Configurar VPN IPsec basada en políticas con certificados
En este ejemplo se muestra cómo configurar, comprobar y solucionar problemas de PKI. En este tema, se incluyen las siguientes secciones:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 9.4 o posterior
Dispositivos de seguridad de Juniper Networks
Antes de empezar:
Asegúrese de que la interfaz LAN interna del firewall de la serie SRX es ge-0/0/0 en la zona de confianza y tiene una subred IP privada.
Asegúrese de que la interfaz de Internet del dispositivo es ge-0/0/3 en zona no confiable y tiene una IP pública.
Asegúrese de que todo el tráfico entre las LAN locales y remotas esté permitido, y que el tráfico se pueda iniciar desde cualquier lado.
Asegúrese de que el SSG5 se haya preconfigurado correctamente y se haya cargado con un certificado local listo para usar, un certificado de CA y una CRL.
Asegúrese de que el dispositivo SSG5 esté configurado para usar el FQDN de ssg5.example.net (ID de IKE).
Asegúrese de que se utilizan certificados PKI con claves de 1024 bits para las negociaciones de IKE en ambos lados.
Asegúrese de que la CA sea una CA independiente en el dominio example.com para ambas VPN pares.
Descripción general
Figura 1 muestra la topología de red utilizada en este ejemplo para configurar una VPN IPsec basada en políticas para permitir que los datos se transfieran de forma segura entre una oficina corporativa y una oficina remota.
La administración de PKI es la misma tanto para las VPN basadas en políticas como para las VPN basadas en rutas.
En este ejemplo, el tráfico VPN es entrante en la interfaz ge-0/0/0.0 con el siguiente salto de 10.1.1.1. Por lo tanto, el tráfico es saliente en la interfaz ge-0/0/3.0. Cualquier política de túnel debe tener en cuenta las interfaces entrantes y salientes.
Opcionalmente, puede utilizar un protocolo de enrutamiento dinámico como OSPF (no descrito en este documento). Al procesar el primer paquete de una nueva sesión, el dispositivo que ejecuta Junos OS realiza primero una búsqueda de ruta. La ruta estática, que también es la ruta predeterminada, dicta la zona para el tráfico VPN saliente.
Muchas CA usan nombres de host (por ejemplo, FQDN) para especificar varios elementos de la PKI. Dado que el CDP se suele especificar mediante una URL que contiene un FQDN, debe configurar una resolución DNS en el dispositivo que ejecuta Junos OS.
La solicitud de certificado se puede generar mediante los métodos siguientes:
Creación de un perfil de CA para especificar la configuración de CA
Generación de la solicitud de certificado PKCS10
El proceso de solicitud de certificado PKCS10 implica generar un par de claves públicas o privadas y, a continuación, generar la propia solicitud de certificado, utilizando el par de claves.
Tome nota de la siguiente información sobre el perfil de CA:
El perfil de CA define los atributos de una entidad emisora de certificados.
Cada perfil de CA está asociado a un certificado de CA. Si es necesario cargar un certificado de CA nuevo o renovado sin quitar el certificado de CA anterior, se debe crear un nuevo perfil. Este perfil también se puede utilizar para la búsqueda en línea de la CRL.
Puede haber múltiples perfiles de este tipo presentes en el sistema creado para diferentes usuarios.
Si especifica una dirección de correo electrónico de administrador de CA a la que enviar la solicitud de certificado, el sistema redacta un correo electrónico a partir del archivo de solicitud de certificado y lo reenvía a la dirección de correo electrónico especificada. La notificación de estado del correo electrónico se envía al administrador.
La solicitud de certificado se puede enviar a la CA a través de un método fuera de banda.
Las siguientes opciones están disponibles para generar la solicitud de certificado PKCS10:
certificate-id— Nombre del certificado digital local y del par de claves pública/privada. Esto garantiza que se utilice el par de claves adecuado para la solicitud de certificado y, en última instancia, para el certificado local.A partir de Junos OS versión 19.1R1, se agrega una comprobación de confirmación para impedir que el usuario agregue , , y espacio en un identificador de certificado mientras genera un certificado local o remoto o un par de claves.
./%subject— Formato de nombre distinguido que contiene el nombre común, el departamento, el nombre de la empresa, el estado y el país:CN — Nombre común
OU — Departamento
O — Nombre de la empresa
L — Localidad
ST — Estado
C. País
CN — Teléfono
DC — Componente de dominio
No es necesario que introduzca todos los componentes del nombre del sujeto. Tenga en cuenta también que puede introducir varios valores de cada tipo.
domain-name— FQDN. El FQDN proporciona la identidad del propietario del certificado para las negociaciones de IKE y proporciona una alternativa al nombre de sujeto.filename (path | terminal)— (Opcional) Ubicación donde debe colocarse la solicitud de certificado, o el terminal de inicio de sesión.ip-address— (Opcional) Dirección IP del dispositivo.email— (Opcional) Dirección de correo electrónico del administrador de la CA.Debe utilizar un nombre de dominio, una dirección IP o una dirección de correo electrónico.
La solicitud de certificado generada se almacena en una ubicación de archivo especificada. Se guarda una copia local de la solicitud de certificado en el almacenamiento local de certificados. Si el administrador vuelve a emitir este comando, se genera de nuevo la solicitud de certificado.
La solicitud de certificado PKCS10 se almacena en un archivo y una ubicación especificados, desde donde puede descargarla y enviarla a la CA para su inscripción. Si no ha especificado el nombre de archivo o la ubicación, puede obtener los detalles de la solicitud de certificado PKCS10 mediante el comando de la CLI.show security pki certificate-request certificate-id <id-name> Puede copiar el resultado del comando y pegarlo en un front-end web para el servidor de CA o en un correo electrónico.
La solicitud de certificado PKCS10 se genera y almacena en el sistema como un certificado pendiente o una solicitud de certificado. Se envía una notificación por correo electrónico al administrador de la CA (en este ejemplo, certadmin@example.com).
Se utiliza una identidad única denominada certificate-ID para asignar un nombre al par de claves generado. Este ID también se usa en la inscripción de certificados y en los comandos de solicitud para obtener el par de claves correcto. El par de claves generado se guarda en el almacén de certificados en un archivo con el mismo nombre que el identificador de certificado. El tamaño del archivo puede ser 1024 o 2048 bits.
Se puede crear un perfil predeterminado (de reserva) si las CA intermedias no están preinstaladas en el dispositivo. Los valores de perfil predeterminados se utilizan en ausencia de un perfil de CA configurado específicamente.
En el caso de un CDP, se sigue el siguiente orden:
Por perfil de CA
CDP incrustado en el certificado de CA
Perfil de CA predeterminado
Se recomienda utilizar un perfil de CA específico en lugar de un perfil predeterminado.
El administrador envía la solicitud de certificado a la CA. El administrador de CA verifica la solicitud de certificado y genera un nuevo certificado para el dispositivo. El administrador del dispositivo de Juniper Networks lo recupera, junto con el certificado de CA y la CRL.
El proceso de recuperación del certificado de CA, el nuevo certificado local del dispositivo y la CRL de la CA depende de la configuración de CA y del proveedor de software en uso.
Junos OS es compatible con los siguientes proveedores de CA:
Confiar
Verisign
Microsoft
Aunque se pueden usar otros servicios de software de CA, como OpenSSL, para generar certificados, Junos OS no verifica dichos certificados.
Configuración
- Configuración básica de PKI
- Configuración de un perfil de CA
- Generación de un par de claves público-privada
- Inscripción de un certificado local
- Carga de certificados locales y CA
- Configuración de la VPN IPsec con los certificados
Configuración básica de PKI
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar PKI:
Configure una dirección IP y una familia de protocolos en las interfaces de Gigabit Ethernet.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@host# set ge-0/0/3 unit 0 family inet address 10.1.1.2/30
Configure una ruta predeterminada al próximo salto de Internet.
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
Establezca la fecha y hora del sistema.
[edit] user@host# set system time-zone PST8PDT
Una vez confirmada la configuración, compruebe la configuración del reloj con el comando.
show system uptimeuser@host> show system uptime Current time: 2007-11-01 17:57:09 PDT System booted: 2007-11-01 14:36:38 PDT (03:20:31 ago) Protocols started: 2007-11-01 14:37:30 PDT (03:19:39 ago) Last configured: 2007-11-01 17:52:32 PDT (00:04:37 ago) by root 5:57PM up 3:21, 4 users, load averages: 0.00, 0.00, 0.00
Establezca la dirección del servidor NTP.
user@host> set date ntp 130.126.24.24 1 Nov 17:52:52 ntpdate[5204]: step time server 172.16.24.24 offset -0.220645 sec
Establezca la configuración de DNS.
[edit] user@host# set system name-server 172.31.2.1 user@host# set system name-server 172.31.2.2
Configuración de un perfil de CA
Procedimiento paso a paso
-
Cree un perfil de CA de confianza.
[edit] user@host# set security pki ca-profile ms-ca ca-identity example.com
-
Cree una comprobación de revocación para especificar un método para comprobar la revocación de certificados.
Establezca el intervalo de actualización, en horas, para especificar la frecuencia con la que se actualizará la CRL. Los valores predeterminados son la hora de la próxima actualización en la CRL, o 1 semana, si no se especifica la hora de la próxima actualización.
[edit] user@host# set security pki ca-profile ms-ca revocation-check crl refresh-interval 48
En la instrucción de configuración, puede usar la opción para deshabilitar la comprobación de revocación o seleccionar la opción para configurar los atributos de CRL.
revocation-checkdisablecrlPuede seleccionar la opción para permitir las sesiones que coincidan con el perfil de CA cuando falle la descarga de CRL para un perfil de CA.disable on-download-failureLas sesiones solo se permitirán si no hay ninguna CRL antigua presente en el mismo perfil de CA. -
Especifique la ubicación (URL) para recuperar la CRL (HTTP o LDAP). De forma predeterminada, la dirección URL está vacía y usa información de CDP incrustada en el certificado de CA.
[edit] user@host# set security pki ca-profile ms-ca revocation-check crl url http://srv1.example.com/CertEnroll/EXAMPLE.crl
Actualmente solo se puede configurar una URL. La compatibilidad con la configuración de URL de copia de seguridad no está disponible.
-
Especifique una dirección de correo electrónico para enviar la solicitud de certificado directamente a un administrador de CA.
user@host# set security pki ca-profile ms-ca administrator email-address certadmin@example.com
-
Confirme su configuración:
user@host# commit and-quit
commit completeExiting configuration mode
Generación de un par de claves público-privada
Procedimiento paso a paso
Cuando se configura el perfil de CA, el siguiente paso es generar un par de claves en el dispositivo de Juniper Networks. Para generar el par de claves privadas y públicas:
Cree un par de claves de certificado.
user@host> request security pki generate-key-pair certificate-id ms-cert size 1024
Resultados
Después de generar el par de claves pública-privada, el dispositivo de Juniper Networks muestra lo siguiente:
Generated key pair ms-cert, key size 1024 bits
Inscripción de un certificado local
Procedimiento paso a paso
-
Genere una solicitud de certificado digital local en formato PKCS-10. Consulte solicitud de seguridad pki generate-certificate-request.request security pki generate-certificate-request (Security)
user@host> request security pki generate-certificate-request certificate-id ms-cert subject "CN=john doe,CN=10.1.1.2,OU=sales,O=example, L=Sunnyvale,ST=CA,C=US" email user@example.net filename ms-cert-req Generated certificate request -----BEGIN CERTIFICATE REQUEST----- MIIB3DCCAUUCAQAwbDERMA8GA1UEAxMIam9obiBkb2UxDjAMBgNVBAsTBXNhbGVz MRkwFwYDVQQKExBKdW5pcGVyIE5ldHdvcmtzMRIwEAYDVQQHEwlTdW5ueXZhbGUx CzAJBgNVBAgTAkNBMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw gYkCgYEA5EG6sgG/CTFzX6KC/hz6Czal0BxakUxfGxF7UWYWHaWFFYLqo6vXNO8r OS5Yak7rWANAsMob3E2X/1adlQIRi4QFTjkBqGI+MTEDGnqFsJBqrB6oyqGtdcSU u0qUivMvgKQVCx8hpx99J3EBTurfWL1pCNlBmZggNogb6MbwES0CAwEAAaAwMC4G CSqGSIb3DQEJDjEhMB8wHQYDVR0RBBYwFIESInVzZXJAanVuaXBlci5uZXQiMA0G CSqGSIb3DQEBBQUAA4GBAI6GhBaCsXk6/1lE2e5AakFFDhY7oqzHhgd1yMjiSUMV djmf9JbDz2gM2UKpI+yKgtUjyCK/lV2ui57hpZMvnhAW4AmgwkOJg6mpR5rsxdLr 4/HHSHuEGOF17RHO6x0YwJ+KE1rYDRWj3Dtz447ynaLxcDF7buwd4IrMcRJJI9ws -----END CERTIFICATE REQUEST----- Fingerprint: 47:b0:e1:4c:be:52:f7:90:c1:56:13:4e:35:52:d8:8a:50:06:e6:c8 (sha1) a9:a1:cd:f3:0d:06:21:f5:31:b0:6b:a8:65:1b:a9:87 (md5)
En el ejemplo del certificado PKCS10, la solicitud comienza con e incluye la línea BEGIN CERTIFICATE REQUEST y termina con e incluye la línea END CERTIFICATE REQUEST. Esta parte se puede copiar y pegar en su CA para la inscripción. Opcionalmente, también puede descargar el archivo ms-cert-req y enviarlo a la CA.
-
Envíe la solicitud de certificado a la CA y recupere el certificado.
Carga de certificados locales y CA
Procedimiento paso a paso
Cargue el certificado local, el certificado de CA y la CRL.
user@host> file copy ftp://192.168.10.10/certnew.cer certnew.cer /var/tmp//...transferring.file.........crYdEC/100% of 1459 B 5864 kBps user@host> file copy ftp:// 192.168.10.10/CA-certnew.cer CA-certnew.cer /var/tmp//...transferring.file.........UKXUWu/100% of 1049 B 3607 kBps user@host> file copy ftp:// 192.168.10.10/certcrl.crl certcrl.crl /var/tmp//...transferring.file.........wpqnpA/100% of 401 B 1611 kBps
Puede comprobar que todos los archivos se han cargado mediante el comando .
file listCargue el certificado en el almacenamiento local desde el archivo externo especificado.
También debe especificar el ID del certificado para mantener la vinculación adecuada con el par de claves privadas o públicas. Este paso carga el certificado en el almacenamiento de caché RAM del módulo PKI, comprueba la clave privada asociada y comprueba la operación de firma.
user@host> request security pki local-certificate load certificate-id ms-cert filename certnew.cer Local certificate loaded successfully
Cargue el certificado de CA desde el archivo externo especificado.
Debe especificar el perfil de CA para asociar el certificado de CA al perfil configurado.
user@host> request security pki ca-certificate load ca-profile ms-ca filename CA-certnew.cer Fingerprint: 1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1) 90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5) Do you want to load this CA certificate ? [yes,no] (no) yes CA certificate for profile ms-ca loaded successfully
Cargue la CRL en el almacenamiento local.
El tamaño máximo de la CRL es de 5 MB. Debe especificar el perfil de CA asociado en el comando.
user@host> request security pki crl load ca-profile ms-ca filename certcrl.crl CRL for CA profile ms-ca loaded successfully
Resultados
Compruebe que se hayan cargado todos los certificados locales.
user@host> show security pki local-certificate certificate-id ms-cert detail Certificate identifier: ms-cert Certificate version: 3 Serial number: 3a01c5a0000000000011 Issuer: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: LAB Subject: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: john doe Alternate subject: "user@example.net", fqdn empty, ip empty Validity: Not before: 11- 2-2007 22:54 Not after: 11- 2-2008 23:04 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:e4:41:ba:b2:01:bf:09:31:73:5f:a2:82:fe 1c:fa:0b:36:a5:d0:1c:5a:91:4c:5f:1b:11:7b:51:66:16:1d:a5:85 15:82:ea:a3:ab:d7:34:ef:2b:39:2e:58:6a:4e:eb:58:03:40:b0:ca 1b:dc:4d:97:ff:56:9d:95:02:11:8b:84:05:4e:39:01:a8:62:3e:31 31:03:1a:7a:85:b0:90:6a:ac:1e:a8:ca:a1:ad:75:c4:94:bb:4a:94 8a:f3:2f:80:a4:15:0b:1f:21:a7:1f:7d:27:71:01:4e:ea:df:58:bd 69:08:d9:41:99:98:20:36:88:1b:e8:c6:f0:11:2d:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: ldap:///CN=LAB,CN=LABSRV1,CN=CDP,CN=Public%20Key%20Services,CN=Services, CN=Configuration,DC=domain,DC=com?certificateRevocationList?base? objectclass=cRLDistributionPoint http://labsrv1.domain.com/CertEnroll/LAB.crl Fingerprint: c9:6d:3d:3e:c9:3f:57:3c:92:e0:c4:31:fc:1c:93:61:b4:b1:2d:58 (sha1) 50:5d:16:89:c9:d3:ab:5a:f2:04:8b:94:5d:5f:65:bd (md5)
Puede mostrar los detalles del certificado individual especificando certificate-ID en la línea de comandos.
Compruebe todos los certificados de CA o los certificados de CA de un perfil de CA individual (especificado).
user@host> show security pki ca-certificate ca-profile ms-ca detail Certificate identifier: ms-ca Certificate version: 3 Serial number: 44b033d1e5e158b44597d143bbfa8a13 Issuer: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: example Subject: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: example Validity: Not before: 09-25-2007 20:32 Not after: 09-25-2012 20:41 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d1:9e:6f:f4:49:c8:13:74:c3:0b:49:a0:56 11:90:df:3c:af:56:29:58:94:40:74:2b:f8:3c:61:09:4e:1a:33:d0 8d:53:34:a4:ec:5b:e6:81:f5:a5:1d:69:cd:ea:32:1e:b3:f7:41:8e 7b:ab:9c:ee:19:9f:d2:46:42:b4:87:27:49:85:45:d9:72:f4:ae:72 27:b7:b3:be:f2:a7:4c:af:7a:8d:3e:f7:5b:35:cf:72:a5:e7:96:8e 30:e1:ba:03:4e:a2:1a:f2:1f:8c:ec:e0:14:77:4e:6a:e1:3b:d9:03 ad:de:db:55:6f:b8:6a:0e:36:81:e3:e9:3b:e5:c9:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: ldap:///CN=LAB,CN=LABSRV1,CN=CDP,CN=Public%20Key%20Services,CN=Services, CN=Configuration,DC=domain,DC=com?certificateRevocationList?base? objectclass=cRLDistributionPoint http://srv1.domain.com/CertEnroll/LAB.crl Use for key: CRL signing, Certificate signing, Non repudiation Fingerprint: 1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1) 90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5)
Compruebe todas las CRL cargadas o las CRL del perfil de CA individual especificado.
user@host> show security pki crl ca-profile ms-ca detail CA profile: ms-ca CRL version: V00000001 CRL issuer: emailAddress = certadmin@example.net, C = US, ST = CA, L = Sunnyvale, O = Example, OU = example, CN = example Effective date: 10-30-2007 20:32 Next update: 11- 7-2007 08:52
Compruebe la ruta del certificado para el certificado local y el certificado de CA.
user@host> request security pki local-certificate verify certificate-id ms-cert Local certificate ms-cert verification success user@host> request security pki ca-certificate verify ca-profile ms-ca CA certificate ms-ca verified successfully
Configuración de la VPN IPsec con los certificados
Procedimiento paso a paso
Para configurar la VPN IPsec con el certificado, consulte el diagrama de red que se muestra en Figura 1
Configure zonas de seguridad y asigne interfaces a las zonas.
En este ejemplo, los paquetes son entrantes el , y la zona de entrada es la zona de confianza.
ge-0/0/0[edit security zones security-zone] user@host# set trust interfaces ge-0/0/0.0 user@host# set untrust interfaces ge-0/0/3.0
Configure los servicios de entrada de host para cada zona.
Los servicios de entrada de host son para el tráfico destinado al dispositivo de Juniper Networks. Estas configuraciones incluyen, entre otras, FTP, HTTP, HTTPS, IKE, ping, rlogin, RSH, SNMP, SSH, Telnet, TFTP y traceroute.
[edit security zones security-zone] user@host# set trust host-inbound-traffic system-services all user@host# set untrust host-inbound-traffic system-services ike
Configure las entradas de la libreta de direcciones para cada zona.
[edit security zones security-zone] user@host# set trust address-book address local-net 192.168.10.0/24 user@host# set untrust address-book address remote-net 192.168.168.0/24
Configure la propuesta de IKE (fase 1) para utilizar el cifrado RSA.
[edit security ike proposal rsa-prop1] user@host# set authentication-method rsa-signatures user@host# set encryption-algorithm 3des-cbc user@host# set authentication-algorithm sha1 user@host# set dh-group group2
Configure una política de IKE.
El intercambio de fase 1 puede tener lugar en modo principal o en modo agresivo.
[edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals rsa-prop1 user@host# set certificate local-certificate ms-cert user@host# set certificate peer-certificate-type x509- signature user@host# set certificate trusted-ca use-all
Configure una puerta de enlace IKE.
En este ejemplo, el par se identifica mediante un FQDN (nombre de host). Por lo tanto, el ID de IKE de puerta de enlace debe ser el nombre de dominio del par remoto. Debe especificar la interfaz externa correcta o el ID del par para identificar correctamente la puerta de enlace de IKE durante la configuración de la fase 1.
[edit security ike gateway ike-gate] user@host# set external-interface ge-0/0/3.0 user@host# set ike-policy ike-policy1 user@host# set dynamic hostname ssg5.example.net
Configure la directiva IPsec.
En este ejemplo se usa el conjunto de propuestas estándar, que incluye y propuestas.
esp-group2-3des-sha1esp-group2- aes128-sha1Sin embargo, se puede crear una propuesta única y, a continuación, especificarla en la directiva IPsec si es necesario.[edit security ipsec policy vpn-policy1] user@host# set proposal-set standard user@host# set perfect-forward-secrecy keys group2
Configure la VPN IPsec con una puerta de enlace IKE y una política IPsec.
En este ejemplo, se debe hacer referencia al nombre de VPN ike-vpn en la política de túnel para crear una asociación de seguridad. Además, si es necesario, se puede especificar un tiempo de inactividad y un ID de proxy si son diferentes de las direcciones de política de túnel.
[edit security ipsec vpn ike-vpn ike] user@host# set gateway ike-gate user@host# set ipsec-policy vpn-policy1
Configure políticas de túnel bidireccional para el tráfico VPN.
En este ejemplo, el tráfico desde la LAN host a la LAN de oficina remota requiere una directiva de túnel de confianza de zona a zona de no confianza. Sin embargo, si una sesión necesita originarse desde la LAN remota a la LAN host, también se requiere una política de túnel en la dirección opuesta de la no confianza de zona a la confianza de zona. Cuando se especifica la política en la dirección opuesta a la política de pares, la VPN se vuelve bidireccional. Tenga en cuenta que, además de la acción de permiso, también debe especificar el perfil IPsec que se va a utilizar. Tenga en cuenta que para las políticas de túnel, la acción siempre está permitida. De hecho, si está configurando una política con la acción de denegación, no verá ninguna opción para especificar el túnel.
[edit security policies from-zone trust to-zone untrust] user@host# set policy tunnel-policy-out match source-address local-net user@host# set policy tunnel-policy-out match destination-address remote-net user@host# set policy tunnel-policy-out match application any user@host# set policy tunnel-policy-out then permit tunnel ipsec-vpn ike-vpn pair-policy tunnel-policy-in user@host# top edit security policies from-zone untrust to-zone trust user@host# set policy tunnel-policy-in match source-address remote-net user@host# set policy tunnel-policy-in match destination-address local-net user@host# set policy tunnel-policy-in match application any user@host# set policy tunnel-policy-in then permit tunnel ipsec-vpn ike-vpn pair-policy tunnel-policy-out
Configure una regla NAT de origen y una política de seguridad para el tráfico de Internet.
El dispositivo utiliza la interfaz source-nat especificada y traduce la dirección IP de origen y el puerto para el tráfico saliente, utilizando la dirección IP de la interfaz de salida como dirección IP de origen y un puerto superior aleatorio para el puerto de origen. Si es necesario, se pueden crear políticas más granulares para permitir o denegar cierto tráfico.
[edit security nat source rule-set nat-out] user@host#set from zone trust user@host#set to zone untrust user@host#set rule interface-nat match source-address 192.168.10.0/24 user@host#set rule interface-nat match destination-address 0.0.0.0/0 user@host#set rule interface-nat then source-nat interface
[edit security policies from-zone trust to-zone untrust] user@host# set policy any-permit match source-address any user@host# set policy any-permit match destination-address any user@host# set policy any-permit match application any user@host# set policy any-permit then permit
Mueva la política de túnel por encima de la política de cualquier permiso.
[edit security policies from-zone trust to-zone untrust] user@host# insert policy tunnel-policy-out before policy any-permit
La política de seguridad debe estar debajo de la política de túnel en la jerarquía, ya que la lista de políticas se lee de arriba a abajo. Si esta directiva estuviera por encima de la directiva de túnel, el tráfico siempre coincidiría con esta directiva y no continuaría con la siguiente directiva. Por lo tanto, ningún tráfico de usuario estaría cifrado.
Configure la opción tcp-mss para el tráfico TCP a través del túnel.
TCP-MSS se negocia como parte del protocolo de enlace TCP de 3 vías. Limita el tamaño máximo de un segmento TCP para adaptarse a los límites de MTU en una red. Esto es muy importante para el tráfico VPN, ya que la sobrecarga de encapsulación de IPsec junto con la sobrecarga de IP y trama puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, lo que provoca fragmentación. Porque la fragmentación aumenta el ancho de banda y el uso de recursos del dispositivo, y en general debe evitarse.
El valor recomendado para tcp-mss es 1350 para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que sea necesario modificar este valor si algún dispositivo en la ruta de acceso tiene un valor inferior de MTU o si hay alguna sobrecarga agregada, como PPP, Frame Relay, etc. Como regla general, es posible que deba experimentar con diferentes valores tcp-mss para obtener un rendimiento óptimo.
user@host# set security flow tcp-mss ipsec-vpn mss mss-value Example: [edit] user@host# set security flow tcp-mss ipsec-vpn mss 1350 user@host# commit and-quit commit complete Exiting configuration mode
Verificación
Confirme que la configuración funcione correctamente.
- Confirmación del estado de fase 1 de IKE
- Obtener detalles sobre asociaciones de seguridad individuales
- Confirmación del estado de fase 2 de IPsec
- Visualización de detalles de asociación de seguridad IPsec
- Comprobación de estadísticas de SA IPsec
- Probar el flujo de tráfico a través de la VPN
- Confirmación de la conectividad
Confirmación del estado de fase 1 de IKE
Propósito
Confirme el estado de VPN comprobando cualquier estado de asociaciones de seguridad de fase 1 de IKE.
La PKI relacionada con los túneles IPsec se forma durante la instalación de la fase 1. La finalización de la fase 1 indica que la PKI se realizó correctamente.
Acción
Desde el modo operativo, ingrese el comando show security ike security-associations.
user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 2010.2.2.2 UP af4f78bc135e4365 48a35f853ee95d21 Main
Significado
El resultado indica que:
El par remoto es 10.2.2.2 y el estado es UP, lo que significa la asociación exitosa del establecimiento de la fase 1.
El ID de IKE del par remoto, la política de IKE y las interfaces externas son correctas.
El índice 20 es un valor único para cada asociación de seguridad IKE. Puede usar estos detalles de salida para obtener más detalles sobre cada asociación de seguridad. Consulte Obtener detalles sobre asociaciones de seguridad individuales.
Una salida incorrecta indicaría que:
El estado del par remoto es Abajo.
No existen asociaciones de seguridad IKE.
Existen parámetros de política de IKE, como el tipo de modo incorrecto (Aggr o Main), problemas de PKI o propuestas de fase 1 (todos deben coincidir en ambos pares). Para obtener más información, consulte Solución de problemas de IKE, PKI e IPsec.
La interfaz externa no es válida para recibir los paquetes IKE. Compruebe las configuraciones para problemas relacionados con PKI, compruebe si hay otros errores en el registro del demonio de administración de claves (kmd) o ejecute opciones de seguimiento para encontrar la discrepancia. Para obtener más información, consulte Solución de problemas de IKE, PKI e IPsec.
Obtener detalles sobre asociaciones de seguridad individuales
Propósito
Obtén detalles sobre IKE individual.
Acción
Desde el modo operativo, ingrese el comando show security ike security-associations index 20 detail.
user@host> show security ike security-associations index 20 detail IKE peer 10.2.2.2, Index 20, Role: Responder, State: UP Initiator cookie: af4f78bc135e4365, Responder cookie: 48a35f853ee95d21 Exchange type: Main, Authentication method: RSA-signatures Local: 10.1.1.2:500, Remote: 10.2.2.2:500 Lifetime: Expires in 23282 seconds Algorithms: Authentication : sha1 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Traffic statistics: Input bytes : 10249 Output bytes : 4249 Input packets: 10 Output packets: 9 Flags: Caller notification sent IPsec security associations: 2 created, 1 deleted Phase 2 negotiations in progress: 0
Significado
El resultado muestra los detalles de las SA de IKE individuales, como el rol (iniciador o respondedor), el estado, el tipo de intercambio, el método de autenticación, los algoritmos de cifrado, las estadísticas de tráfico, el estado de negociación de fase 2, etc.
Puede utilizar los datos de salida para:
Conozca el papel de la SA de IKE. La solución de problemas es más fácil cuando el par tiene la función de respondedor.
Obtenga las estadísticas de tráfico para verificar el flujo de tráfico en ambas direcciones.
Obtenga el número de asociaciones de seguridad IPsec creadas o en curso.
Obtenga el estado de cualquier negociación de Fase 2 completada.
Confirmación del estado de fase 2 de IPsec
Propósito
Ver asociaciones de seguridad IPsec (fase 2).
Cuando se confirme la fase 1 de IKE, vea las asociaciones de seguridad IPsec (fase 2).
Acción
Desde el modo operativo, ingrese el comando show security ipsec security-associations.
user@host> show security ipsec security-associations total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <2 10.2.2.2 500 ESP:3des/sha1 bce1c6e0 1676/ unlim - 0 >2 10.2.2.2 500 ESP:3des/sha1 1a24eab9 1676/ unlim - 0
Significado
El resultado indica que:
Hay disponible un par SA IPsec configurado. El número de puerto 500 indica que se utiliza un puerto IKE estándar. De lo contrario, es Network Address Translation-Traversal (NAT-T), 4500 o puerto alto aleatorio.
El índice de parámetros de seguridad (SPI) se utiliza para ambas direcciones. La duración o los límites de uso de la SA se expresan en segundos o en kilobytes. En la salida, 1676/ unlim indica que la duración de la fase 2 está configurada para expirar en 1676 segundos y no hay un tamaño de vida útil especificado.
El número de identificador muestra el valor de índice único para cada SA IPsec.
Un guión () en la columna Mon indica que la supervisión de VPN no está habilitada para esta SA.
-El sistema virtual (vsys) es cero, que es el valor predeterminado.
La duración de la fase 2 puede ser diferente de la duración de la fase 1 porque la fase 2 no depende de la fase 1 después de que la VPN esté activa.
Visualización de detalles de asociación de seguridad IPsec
Propósito
Muestra los detalles individuales de la SA de IPsec identificados por el número de índice.
Acción
Desde el modo operativo, ingrese el comando show security ipsec security-associations index 2 detail.
user@host> show security ipsec security-associations index 2 detail Virtual-system: Root Local Gateway: 10.1.1.2, Remote Gateway: 10.2.2.2 Local Identity: ipv4_subnet(any:0,[0..7]=192.168.10.0/24) Remote Identity: ipv4_subnet(any:0,[0..7]=192.168.168.0/24) DF-bit: clear Policy-name: tunnel-policy-out Direction: inbound, SPI: bce1c6e0, AUX-SPI: 0 Hard lifetime: Expires in 1667 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1093 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: enabled, Replay window size: 32 Direction: outbound, SPI: 1a24eab9, AUX-SPI: 0 Hard lifetime: Expires in 1667 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1093 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: enabled, Replay window size: 32
Significado
El resultado muestra la identidad local y la identidad remota.
Tenga en cuenta que una discrepancia de ID de proxy puede hacer que se produzca un error en la finalización de la fase 2. El ID de proxy se deriva de la política de túnel (para VPN basadas en políticas). La dirección local y la dirección remota se derivan de las entradas de la libreta de direcciones, y el servicio se deriva de la aplicación configurada para la directiva.
Si se produce un error en la fase 2 debido a una discrepancia del ID de proxy, compruebe qué entradas de la libreta de direcciones están configuradas en la directiva y asegúrese de que se envían las direcciones correctas. Asegúrese también de que los puertos coinciden. Vuelva a comprobar el servicio para asegurarse de que los puertos coinciden con los servidores remoto y local.
Si se configuran varios objetos en una política de túnel para la dirección de origen, la dirección de destino o la aplicación, el ID de proxy resultante para ese parámetro se cambia a ceros.
Por ejemplo, suponga el siguiente escenario para una directiva de túnel:
Direcciones locales de 192.168.10.0/24 y 10.10.20.0/24
Dirección remota de 192.168.168.0/24
Aplicación como junos-http
El ID de proxy resultante es local 0.0.0.0/0, remoto 192.168.168.0/24, servicio 80.
Los ID de proxy resultantes pueden afectar a la interoperabilidad si el par remoto no está configurado para la segunda subred. Además, si está empleando la aplicación de un proveedor externo, es posible que tenga que ingresar manualmente el ID de proxy para que coincida.
Si IPsec no se completa, compruebe el registro de kmd o use el comando.set traceoptions Para obtener más información, consulte Solución de problemas de IKE, PKI e IPsec.
Comprobación de estadísticas de SA IPsec
Propósito
Compruebe las estadísticas y los errores de una SA IPsec.
Para solucionar problemas, compruebe si hay errores en los contadores Carga de seguridad de encapsulación/encabezado de autenticación (ESP/AH) en busca de errores con una SA IPsec determinada.
Acción
Desde el modo operativo, ingrese el comando show security ipsec statistics index 2.
user@host> show security ipsec statistics index 2 ESP Statistics: Encrypted bytes: 674784 Decrypted bytes: 309276 Encrypted packets: 7029 Decrypted packets: 7029 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Significado
Un valor de error de cero en la salida indica una condición normal.
Recomendamos ejecutar este comando varias veces para observar cualquier problema de pérdida de paquetes en una VPN. El resultado de este comando también muestra las estadísticas de los contadores de paquetes cifrados y descifrados, los contadores de errores, etc.
Debe habilitar las opciones de seguimiento del flujo de seguridad para investigar qué paquetes ESP están experimentando errores y por qué. Para obtener más información, consulte Solución de problemas de IKE, PKI e IPsec.
Probar el flujo de tráfico a través de la VPN
Propósito
Pruebe el flujo de tráfico a través de la VPN después de que la fase 1 y la fase 2 se hayan completado correctamente. Puede probar el flujo de tráfico mediante el comando.ping Puede hacer ping de host local a host remoto. También puede iniciar pings desde el propio dispositivo de Juniper Networks.
En este ejemplo se muestra cómo iniciar una solicitud ping desde el dispositivo de Juniper Networks al host remoto. Tenga en cuenta que cuando se inician pings desde el dispositivo de Juniper Networks, se debe especificar la interfaz de origen para garantizar que se realice la búsqueda de ruta correcta y que se haga referencia a las zonas apropiadas en la búsqueda de políticas.
En este ejemplo, la interfaz ge-0/0/0.0 reside en la misma zona de seguridad que el host local y debe especificarse en la solicitud ping para que la búsqueda de directivas pueda pasar de la zona de confianza a la zona de no confianza.
Acción
Desde el modo operativo, ingrese el comando ping 192.168.168.10 interface ge-0/0/0 count 5.
user@host> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
Confirmación de la conectividad
Propósito
Confirme la conectividad entre un host remoto y un host local.
Acción
Desde el modo operativo, ingrese el comando ping 192.168.10.10 from ethernet0/6.
ssg5-> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
Significado
Puede confirmar la conectividad de extremo a extremo mediante el comando del host remoto al host local.ping En este ejemplo, el comando se inicia desde el dispositivo SSG5.
Una conectividad de extremo a extremo fallida puede indicar un problema con el enrutamiento, la política, el host final o el cifrado/descifrado de los paquetes ESP. Para verificar las causas exactas del error:
Consulte las estadísticas de IPsec para obtener más información sobre los errores, tal como se describe en .Comprobación de estadísticas de SA IPsec
Confirme la conectividad del host final mediante el comando de un host en la misma subred que el host final.
pingSi otros hosts pueden acceder al host final, puede suponer que el problema no es con el host final.Habilite las opciones de seguimiento del flujo de seguridad para solucionar los problemas relacionados con el enrutamiento y las políticas.
Solución de problemas de IKE, PKI e IPsec
Solucionar problemas de IKE, PKI e IPsec.
- Pasos básicos para la solución de problemas
- Comprobación del espacio libre en disco del dispositivo
- Comprobación de los archivos de registro para comprobar diferentes escenarios y carga de archivos de registro en un FTP
- Habilitación de las opciones de seguimiento de IKE para ver mensajes en IKE
- Habilitar opciones de seguimiento de PKI para ver mensajes en IPsec
- Configuración de las opciones de seguimiento de IKE y PKI para solucionar problemas de instalación de IKE con certificados
- Análisis del mensaje de éxito de la fase 1
- Análisis del mensaje de error de fase 1 (no coincidencia de propuestas)
- Análisis del mensaje de error de fase 1 (error de autenticación)
- Análisis del mensaje de error de fase 1 (error de tiempo de espera)
- Análisis del mensaje de error de fase 2
- Análisis del mensaje de error de fase 2
- Solución de problemas comunes relacionados con IKE y PKI
Pasos básicos para la solución de problemas
Problema
Los pasos básicos para la solución de problemas son los siguientes:
Identificar y aislar el problema.
Depurar el problema.
El enfoque común de comenzar la solución de problemas es con la capa más baja de las capas OSI y avanzar hacia arriba en la pila OSI para confirmar la capa en la que se produce la falla.
Solución
Los pasos básicos para solucionar problemas de IKE, PKI e IPsec son los siguientes:
Confirme la conectividad física del vínculo de Internet en los niveles físico y de vínculo de datos.
Confirme que el dispositivo de Juniper Networks tenga conectividad al próximo salto de Internet y conectividad al par IKE remoto.
Confirme la finalización de la fase 1 de IKE.
Confirme la finalización de la fase 2 de IKE si la finalización de la fase 1 de IKE se realiza correctamente.
Confirme el flujo de tráfico a través de la VPN (si la VPN está activa y activa).
Junos OS incluye la función de opciones de rastreo. Con esta función, puede habilitar un indicador de opción de seguimiento para escribir los datos de la opción de seguimiento en un archivo de registro, que se puede configurar o almacenar manualmente en la memoria flash. Estos registros de seguimiento se pueden conservar incluso después de reiniciar el sistema. Compruebe el almacenamiento flash disponible antes de implementar las opciones de rastreo.
Puede habilitar la característica de opciones de seguimiento en el modo de configuración y confirmar la configuración para utilizar la característica de opciones de seguimiento. Del mismo modo, para deshabilitar las opciones de seguimiento, debe desactivar las opciones de seguimiento en el modo de configuración y confirmar la configuración.
Comprobación del espacio libre en disco del dispositivo
Problema
Verifique las estadísticas sobre el espacio libre en disco en los sistemas de archivos de su dispositivo.
Solución
Desde el modo operativo, ingrese el comando show system storage.
user@host> show system storage Filesystem Size Used Avail Capacity Mounted on /dev/ad0s1a 213M 74M 137M 35% / devfs 1.0K 1.0K 0B 100% /dev devfs 1.0K 1.0K 0B 100% /dev/ /dev/md0 180M 180M 0B 100% /junos /cf 213M 74M 137M 35% /junos/cf devfs 1.0K 1.0K 0B 100% /junos/dev/ procfs 4.0K 4.0K 0B 100% /proc /dev/bo0s1e 24M 13K 24M 0% /config /dev/md1 168M 7.6M 147M 5% /mfs /cf/var/jail 213M 74M 137M 35% /jail/var
El representa la memoria flash integrada y actualmente está al 35 por ciento de su capacidad./dev/ad0s1a
Comprobación de los archivos de registro para comprobar diferentes escenarios y carga de archivos de registro en un FTP
Problema
Vea los archivos de registro para comprobar la seguridad, los mensajes de depuración ICR, las depuraciones del flujo de seguridad y el estado del registro en syslog.
Solución
Desde el modo operativo, escriba los comandos , , y .show log kmdshow log pkidshow log security-traceshow log messages
user@host> show log kmd user@host> show log pkid user@host> show log security-trace user@host> show log messages
Puede ver una lista de todos los registros del directorio /var/log mediante el comando.show log
Los archivos de registro también se pueden cargar en un servidor FTP mediante el comando.file copy
(operational mode): user@host> file copy path/filename dest-path/filename Example:
user@host> file copy /var/log/kmd ftp://192.168.10.10/kmd.log
ftp://192.168.10.10/kmd.log 100% of 35 kB 12 MBps
Habilitación de las opciones de seguimiento de IKE para ver mensajes en IKE
Problema
Para ver los mensajes de éxito o error de IKE o IPsec, puede ver el registro de kmd mediante el comando.show log kmd Dado que el registro de kmd muestra algunos mensajes generales, puede ser útil obtener detalles adicionales habilitando las opciones de seguimiento de IKE y PKI.
Por lo general, se recomienda solucionar los problemas del interlocutor que tiene la función de respondedor. Debe obtener el resultado de seguimiento del iniciador y del respondedor para comprender la causa de un error.
Configure las opciones de seguimiento de IKE.
Solución
user@host> configure Entering configuration mode [edit] user@host# edit security ike traceoptions [edit security ike traceoptions]
user@host# set file ? Possible completions: <filename> Name of file in which to write trace information files Maximum number of trace files (2..1000) match Regular expression for lines to be logged no-world-readable Don't allow any user to read the log file size Maximum trace file size (10240..1073741824) world-readable Allow any user to read the log file
[edit security ike traceoptions]
user@host# set flag ? Possible completions: all Trace everything certificates Trace certificate events database Trace security associations database events general Trace general events ike Trace IKE module processing parse Trace configuration processing policy-manager Trace policy manager processing routing-socket Trace routing socket messages timer Trace internal timer events
Si no especifica nombres de archivo para el campo <nombre de archivo>, todas las opciones de seguimiento de IKE se escriben en el registro kmd.
Debe especificar al menos una opción de indicador para escribir datos de seguimiento en el registro. Por ejemplo:
file size— Tamaño máximo de cada archivo de seguimiento, en bytes. Por ejemplo, 1 millón (1.000.000) puede generar un tamaño máximo de archivo de 1 MB.files— Número máximo de archivos traza que deben generarse y almacenarse en un dispositivo de memoria flash.
Debe confirmar su configuración para iniciar el seguimiento.
Habilitar opciones de seguimiento de PKI para ver mensajes en IPsec
Problema
Habilite las opciones de seguimiento de PKI para identificar si un error de IKE está relacionado con el certificado o con un problema que no es de PKI.
Solución
[edit security pki traceoptions]
user@host# set file ? Possible completions: <filename> Name of file in which to write trace information files Maximum number of trace files (2..1000) match Regular expression for lines to be logged no-world-readable Don't allow any user to read the log file size Maximum trace file size (10240..1073741824) world-readable Allow any user to read the log file
[edit security pki traceoptions]
user@host# set flag ? Possible completions: all Trace with all flags enabled certificate-verification PKI certificate verification tracing online-crl-check PKI online crl tracing
Configuración de las opciones de seguimiento de IKE y PKI para solucionar problemas de instalación de IKE con certificados
Problema
Configure las opciones recomendadas para las opciones de seguimiento de IKE y PKI.
Las opciones de seguimiento de IKE y PKI utilizan los mismos parámetros, pero el nombre de archivo predeterminado para todos los seguimientos relacionados con PKI se encuentra en el registro pkid.
Solución
user@host> configure Entering configuration mode [edit security ike traceoptions] user@host# set file size 1m user@host# set flag ike user@host# set flag policy-manager user@host# set flag routing-socket user@host# set flag certificates [edit security pki traceoptions] user@host# set file size 1m user@host# set flag all user@host# commit and-quit commit complete Exiting configuration mode
Análisis del mensaje de éxito de la fase 1
Problema
Comprenda el resultado del comando cuando las condiciones de fase 1 y fase 2 de IKE se ejecutan correctamente.show log kmd
Solución
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]= 10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net) Nov 7 11:52:14 Phase-2 [responder] done for p1_local=ipv4(udp:500,[0..3]=10.1.1.2) p1_remote=fqdn(udp:500,[0..15]=ssg5.example.net) p2_local=ipv4_subnet(any:0,[0..7]=192.168.10.0/24) p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
La salida de ejemplo indica:
10.1.1.2—Dirección local.ssg5.example.net: par remoto (nombre de host con FQDN).udp: 500—NAT-T no fue negociado.Phase 1 [responder] done: estado de fase 1, junto con el rol (iniciador o respondedor).Phase 2 [responder] done: estado de fase 1, junto con la información del ID de proxy.También puede confirmar el estado de SA de IPsec mediante los comandos de verificación mencionados en .Confirmación del estado de fase 1 de IKE
Análisis del mensaje de error de fase 1 (no coincidencia de propuestas)
Problema
Comprender el resultado del comando, donde la condición de fase 1 de IKE es un error, ayuda a determinar la razón por la que la VPN no establece la fase 1.show log kmd
Solución
Nov 7 11:52:14 Phase-1 [responder] failed with error(No proposal chosen) for
local=unknown(any:0,[0..0]=) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 011359c9 ddef501d - 2216ed2a bfc50f5f [-
1] / 0x00000000 } IP; Error = No proposal chosen (14)La salida de ejemplo indica:
10.1.1.2—Dirección local.ssg5.example.net: par remoto (nombre de host con FQDN).udp: 500—NAT-T no fue negociado.Phase-1 [responder] failed with error (No proposal chosen)—Error de fase 1 debido a una falta de coincidencia de propuestas.
Para resolver este problema, asegúrese de que los parámetros de las propuestas de fase 1 de la puerta de enlace IKE tanto en el respondedor como en el iniciador coinciden. Confirme también que existe una política de túnel para la VPN.
Análisis del mensaje de error de fase 1 (error de autenticación)
Problema
Comprenda el resultado del comando cuando la condición de fase 1 de IKE es un error.show log kmd Esto ayuda a determinar la razón por la que la VPN no establece la fase 1.
Solución
Nov 7 12:06:36 Unable to find phase-1 policy as remote peer:10.2.2.2 is not recognized.
Nov 7 12:06:36 Phase-1 [responder] failed with error(Authentication failed) for
local=ipv4(udp:500,[0..3]=10.1.1.2) remote=ipv4(any:0,[0..3]=10.2.2.2)
Nov 7 12:06:36 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { f725ca38 dad47583 - dab1ba4c ae26674b [-
1] / 0x00000000 } IP; Error = Authentication failed (24)
La salida de ejemplo indica:
10.1.1.2—Dirección local.10.2.2.2—Par remotoPhase 1 [responder] failed with error (Authentication failed): error de fase 1 debido a que el respondedor no reconoce la solicitud entrante que se origina en un par de puerta de enlace válido. En el caso de IKE con certificados PKI, este error suele indicar que se especificó o introdujo un tipo de ID de IKE incorrecto.
Para resolver este problema, confirme que se especificó el tipo de identificador IKE del mismo nivel correcto en el par local en función de lo siguiente:
Cómo se generó el certificado par remoto
Nombre alternativo del sujeto o información de DN en el certificado par remoto recibido
Análisis del mensaje de error de fase 1 (error de tiempo de espera)
Problema
Comprenda el resultado del comando cuando la condición de fase 1 de IKE es un error.show log kmd
Solución
Nov 7 13:52:39 Phase-1 [responder] failed with error(Timeout) for local=unknown(any:0,[0..0]=) remote=ipv4(any:0,[0..3]=10.2.2.2)
La salida de ejemplo indica:
10.1.1.2—Dirección local.10.2.2.2—Par remoto.Phase 1 [responder] failed with error(Timeout)—Error de fase 1.Este error indica que el paquete IKE se perdió en ruta al par remoto o que hay un retraso o ninguna respuesta del par remoto.
Dado que este error de tiempo de espera es el resultado de esperar una respuesta del demonio PKI, debe revisar la salida de las opciones de seguimiento de PKI para ver si hay un problema con PKI.
Análisis del mensaje de error de fase 2
Problema
Comprenda el resultado del comando cuando la condición de fase 2 de IKE es un error.show log kmd
Solución
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]=
10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 Failed to match the peer proxy ids
p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
p2_local=ipv4_subnet(any:0,[0..7]=10.10.20.0/24) for the remote peer:ipv4(udp:500,[0..3]=10.2.2.2)
Nov 7 11:52:14 KMD_PM_P2_POLICY_LOOKUP_FAILURE: Policy lookup for Phase-2 [responder] failed for
p1_local=ipv4(udp:500,[0..3]=10.1.1.2) p1_remote=ipv4(udp:500,[0..3]=10.2.2.2)
p2_local=ipv4_subnet(any:0,[0..7]=10.10.20.0/24)
p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 41f638eb cc22bbfe - 43fd0e85 b4f619d5 [0]
/ 0xc77fafcf } QM; Error = No proposal chosen (14)
La salida de ejemplo indica:
10.1.1.2—Dirección local.ssg5.example.net: par remoto (nombre de host de tipo ID de IKE con FQDN).Phase 1 [responder] done—Éxito de la fase 1.Failed to match the peer proxy ids: se reciben los ID de proxy incorrectos. En el ejemplo anterior, los dos ID de proxy recibidos son 192.168.168.0/24 (remoto) y 10.10.20.0/24 (local) (para service=any). Según la configuración dada en este ejemplo, la dirección local esperada es 192.168.10.0/24. Esto muestra que hay una falta de coincidencia de configuraciones en el par local, lo que resulta en un error de coincidencia de ID de proxy.Para resolver este problema, corrija la entrada de la libreta de direcciones o configure el identificador de proxy en cualquiera de los pares para que coincida con el otro par.
El resultado también indica que el motivo del error es .
No proposal chosenSin embargo, en este caso también verá el mensaje .Failed to match the peer proxy ids
Análisis del mensaje de error de fase 2
Problema
Comprenda el resultado del comando cuando la condición de fase 2 de IKE es un error.show log kmd
Solución
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]=
10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { cd9dff36 4888d398 - 6b0d3933 f0bc8e26 [0]
/ 0x1747248b } QM; Error = No proposal chosen (14)
La salida de ejemplo indica:
10.1.1.2—Dirección local.fqdn(udp:500,[0..15]=ssg5.example.net—Par remoto.Phase 1 [responder] done—Éxito de la fase 1.Error = No proposal chosen—No se eligió ninguna propuesta durante la Fase 2. Este problema se debe a la falta de coincidencia de propuestas entre los dos pares.Para resolver este problema, confirme que las propuestas de fase 2 coinciden en ambos pares.
Solución de problemas comunes relacionados con IKE y PKI
Problema
Solucionar problemas comunes relacionados con IKE y PKI.
Habilitar la característica de opciones de seguimiento le ayuda a recopilar más información sobre los problemas de depuración de la que se puede obtener de las entradas de registro normales. Puede utilizar el registro de opciones de seguimiento para comprender los motivos de los errores de IKE o PKI.
Solución
Métodos para solucionar los problemas relacionados con IKE y PKI:
Asegúrese de que la configuración del reloj, la fecha, la zona horaria y el horario de verano sean correctos. Utilice NTP para mantener el reloj preciso.
Asegúrese de utilizar un código de país de dos letras en el campo "C=" (país) del DN.
Por ejemplo: use "US" y no "USA" o "United States". Algunas CA requieren que se rellene el campo país del DN, lo que permite introducir el valor del código de país solo con un valor de dos letras.
Asegúrese de que si un certificado del mismo nivel utiliza varios campos OU=o CN=, está utilizando el método de nombre distintivo con contenedor (la secuencia debe mantenerse y distingue entre mayúsculas y minúsculas).
Si el certificado aún no es válido, verifique el reloj del sistema y, si es necesario, ajuste la zona horaria del sistema o simplemente agregue un día en el reloj para una prueba rápida.
Asegúrese de que se haya configurado un tipo y un valor de ID de IKE coincidentes.
PKI puede fallar debido a un error de comprobación de revocación. Para confirmar esto, desactive temporalmente la comprobación de revocación y vea si la fase 1 de IKE puede completarse.
Para deshabilitar la comprobación de revocación, utilice el siguiente comando en el modo de configuración:
set security pki ca-profile <ca-profile> revocation-check disable