy as remote peer:10.2.2.2 is not recognized. Nov 7 12:06:36 Phase-1 [responder] failed with error(Authentication failed) for local=ipv4(udp:500,[0..3]=10.1.1.2) remote=ipv4(any:0,[0..3]=10.2.2.2) Nov 7 12:06:36 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { f725ca38 dad47583 - dab1ba4c ae26674b [- 1] / 0x00000000 } IP; Error = Authentication failed (24)
A saída da amostra indica:
10.1.1.2
— Endereço local.10.2.2.2
— Peer remotoPhase 1 [responder] failed with error (Authentication failed)
— Falha na fase 1 devido ao respondente não reconhecer a solicitação de entrada originária de um peer de gateway válido. No caso do IKE com certificados PKI, essa falha normalmente indica que um tipo de ID IKE incorreto foi especificado ou inserido.
Para resolver este problema, confirme que o tipo de ID ID de IKE de peer correto está especificado no peer local com base no seguinte:
Como o certificado de peer remoto foi gerado
Assunto Nome alternativo ou informações de DN no certificado de peer remoto recebido
Análise da mensagem de falha da Fase 1 (erro de tempo limite)
Problema
Entenda a saída do show log kmd
comando quando a condição da Fase 1 do IKE for uma falha.
Solução
Nov 7 13:52:39 Phase-1 [responder] failed with error(Timeout) for local=unknown(any:0,[0..0]=) remote=ipv4(any:0,[0..3]=10.2.2.2)
A saída da amostra indica:
10.1.1.2
— Endereço llocal.10.2.2.2
— Peer remoto.Phase 1 [responder] failed with error(Timeout)
— Falha na fase 1.Esse erro indica que o pacote IKE é perdido para o peer remoto ou há um atraso ou nenhuma resposta do peer remoto.
Como esse erro de tempo limite é o resultado da espera de uma resposta do daemon PKI, você deve revisar a saída de opções de rastreamento PKI para ver se há um problema com o PKI.
Análise da mensagem de falha da Fase 2
Problema
Entenda a saída do show log kmd
comando quando a condição da Fase 2 do IKE for uma falha.
Solução
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]= 10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net) Nov 7 11:52:14 Failed to match the peer proxy ids p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24) p2_local=ipv4_subnet(any:0,[0..7]=10.10.20.0/24) for the remote peer:ipv4(udp:500,[0..3]=10.2.2.2) Nov 7 11:52:14 KMD_PM_P2_POLICY_LOOKUP_FAILURE: Policy lookup for Phase-2 [responder] failed for p1_local=ipv4(udp:500,[0..3]=10.1.1.2) p1_remote=ipv4(udp:500,[0..3]=10.2.2.2) p2_local=ipv4_subnet(any:0,[0..7]=10.10.20.0/24) p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24) Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 41f638eb cc22bbfe - 43fd0e85 b4f619d5 [0] / 0xc77fafcf } QM; Error = No proposal chosen (14)
A saída da amostra indica:
10.1.1.2
— Endereço local.ssg5.example.net
— Peer remoto (nome de host do tipo IKE ID com FQDN).Phase 1 [responder] done
— Sucesso da fase 1.Failed to match the peer proxy ids
— Os IDs de proxy incorretos são recebidos. Na amostra anterior, os dois IDs de proxy recebidos são 192.168.168.0/24 (remoto) e 10.10.20.0/24 (local) (para serviço=qualquer). Com base na configuração dada neste exemplo, o endereço local esperado é 192.168.10.0/24. Isso mostra que há uma incompatibilidade de configurações no peer local, resultando na falha da correspondência de ID por proxy.Para resolver esse problema, corrija a entrada da lista de endereços ou configure o ID do proxy em ambos os pares para que ele corresponda ao outro peer.
A saída também indica que a razão para a falha é
No proposal chosen
. No entanto, neste caso, você também vê a mensagemFailed to match the peer proxy ids
.
Análise da mensagem de falha da Fase 2
Problema
Entenda a saída do show log kmd
comando quando a condição da Fase 2 do IKE for uma falha.
Solução
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]= 10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net) Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { cd9dff36 4888d398 - 6b0d3933 f0bc8e26 [0] / 0x1747248b } QM; Error = No proposal chosen (14)
A saída da amostra indica:
10.1.1.2
— Endereço local.fqdn(udp:500,[0..15]=ssg5.example.net
— Peer remoto.Phase 1 [responder] done
— Sucesso da fase 1.Error = No proposal chosen
— Nenhuma proposta foi escolhida durante a Fase 2. Essa questão se deve à incompatibilidade de propostas entre os dois pares.Para resolver este problema, confirme que as propostas da Fase 2 correspondem a ambos os pares.
Resolução de problemas comuns relacionados ao IKE e PKI
Problema
Solucione problemas comuns relacionados ao IKE e PKI.
Habilitar o recurso de opções de rastreamento ajuda você a reunir mais informações sobre os problemas de depuração do que as entradas de log normais. Você pode usar o log de opções de rastreamento para entender as razões para falhas de IKE ou PKI.
Solução
Métodos para resolução de problemas relacionados a IKE e PKI:
Certifique-se de que as configurações de relógio, data, fuso horário e horário de verão estejam corretas. Use NTP para manter o relógio preciso.
Certifique-se de usar um código de país de duas letras no campo "C=" (país) da DN.
Por exemplo: use "EUA" e não "EUA" ou "Estados Unidos". Alguns CAs exigem que o campo rural da DN seja preenchido, permitindo que você insira o valor do código do país apenas com um valor de duas letras.
Certifique-se de que, se um certificado de peer estiver usando vários campos OU=ou CN= você estiver usando o nome diferenciado com método de contêiner (a sequência deve ser mantida e sensível ao caso).
Se o certificado ainda não for válido, verifique o relógio do sistema e, se necessário, ajuste o fuso horário do sistema ou apenas adicione um dia no relógio para um teste rápido.
Certifique-se de que um tipo e valor de IKE ID correspondentes estejam configurados.
O PKI pode falhar devido a uma falha na verificação de revogação. Para confirmar isso, desabilua temporariamente a verificação da revogação e veja se a Fase 1 do IKE é capaz de ser concluída.
Para desativar a verificação de revogação, use o seguinte comando no modo de configuração:
set security pki ca-profile <ca-profile> revocation-check disable