Configurer un VPN IPsec basé sur des stratégies avec des certificats
Cet exemple montre comment configurer, vérifier et dépanner la PKI. Cette rubrique comprend les sections suivantes :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 9.4 ou ultérieure
Équipements de sécurité Juniper Networks
Avant de commencer :
Assurez-vous que l’interface LAN interne du pare-feu SRX Series est ge-0/0/0 dans l’approbation de zone et dispose d’un sous-réseau IP privé.
Assurez-vous que l’interface Internet de l’appareil est ge-0/0/3 en zone untrust et qu’elle dispose d’une adresse IP publique.
Assurez-vous que tout le trafic entre le réseau local et les réseaux locaux distants est autorisé et que le trafic peut être initié d’un côté ou de l’autre.
Assurez-vous que le SSG5 a été préconfiguré correctement et chargé avec un certificat local, un certificat d’autorité de certification et une liste de révocation de certificats prêts à l’emploi.
Assurez-vous que l’appareil SSG5 est configuré pour utiliser le nom de domaine complet de ssg5.example.net (ID IKE).
Assurez-vous que des certificats PKI avec des clés de 1024 bits sont utilisés pour les négociations IKE des deux côtés.
Assurez-vous qu’il s’agit d’une autorité de certification autonome au niveau du domaine example.com pour les deux homologues VPN.
Présentation
Figure 1 montre la topologie de réseau utilisée dans cet exemple pour configurer un VPN IPsec basé sur des stratégies afin d’autoriser le transfert sécurisé de données entre un siège social et un bureau distant.
L’administration PKI est la même pour les VPN basés sur des stratégies et les VPN basés sur le routage.
Dans cet exemple, le trafic VPN est entrant sur l’interface ge-0/0/0.0 avec le saut suivant de 10.1.1.1. Ainsi le trafic est sortant sur l’interface ge-0/0/3.0. Toute stratégie de tunnel doit prendre en compte les interfaces entrantes et sortantes.
Si vous le souhaitez, vous pouvez utiliser un protocole de routage dynamique tel qu’OSPF (non décrit dans ce document). Lors du traitement du premier paquet d’une nouvelle session, le périphérique exécutant Junos OS effectue d’abord une recherche de route. La route statique, qui est également la route par défaut, dicte la zone pour le trafic VPN sortant.
De nombreuses autorités de certification utilisent des noms d’hôte (par exemple, FQDN) pour spécifier divers éléments de l’ICP. Étant donné que la CDP est généralement spécifiée à l’aide d’une URL contenant un nom de domaine complet, vous devez configurer un résolveur DNS sur le périphérique exécutant Junos OS.
La demande de certificat peut être générée par les méthodes suivantes :
Création d’un profil d’autorité de certification pour spécifier les paramètres d’autorité de certification
Génération de la demande de certificat PKCS10
Le processus de demande de certificat PKCS10 implique la génération d’une paire de clés publiques ou privées, puis la génération de la demande de certificat elle-même, à l’aide de la paire de clés.
Prenez note des informations suivantes sur le profil CA :
Le profil de l’autorité de certification définit les attributs d’une autorité de certification.
Chaque profil d’autorité de certification est associé à un certificat d’autorité de certification. Si un nouveau certificat d’autorité de certification ou un certificat d’autorité de certification renouvelé doit être chargé sans supprimer l’ancien certificat d’autorité de certification, un nouveau profil doit être créé. Ce profil peut également être utilisé pour la récupération en ligne de la CRL.
Il peut y avoir plusieurs profils de ce type dans le système créé pour différents utilisateurs.
Si vous spécifiez une adresse e-mail d’administrateur d’autorité de certification à laquelle envoyer la demande de certificat, le système compose un e-mail à partir du fichier de demande de certificat et le transfère à l’adresse e-mail spécifiée. La notification d’état par e-mail est envoyée à l’administrateur.
La demande de certificat peut être envoyée à l’autorité de certification par le biais d’une méthode hors bande.
Les options suivantes sont disponibles pour générer la demande de certificat PKCS10 :
certificate-id— Nom du certificat numérique local et de la paire de clés publique/privée. Cela permet de s’assurer que la paire de clés appropriée est utilisée pour la demande de certificat et, en fin de compte, pour le certificat local.À partir de Junos OS version 19.1R1, une vérification de validation est ajoutée pour empêcher l’utilisateur d’ajouter
.,/,%et un espace dans un identificateur de certificat lors de la génération d’un certificat local ou distant ou d’une paire de clés.subject— Format de nom distinctif qui contient le nom commun, le département, le nom de l’entreprise, l’état et le pays :CN — Nom usuel
UO — Ministère
O — Dénomination sociale
L — Localité
ST — État
C — Pays
CN — Téléphone
DC — Composant de domaine
Vous n’êtes pas obligé de saisir tous les composants du nom de l’objet. Notez également que vous pouvez entrer plusieurs valeurs de chaque type.
domain-name— FQDN. Le nom de domaine complet fournit l’identité du propriétaire du certificat pour les négociations IKE et fournit une alternative au nom de l’objet.filename (path | terminal)— (Facultatif) Emplacement où la demande de certificat doit être placée, ou le terminal de connexion.ip-address— (Facultatif) Adresse IP de l’appareil.email— (Facultatif) Adresse e-mail de l’administrateur de l’autorité de certification.Vous devez utiliser un nom de domaine, une adresse IP ou une adresse e-mail.
La demande de certificat générée est stockée dans un emplacement de fichier spécifié. Une copie locale de la demande de certificat est enregistrée dans le stockage de certificats local. Si l’administrateur réémet cette commande, la demande de certificat est générée à nouveau.
La demande de certificat PKCS10 est stockée dans un fichier et à un emplacement spécifiés, à partir desquels vous pouvez la télécharger et l’envoyer à l’autorité de certification pour inscription. Si vous n’avez pas spécifié le nom de fichier ou l’emplacement, vous pouvez obtenir les détails de la demande de certificat PKCS10 à l’aide de la show security pki certificate-request certificate-id <id-name> commande dans l’interface de ligne de commande. Vous pouvez copier la sortie de la commande et la coller dans une interface Web pour le serveur CA ou dans un e-mail.
La demande de certificat PKCS10 est générée et stockée sur le système en tant que certificat en attente ou demande de certificat. Une notification par e-mail est envoyée à l’administrateur de l’autorité de certification (dans cet exemple, certadmin@example.com).
Une identité unique appelée certificate-ID est utilisée pour nommer la paire de clés générée. Cet ID est également utilisé dans les commandes d’inscription de certificat et de requête pour obtenir la bonne paire de clés. La paire de clés générée est enregistrée dans le magasin de certificats dans un fichier portant le même nom que l’ID de certificat. La taille du fichier peut être de 1024 ou 2048 bits.
Un profil par défaut (de secours) peut être créé si aucune autorité de certification intermédiaire n’est préinstallée dans l’appareil. Les valeurs de profil par défaut sont utilisées en l’absence d’un profil d’autorité de certification spécifiquement configuré.
Dans le cas d’une CDP, l’ordre suivant est suivi :
Par profil d’autorité de certification
CDP intégré dans un certificat d’autorité de certification
Profil d’autorité de certification par défaut
Nous vous recommandons d’utiliser un profil d’autorité de certification spécifique au lieu d’un profil par défaut.
L’administrateur soumet la demande de certificat à l’autorité de certification. L’administrateur de l’autorité de certification vérifie la demande de certificat et génère un nouveau certificat pour l’appareil. L’administrateur de l’équipement Juniper Networks le récupère, ainsi que le certificat de l’autorité de certification et la liste de révocation de certificats.
Le processus de récupération du certificat de l’autorité de certification, du nouveau certificat local de l’appareil et de la liste de révocation de certificats à partir de l’autorité de certification dépend de la configuration de l’autorité de certification et du fournisseur du logiciel utilisé.
Junos OS prend en charge les fournisseurs d’autorités de certification suivants :
Confier
Verisign
Microsoft
Bien que d’autres services logiciels d’autorité de certification tels qu’OpenSSL puissent être utilisés pour générer des certificats, ces certificats ne sont pas vérifiés par Junos OS.
Configuration
- Configuration de base de l’ICP
- Configuration d’un profil d’autorité de certification
- Génération d’une paire de clés publique-privée
- Inscription d’un certificat local
- Chargement de l’autorité de certification et des certificats locaux
- Configuration du VPN IPsec avec les certificats
Configuration de base de l’ICP
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer l’ICP :
Configurez une famille d’adresses IP et de protocoles sur les interfaces Gigabit Ethernet.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@host# set ge-0/0/3 unit 0 family inet address 10.1.1.2/30
Configurez un itinéraire par défaut vers le prochain saut Internet.
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
Réglez l’heure et la date du système.
[edit] user@host# set system time-zone PST8PDT
Une fois la configuration validée, vérifiez les paramètres de l’horloge à l’aide de la
show system uptimecommande.user@host> show system uptime Current time: 2007-11-01 17:57:09 PDT System booted: 2007-11-01 14:36:38 PDT (03:20:31 ago) Protocols started: 2007-11-01 14:37:30 PDT (03:19:39 ago) Last configured: 2007-11-01 17:52:32 PDT (00:04:37 ago) by root 5:57PM up 3:21, 4 users, load averages: 0.00, 0.00, 0.00
Définissez l’adresse du serveur NTP.
user@host> set date ntp 130.126.24.24 1 Nov 17:52:52 ntpdate[5204]: step time server 172.16.24.24 offset -0.220645 sec
Définissez la configuration DNS.
[edit] user@host# set system name-server 172.31.2.1 user@host# set system name-server 172.31.2.2
Configuration d’un profil d’autorité de certification
Procédure étape par étape
-
Créez un profil d’autorité de certification de confiance.
[edit] user@host# set security pki ca-profile ms-ca ca-identity example.com
-
Créez une vérification de révocation pour spécifier une méthode de vérification de la révocation du certificat.
Définissez l’intervalle d’actualisation, en heures, pour spécifier la fréquence de mise à jour de la liste de révocation de certificats. Les valeurs par défaut sont l’heure de la prochaine mise à jour dans la CRL ou 1 semaine, si aucune heure de la prochaine mise à jour n’est spécifiée.
[edit] user@host# set security pki ca-profile ms-ca revocation-check crl refresh-interval 48
Dans l’instruction de
revocation-checkconfiguration, vous pouvez utiliser l’optiondisablepermettant de désactiver la vérification de révocation ou de sélectionner l’optioncrlpermettant de configurer les attributs CRL. Vous pouvez sélectionner l’optiondisable on-download-failurepermettant d’autoriser les sessions correspondant au profil d’autorité de certification, lorsque le téléchargement de la liste de révocation de certificats a échoué pour un profil d’autorité de certification. Les sessions ne seront autorisées que si aucune ancienne CRL n’est présente dans le même profil d’autorité de certification. -
Spécifiez l’emplacement (URL) pour récupérer la CRL (HTTP ou LDAP). Par défaut, l’URL est vide et utilise les informations CDP intégrées dans le certificat de l’autorité de certification.
[edit] user@host# set security pki ca-profile ms-ca revocation-check crl url http://srv1.example.com/CertEnroll/EXAMPLE.crl
Actuellement, vous ne pouvez configurer qu’une seule URL. La prise en charge de la configuration de l’URL de sauvegarde n’est pas disponible.
-
Spécifiez une adresse e-mail pour envoyer la demande de certificat directement à un administrateur de l’autorité de certification.
user@host# set security pki ca-profile ms-ca administrator email-address certadmin@example.com
-
Validez la configuration :
user@host# commit and-quit
commit completeExiting configuration mode
Génération d’une paire de clés publique-privée
Procédure étape par étape
Lorsque le profil CA est configuré, l’étape suivante consiste à générer une paire de clés sur l’équipement Juniper Networks. Pour générer la paire de clés privée et publique :
Créez une paire de clés de certificat.
user@host> request security pki generate-key-pair certificate-id ms-cert size 1024
Résultats
Une fois la paire de clés publique-privée générée, l’équipement Juniper Networks affiche les informations suivantes :
Generated key pair ms-cert, key size 1024 bits
Inscription d’un certificat local
Procédure étape par étape
-
Générez une demande de certificat numérique local au format PKCS-10. Reportez-vous à la section pki de sécurité des requêtes generate-certificate-request.
user@host> request security pki generate-certificate-request certificate-id ms-cert subject "CN=john doe,CN=10.1.1.2,OU=sales,O=example, L=Sunnyvale,ST=CA,C=US" email user@example.net filename ms-cert-req Generated certificate request -----BEGIN CERTIFICATE REQUEST----- MIIB3DCCAUUCAQAwbDERMA8GA1UEAxMIam9obiBkb2UxDjAMBgNVBAsTBXNhbGVz MRkwFwYDVQQKExBKdW5pcGVyIE5ldHdvcmtzMRIwEAYDVQQHEwlTdW5ueXZhbGUx CzAJBgNVBAgTAkNBMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw gYkCgYEA5EG6sgG/CTFzX6KC/hz6Czal0BxakUxfGxF7UWYWHaWFFYLqo6vXNO8r OS5Yak7rWANAsMob3E2X/1adlQIRi4QFTjkBqGI+MTEDGnqFsJBqrB6oyqGtdcSU u0qUivMvgKQVCx8hpx99J3EBTurfWL1pCNlBmZggNogb6MbwES0CAwEAAaAwMC4G CSqGSIb3DQEJDjEhMB8wHQYDVR0RBBYwFIESInVzZXJAanVuaXBlci5uZXQiMA0G CSqGSIb3DQEBBQUAA4GBAI6GhBaCsXk6/1lE2e5AakFFDhY7oqzHhgd1yMjiSUMV djmf9JbDz2gM2UKpI+yKgtUjyCK/lV2ui57hpZMvnhAW4AmgwkOJg6mpR5rsxdLr 4/HHSHuEGOF17RHO6x0YwJ+KE1rYDRWj3Dtz447ynaLxcDF7buwd4IrMcRJJI9ws -----END CERTIFICATE REQUEST----- Fingerprint: 47:b0:e1:4c:be:52:f7:90:c1:56:13:4e:35:52:d8:8a:50:06:e6:c8 (sha1) a9:a1:cd:f3:0d:06:21:f5:31:b0:6b:a8:65:1b:a9:87 (md5)
Dans l’exemple de certificat PKCS10, la demande commence par et inclut la ligne BEGIN CERTIFICATE REQUEST et se termine par et inclut la ligne END CERTIFICATE REQUEST. Cette partie peut être copiée et collée dans votre autorité de certification pour l’inscription. Si vous le souhaitez, vous pouvez également décharger le fichier ms-cert-req et l’envoyer à votre autorité de certification.
-
Envoyez la demande de certificat à l’autorité de certification et récupérez le certificat.
Chargement de l’autorité de certification et des certificats locaux
Procédure étape par étape
Chargez le certificat local, le certificat d’autorité de certification et la liste de révocation de certificats.
user@host> file copy ftp://192.168.10.10/certnew.cer certnew.cer /var/tmp//...transferring.file.........crYdEC/100% of 1459 B 5864 kBps user@host> file copy ftp:// 192.168.10.10/CA-certnew.cer CA-certnew.cer /var/tmp//...transferring.file.........UKXUWu/100% of 1049 B 3607 kBps user@host> file copy ftp:// 192.168.10.10/certcrl.crl certcrl.crl /var/tmp//...transferring.file.........wpqnpA/100% of 401 B 1611 kBps
Vous pouvez vérifier que tous les fichiers ont été téléchargés à l’aide de la commande
file list.Chargez le certificat dans le stockage local à partir du fichier externe spécifié.
Vous devez également spécifier l’ID de certificat pour conserver le lien approprié avec la paire de clés privée ou publique. Cette étape charge le certificat dans le stockage du cache RAM du module PKI, vérifie la clé privée associée et vérifie l’opération de signature.
user@host> request security pki local-certificate load certificate-id ms-cert filename certnew.cer Local certificate loaded successfully
Chargez le certificat de l’autorité de certification à partir du fichier externe spécifié.
Vous devez spécifier le profil d’autorité de certification pour associer le certificat d’autorité de certification au profil configuré.
user@host> request security pki ca-certificate load ca-profile ms-ca filename CA-certnew.cer Fingerprint: 1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1) 90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5) Do you want to load this CA certificate ? [yes,no] (no) yes CA certificate for profile ms-ca loaded successfully
Chargez la CRL dans le stockage local.
La taille maximale de la CRL est de 5 Mo. Vous devez spécifier le profil d’autorité de certification associé dans la commande.
user@host> request security pki crl load ca-profile ms-ca filename certcrl.crl CRL for CA profile ms-ca loaded successfully
Résultats
Vérifiez que tous les certificats locaux sont chargés.
user@host> show security pki local-certificate certificate-id ms-cert detail Certificate identifier: ms-cert Certificate version: 3 Serial number: 3a01c5a0000000000011 Issuer: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: LAB Subject: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: john doe Alternate subject: "user@example.net", fqdn empty, ip empty Validity: Not before: 11- 2-2007 22:54 Not after: 11- 2-2008 23:04 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:e4:41:ba:b2:01:bf:09:31:73:5f:a2:82:fe 1c:fa:0b:36:a5:d0:1c:5a:91:4c:5f:1b:11:7b:51:66:16:1d:a5:85 15:82:ea:a3:ab:d7:34:ef:2b:39:2e:58:6a:4e:eb:58:03:40:b0:ca 1b:dc:4d:97:ff:56:9d:95:02:11:8b:84:05:4e:39:01:a8:62:3e:31 31:03:1a:7a:85:b0:90:6a:ac:1e:a8:ca:a1:ad:75:c4:94:bb:4a:94 8a:f3:2f:80:a4:15:0b:1f:21:a7:1f:7d:27:71:01:4e:ea:df:58:bd 69:08:d9:41:99:98:20:36:88:1b:e8:c6:f0:11:2d:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: ldap:///CN=LAB,CN=LABSRV1,CN=CDP,CN=Public%20Key%20Services,CN=Services, CN=Configuration,DC=domain,DC=com?certificateRevocationList?base? objectclass=cRLDistributionPoint http://labsrv1.domain.com/CertEnroll/LAB.crl Fingerprint: c9:6d:3d:3e:c9:3f:57:3c:92:e0:c4:31:fc:1c:93:61:b4:b1:2d:58 (sha1) 50:5d:16:89:c9:d3:ab:5a:f2:04:8b:94:5d:5f:65:bd (md5)
Vous pouvez afficher les détails de chaque certificat en spécifiant certificate-ID dans la ligne de commande.
Vérifiez tous les certificats d’autorité de certification ou les certificats d’autorité de certification d’un profil d’autorité de certification individuel (spécifié).
user@host> show security pki ca-certificate ca-profile ms-ca detail Certificate identifier: ms-ca Certificate version: 3 Serial number: 44b033d1e5e158b44597d143bbfa8a13 Issuer: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: example Subject: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: example Validity: Not before: 09-25-2007 20:32 Not after: 09-25-2012 20:41 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d1:9e:6f:f4:49:c8:13:74:c3:0b:49:a0:56 11:90:df:3c:af:56:29:58:94:40:74:2b:f8:3c:61:09:4e:1a:33:d0 8d:53:34:a4:ec:5b:e6:81:f5:a5:1d:69:cd:ea:32:1e:b3:f7:41:8e 7b:ab:9c:ee:19:9f:d2:46:42:b4:87:27:49:85:45:d9:72:f4:ae:72 27:b7:b3:be:f2:a7:4c:af:7a:8d:3e:f7:5b:35:cf:72:a5:e7:96:8e 30:e1:ba:03:4e:a2:1a:f2:1f:8c:ec:e0:14:77:4e:6a:e1:3b:d9:03 ad:de:db:55:6f:b8:6a:0e:36:81:e3:e9:3b:e5:c9:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: ldap:///CN=LAB,CN=LABSRV1,CN=CDP,CN=Public%20Key%20Services,CN=Services, CN=Configuration,DC=domain,DC=com?certificateRevocationList?base? objectclass=cRLDistributionPoint http://srv1.domain.com/CertEnroll/LAB.crl Use for key: CRL signing, Certificate signing, Non repudiation Fingerprint: 1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1) 90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5)
Vérifiez toutes les listes de révocation de certificats chargées ou les listes de révocation de certificats du profil d’autorité de certification individuel spécifié.
user@host> show security pki crl ca-profile ms-ca detail CA profile: ms-ca CRL version: V00000001 CRL issuer: emailAddress = certadmin@example.net, C = US, ST = CA, L = Sunnyvale, O = Example, OU = example, CN = example Effective date: 10-30-2007 20:32 Next update: 11- 7-2007 08:52
Vérifiez le chemin d’accès au certificat local et au certificat de l’autorité de certification.
user@host> request security pki local-certificate verify certificate-id ms-cert Local certificate ms-cert verification success user@host> request security pki ca-certificate verify ca-profile ms-ca CA certificate ms-ca verified successfully
Configuration du VPN IPsec avec les certificats
Procédure étape par étape
Pour configurer le VPN IPsec avec le certificat, reportez-vous au schéma de réseau illustré à la section Figure 1
Configurez les zones de sécurité et attribuez-leur des interfaces.
Dans cet exemple, les paquets sont entrants le
ge-0/0/0, et la zone d’entrée est la zone de confiance.[edit security zones security-zone] user@host# set trust interfaces ge-0/0/0.0 user@host# set untrust interfaces ge-0/0/3.0
Configurez les services entrants de l’hôte pour chaque zone.
Les services entrants sur l’hôte concernent le trafic destiné à l’équipement Juniper Networks. Ces paramètres comprennent, sans s’y limiter, FTP, HTTP, HTTPS, IKE, ping, rlogin, RSH, SNMP, SSH, Telnet, TFTP et traceroute.
[edit security zones security-zone] user@host# set trust host-inbound-traffic system-services all user@host# set untrust host-inbound-traffic system-services ike
Configurez les entrées du carnet d’adresses pour chaque zone.
[edit security zones security-zone] user@host# set trust address-book address local-net 192.168.10.0/24 user@host# set untrust address-book address remote-net 192.168.168.0/24
Configurez la proposition IKE (phase 1) pour utiliser le chiffrement RSA.
[edit security ike proposal rsa-prop1] user@host# set authentication-method rsa-signatures user@host# set encryption-algorithm 3des-cbc user@host# set authentication-algorithm sha1 user@host# set dh-group group2
Configurez une stratégie IKE.
L’échange de phase 1 peut avoir lieu soit en mode principal, soit en mode agressif.
[edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals rsa-prop1 user@host# set certificate local-certificate ms-cert user@host# set certificate peer-certificate-type x509- signature user@host# set certificate trusted-ca use-all
Configurez une passerelle IKE.
Dans cet exemple, l’homologue est identifié par un nom d’hôte (FQDN). Par conséquent, l’ID IKE de la passerelle doit être le nom de domaine homologue distant. Vous devez spécifier l’interface externe ou l’ID d’homologue approprié pour identifier correctement la passerelle IKE lors de la configuration de la phase 1.
[edit security ike gateway ike-gate] user@host# set external-interface ge-0/0/3.0 user@host# set ike-policy ike-policy1 user@host# set dynamic hostname ssg5.example.net
Configurez la stratégie IPsec.
Cet exemple utilise l’ensemble de propositions Standard, qui inclut
esp-group2-3des-sha1etesp-group2- aes128-sha1propositions. Toutefois, une proposition unique peut être créée, puis spécifiée dans la stratégie IPsec si nécessaire.[edit security ipsec policy vpn-policy1] user@host# set proposal-set standard user@host# set perfect-forward-secrecy keys group2
Configurez le VPN IPsec avec une passerelle IKE et une stratégie IPsec.
Dans cet exemple, le nom du VPN ike-vpn doit être référencé dans la stratégie de tunnel pour créer une association de sécurité. En outre, si nécessaire, un temps d’inactivité et un ID de proxy peuvent être spécifiés s’ils sont différents des adresses de stratégie de tunnel.
[edit security ipsec vpn ike-vpn ike] user@host# set gateway ike-gate user@host# set ipsec-policy vpn-policy1
Configurez des stratégies de tunnel bidirectionnel pour le trafic VPN.
Dans cet exemple, le trafic entre le LAN hôte et le LAN du bureau distant nécessite une stratégie de tunnel d’approbation d’une zone à l’autre. Toutefois, si une session doit provenir du réseau local distant vers le réseau local hôte, une stratégie de tunnel dans le sens inverse de la non-confiance de zone vers l’approbation de zone est également nécessaire. Lorsque vous spécifiez la stratégie dans la direction opposée à la stratégie de paire, le VPN devient bidirectionnel. Notez qu’en plus de l’action d’autorisation, vous devez également spécifier le profil IPsec à utiliser. Notez que pour les stratégies de tunnel, l’action est toujours autorisée. En fait, si vous configurez une stratégie avec l’action refuser, vous ne verrez pas d’option permettant de spécifier le tunnel.
[edit security policies from-zone trust to-zone untrust] user@host# set policy tunnel-policy-out match source-address local-net user@host# set policy tunnel-policy-out match destination-address remote-net user@host# set policy tunnel-policy-out match application any user@host# set policy tunnel-policy-out then permit tunnel ipsec-vpn ike-vpn pair-policy tunnel-policy-in user@host# top edit security policies from-zone untrust to-zone trust user@host# set policy tunnel-policy-in match source-address remote-net user@host# set policy tunnel-policy-in match destination-address local-net user@host# set policy tunnel-policy-in match application any user@host# set policy tunnel-policy-in then permit tunnel ipsec-vpn ike-vpn pair-policy tunnel-policy-out
Configurez une règle NAT source et une stratégie de sécurité pour le trafic Internet.
L’équipement utilise l’interface source-nat spécifiée et traduit l’adresse IP source et le port pour le trafic sortant, en utilisant l’adresse IP de l’interface de sortie comme adresse IP source et un port supérieur aléatoire pour le port source. Si nécessaire, des politiques plus précises peuvent être créées pour autoriser ou refuser certains trafics.
[edit security nat source rule-set nat-out] user@host#set from zone trust user@host#set to zone untrust user@host#set rule interface-nat match source-address 192.168.10.0/24 user@host#set rule interface-nat match destination-address 0.0.0.0/0 user@host#set rule interface-nat then source-nat interface
[edit security policies from-zone trust to-zone untrust] user@host# set policy any-permit match source-address any user@host# set policy any-permit match destination-address any user@host# set policy any-permit match application any user@host# set policy any-permit then permit
Déplacez la stratégie de tunnel au-dessus de la stratégie any-permit.
[edit security policies from-zone trust to-zone untrust] user@host# insert policy tunnel-policy-out before policy any-permit
La stratégie de sécurité doit se trouver en dessous de la stratégie de tunnel dans la hiérarchie, car la liste des stratégies est lue de haut en bas. Si cette stratégie est supérieure à la stratégie de tunnel, le trafic correspond toujours à cette stratégie et ne passe pas à la stratégie suivante. Ainsi, aucun trafic utilisateur ne serait chiffré.
Configurez le paramètre tcp-mss pour le trafic TCP à travers le tunnel.
TCP-MSS est négocié dans le cadre de l’établissement de liaison TCP à 3 voies. Il limite la taille maximale d’un segment TCP pour tenir compte des limites de MTU sur un réseau. Ceci est très important pour le trafic VPN, car la surcharge d’encapsulation IPsec, ainsi que la surcharge d’IP et de trame, peuvent entraîner un dépassement du MTU de l’interface physique par le paquet ESP résultant, provoquant ainsi une fragmentation. Parce que la fragmentation augmente l’utilisation de la bande passante et des ressources des appareils, et qu’en général, elle doit être évitée.
La valeur recommandée à utiliser pour tcp-mss est 1350 pour la plupart des réseaux Ethernet avec une MTU de 1500 ou plus. Il peut être nécessaire de modifier cette valeur si un périphérique du chemin d’accès a une valeur de MTU inférieure ou s’il y a une surcharge supplémentaire telle que PPP, Frame Relay, etc. En règle générale, vous devrez peut-être expérimenter différentes valeurs tcp-mss pour obtenir des performances optimales.
user@host# set security flow tcp-mss ipsec-vpn mss mss-value Example: [edit] user@host# set security flow tcp-mss ipsec-vpn mss 1350 user@host# commit and-quit commit complete Exiting configuration mode
Vérification
Vérifiez que la configuration fonctionne correctement.
- Confirmation de l’état de la phase 1 de l’IKE
- Obtenir des détails sur les associations de sécurité individuelles
- Confirmation de l’état IPsec Phase 2
- Affichage des détails de l’association de sécurité IPsec
- Vérification des statistiques IPsec SA
- Test du flux de trafic sur le VPN
- Confirmation de la connectivité
Confirmation de l’état de la phase 1 de l’IKE
But
Confirmez l’état du VPN en vérifiant l’état des associations de sécurité IKE Phase 1.
La PKI liée aux tunnels IPsec est formée lors de la configuration de la phase 1. L’achèvement de la phase 1 indique que la PKI a réussi.
Action
À partir du mode opérationnel, entrez la show security ike security-associations commande.
user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 2010.2.2.2 UP af4f78bc135e4365 48a35f853ee95d21 Main
Sens
La sortie indique que :
L’homologue distant est 10.2.2.2 et l’état est UP, ce qui signifie l’association réussie de l’établissement de la phase 1.
L’ID IKE de l’homologue distant, la stratégie IKE et les interfaces externes sont tous corrects.
L’indice 20 est une valeur unique pour chaque association de sécurité IKE. Vous pouvez utiliser ces détails de sortie pour obtenir plus de détails sur chaque association de sécurité. Reportez-vous à la section Obtenir des détails sur les associations de sécurité individuelles.
Une sortie incorrecte indiquerait que :
L’état de l’homologue distant est Inactif.
Il n’y a pas d’associations de sécurité IKE .
Il existe des paramètres de stratégie IKE, tels que le mauvais type de mode (Aggr ou Main), les problèmes PKI ou les propositions de phase 1 (tous doivent correspondre sur les deux homologues). Pour plus d’informations, reportez-vous à la section Dépannage des problèmes liés à IKE, PKI et IPsec.
L’interface externe n’est pas valide pour la réception des paquets IKE. Vérifiez les configurations pour les problèmes liés à PKI, vérifiez le journal du démon de gestion de clé (kmd) pour toute autre erreur, ou exécutez les options de suivi pour trouver l’incompatibilité. Pour plus d’informations, reportez-vous à la section Dépannage des problèmes liés à IKE, PKI et IPsec.
Obtenir des détails sur les associations de sécurité individuelles
But
Obtenez des détails sur chaque IKE.
Action
À partir du mode opérationnel, entrez la show security ike security-associations index 20 detail commande.
user@host> show security ike security-associations index 20 detail IKE peer 10.2.2.2, Index 20, Role: Responder, State: UP Initiator cookie: af4f78bc135e4365, Responder cookie: 48a35f853ee95d21 Exchange type: Main, Authentication method: RSA-signatures Local: 10.1.1.2:500, Remote: 10.2.2.2:500 Lifetime: Expires in 23282 seconds Algorithms: Authentication : sha1 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Traffic statistics: Input bytes : 10249 Output bytes : 4249 Input packets: 10 Output packets: 9 Flags: Caller notification sent IPsec security associations: 2 created, 1 deleted Phase 2 negotiations in progress: 0
Sens
La sortie affiche les détails de chaque SA IKE, tels que le rôle (initiateur ou répondeur), l’état, le type d’échange, la méthode d’authentification, les algorithmes de chiffrement, les statistiques de trafic, l’état de la négociation de phase 2, etc.
Vous pouvez utiliser les données de sortie pour :
Connaître le rôle de l’IKE SA. Le dépannage est plus facile lorsque l’homologue a le rôle de répondeur.
Obtenez les statistiques de trafic pour vérifier le flux de trafic dans les deux sens.
Obtenez le nombre d’associations de sécurité IPsec créées ou en cours.
Obtenez l’état d’avancement de toutes les négociations de phase 2 terminées.
Confirmation de l’état IPsec Phase 2
But
Affichez les associations de sécurité IPsec (Phase 2).
Lorsque la phase 1 d’IKE est confirmée, affichez les associations de sécurité IPsec (phase 2).
Action
À partir du mode opérationnel, entrez la show security ipsec security-associations commande.
user@host> show security ipsec security-associations total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <2 10.2.2.2 500 ESP:3des/sha1 bce1c6e0 1676/ unlim - 0 >2 10.2.2.2 500 ESP:3des/sha1 1a24eab9 1676/ unlim - 0
Sens
La sortie indique que :
Une paire IPsec SA configurée est disponible. Le numéro de port 500 indique qu’un port IKE standard est utilisé. Sinon, il s’agit d’un port NAT-T (Network Address Translation-Traversal), 4500 ou un port élevé aléatoire.
L’indice des paramètres de sécurité (SPI) est utilisé dans les deux sens. La durée de vie ou les limites d’utilisation de la SA sont exprimées en secondes ou en kilo-octets. Dans la sortie, 1676/ unlim indique que la durée de vie de la phase 2 est définie pour expirer dans 1676 secondes et qu’il n’y a pas de durée de vie spécifiée.
Le numéro d’ID indique la valeur d’index unique de chaque SA IPsec.
Un trait d’union (
-) dans la colonne Mon indique que la surveillance VPN n’est pas activée pour cette SA.Le système virtuel (vsys) est égal à zéro, qui est la valeur par défaut.
La durée de vie de la phase 2 peut être différente de la durée de vie de la phase 1, car la phase 2 ne dépend pas de la phase 1 une fois le VPN activé.
Affichage des détails de l’association de sécurité IPsec
But
Affichez les détails IPsec SA individuels identifiés par le numéro d’index.
Action
À partir du mode opérationnel, entrez la show security ipsec security-associations index 2 detail commande.
user@host> show security ipsec security-associations index 2 detail Virtual-system: Root Local Gateway: 10.1.1.2, Remote Gateway: 10.2.2.2 Local Identity: ipv4_subnet(any:0,[0..7]=192.168.10.0/24) Remote Identity: ipv4_subnet(any:0,[0..7]=192.168.168.0/24) DF-bit: clear Policy-name: tunnel-policy-out Direction: inbound, SPI: bce1c6e0, AUX-SPI: 0 Hard lifetime: Expires in 1667 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1093 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: enabled, Replay window size: 32 Direction: outbound, SPI: 1a24eab9, AUX-SPI: 0 Hard lifetime: Expires in 1667 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1093 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: enabled, Replay window size: 32
Sens
La sortie affiche l’identité locale et l’identité distante.
Notez qu’une incompatibilité d’ID de proxy peut entraîner l’échec de l’achèvement de la phase 2. L’ID de proxy est dérivé de la stratégie de tunnel (pour les VPN basés sur des stratégies). L’adresse locale et l’adresse distante sont dérivées des entrées du carnet d’adresses et le service est dérivé de l’application configurée pour la stratégie.
Si la phase 2 échoue en raison d’une incompatibilité d’ID de proxy, vérifiez quelles entrées du carnet d’adresses sont configurées dans la stratégie et assurez-vous que les adresses correctes sont envoyées. Assurez-vous également que les ports correspondent. Vérifiez le service pour vous assurer que les ports correspondent pour les serveurs distants et locaux.
Si plusieurs objets sont configurés dans une stratégie de tunnel pour l’adresse source, l’adresse de destination ou l’application, l’ID de proxy résultant pour ce paramètre est remplacé par zéro.
Par exemple, supposons le scénario suivant pour une stratégie de tunnel :
Adresses locales de 192.168.10.0/24 et 10.10.20.0/24
Adresse distante de 192.168.168.0/24
Application en tant que junos-http
L’ID de proxy résultant est local 0.0.0.0/0, distant 192.168.168.0/24, service 80.
Les ID de proxy qui en résultent peuvent affecter l’interopérabilité si l’homologue distant n’est pas configuré pour le deuxième sous-réseau. De plus, si vous utilisez l’application d’un fournisseur tiers, vous devrez peut-être saisir manuellement l’ID de proxy correspondant.
Si IPsec ne se termine pas, vérifiez le journal kmd ou utilisez la set traceoptions commande. Pour plus d’informations, reportez-vous à la section Dépannage des problèmes liés à IKE, PKI et IPsec.
Vérification des statistiques IPsec SA
But
Vérifiez les statistiques et les erreurs d’une SA IPsec.
Pour le dépannage, vérifiez les compteurs ESP/AH (Encapsulating Security Payload/Authentication Header) pour détecter toute erreur avec une SA IPsec particulière.
Action
À partir du mode opérationnel, entrez la show security ipsec statistics index 2 commande.
user@host> show security ipsec statistics index 2 ESP Statistics: Encrypted bytes: 674784 Decrypted bytes: 309276 Encrypted packets: 7029 Decrypted packets: 7029 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Sens
Une valeur d’erreur de zéro dans la sortie indique une condition normale.
Nous vous recommandons d’exécuter cette commande plusieurs fois pour observer tout problème de perte de paquets sur un VPN. La sortie de cette commande affiche également les statistiques des compteurs de paquets chiffrés et déchiffrés, des compteurs d’erreurs, etc.
Vous devez activer les options de suivi de flux de sécurité pour déterminer quels paquets ESP rencontrent des erreurs et pourquoi. Pour plus d’informations, reportez-vous à la section Dépannage des problèmes liés à IKE, PKI et IPsec.
Test du flux de trafic sur le VPN
But
Testez le flux de trafic sur le VPN une fois les phases 1 et 2 terminées. Vous pouvez tester le flux de trafic à l’aide de la ping commande. Vous pouvez envoyer un ping d’un hôte local à un hôte distant. Vous pouvez également lancer des pings à partir de l’équipement Juniper Networks lui-même.
Cet exemple montre comment lancer une requête ping depuis le périphérique Juniper Networks vers l’hôte distant. Notez que lorsque des pings sont lancés à partir d’un équipement Juniper Networks, l’interface source doit être spécifiée pour garantir que la recherche d’itinéraire correcte a lieu et que les zones appropriées sont référencées dans la recherche de stratégie.
Dans cet exemple, l’interface ge-0/0/0.0 réside dans la même zone de sécurité que l’hôte local et doit être spécifiée dans la requête ping afin que la recherche de stratégie puisse passer de zone trust à zone untrust.
Action
À partir du mode opérationnel, entrez la ping 192.168.168.10 interface ge-0/0/0 count 5 commande.
user@host> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
Confirmation de la connectivité
But
Confirmez la connectivité entre un hôte distant et un hôte local.
Action
À partir du mode opérationnel, entrez la ping 192.168.10.10 from ethernet0/6 commande.
ssg5-> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
Sens
Vous pouvez confirmer la connectivité de bout en bout à l’aide de la ping commande de l’hôte distant vers l’hôte local. Dans cet exemple, la commande est lancée à partir du périphérique SSG5.
Un échec de la connectivité de bout en bout peut indiquer un problème de routage, de stratégie, d’hôte final ou de chiffrement/déchiffrement des paquets ESP. Pour vérifier les causes exactes de la panne :
Consultez les statistiques IPsec pour plus de détails sur les erreurs, comme décrit à la section Vérification des statistiques IPsec SA.
Confirmez la connectivité de l’hôte final à l’aide de la
pingcommande d’un hôte situé sur le même sous-réseau que l’hôte final. Si l’hôte final est accessible par d’autres hôtes, vous pouvez supposer que le problème ne vient pas de l’hôte final.Activez les options de suivi de flux de sécurité pour résoudre les problèmes liés au routage et aux stratégies.
Dépannage des problèmes liés à IKE, PKI et IPsec
Dépannez les problèmes IKE, PKI et IPsec.
- Étapes de dépannage de base
- Vérification de l’espace disque disponible sur votre appareil
- Vérification des fichiers journaux pour vérifier différents scénarios et téléchargement des fichiers journaux sur un FTP
- Activation des options de suivi IKE pour afficher les messages sur IKE
- Activation des options de suivi PKI pour afficher les messages sur IPsec
- Configuration des options de suivi IKE et PKI pour résoudre les problèmes de configuration IKE avec les certificats
- Analyse du message de réussite de la phase 1
- Analyse du message d’échec de phase 1 (incompatibilité de proposition)
- Analyse du message d’échec de phase 1 (échec d’authentification)
- Analyse du message d’échec de phase 1 (erreur de délai d’expiration)
- Analyse du message d’échec de phase 2
- Analyse du message d’échec de phase 2
- Dépannage des problèmes courants liés à l’IKE et à la PKI
Étapes de dépannage de base
Problème
Les étapes de dépannage de base sont les suivantes :
Identifier et isoler le problème.
Débogage du problème.
L’approche courante consiste à commencer le dépannage par la couche la plus basse des couches OSI et à remonter la pile OSI pour confirmer la couche dans laquelle la défaillance se produit.
Solution
Les étapes de base du dépannage d’IKE, PKI et IPsec sont les suivantes :
Confirmez la connectivité physique de la liaison Internet au niveau de la liaison physique et de la liaison de données.
Vérifiez que l’équipement Juniper Networks dispose d’une connectivité au saut suivant Internet et d’une connectivité à l’homologue IKE distant.
Confirmez l’achèvement de la phase 1 de l’IKE.
Confirmez l’achèvement de la phase 2 de l’IKE si la phase 1 de l’IKE est terminée.
Confirmez le flux de trafic sur le VPN (si le VPN est opérationnel et actif).
Junos OS inclut la fonctionnalité d’options de traçage. À l’aide de cette fonctionnalité, vous pouvez activer un indicateur d’option de trace pour écrire les données de l’option de trace dans un fichier journal, qui peut être prédéterminé ou configuré manuellement et stocké dans la mémoire flash. Ces journaux de suivi peuvent être conservés même après un redémarrage du système. Vérifiez l’espace de stockage flash disponible avant d’implémenter les options de traçage.
Vous pouvez activer la fonctionnalité d’options de traçage en mode de configuration et valider la configuration pour utiliser la fonctionnalité d’options de traçage. De la même manière que pour désactiver les options de trace, vous devez désactiver les options de trace en mode configuration et valider la configuration.
Vérification de l’espace disque disponible sur votre appareil
Problème
Vérifiez les statistiques sur l’espace disque disponible dans les systèmes de fichiers de votre appareil.
Solution
À partir du mode opérationnel, entrez la show system storage commande.
user@host> show system storage Filesystem Size Used Avail Capacity Mounted on /dev/ad0s1a 213M 74M 137M 35% / devfs 1.0K 1.0K 0B 100% /dev devfs 1.0K 1.0K 0B 100% /dev/ /dev/md0 180M 180M 0B 100% /junos /cf 213M 74M 137M 35% /junos/cf devfs 1.0K 1.0K 0B 100% /junos/dev/ procfs 4.0K 4.0K 0B 100% /proc /dev/bo0s1e 24M 13K 24M 0% /config /dev/md1 168M 7.6M 147M 5% /mfs /cf/var/jail 213M 74M 137M 35% /jail/var
Il /dev/ad0s1a représente la mémoire flash intégrée et est actuellement à 35 % de sa capacité.
Vérification des fichiers journaux pour vérifier différents scénarios et téléchargement des fichiers journaux sur un FTP
Problème
Affichez les fichiers journaux pour vérifier les messages de débogage IKE de sécurité, les débogages de flux de sécurité et l’état de la journalisation dans le syslog.
Solution
À partir du mode opérationnel, entrez les show log kmdcommandes , show log pkid, show log security-traceet show log messages .
user@host> show log kmd user@host> show log pkid user@host> show log security-trace user@host> show log messages
Vous pouvez afficher la liste de tous les journaux du répertoire /var/log à l’aide de la show log commande.
Les fichiers journaux peuvent également être téléchargés sur un serveur FTP à l’aide de la file copy commande.
(operational mode): user@host> file copy path/filename dest-path/filename Example:
user@host> file copy /var/log/kmd ftp://192.168.10.10/kmd.log
ftp://192.168.10.10/kmd.log 100% of 35 kB 12 MBps
Activation des options de suivi IKE pour afficher les messages sur IKE
Problème
Pour afficher les messages de réussite ou d’échec pour IKE ou IPsec, vous pouvez afficher le journal kmd à l’aide de la show log kmd commande. Étant donné que le journal kmd affiche des messages généraux, il peut être utile d’obtenir des détails supplémentaires en activant les options de suivi IKE et PKI.
En règle générale, il est recommandé de dépanner l’homologue qui a le rôle de répondeur. Pour comprendre la cause d’une défaillance, vous devez obtenir la trace de l’initiateur et du répondeur.
Configurez les options de suivi IKE.
Solution
user@host> configure Entering configuration mode [edit] user@host# edit security ike traceoptions [edit security ike traceoptions]
user@host# set file ? Possible completions: <filename> Name of file in which to write trace information files Maximum number of trace files (2..1000) match Regular expression for lines to be logged no-world-readable Don't allow any user to read the log file size Maximum trace file size (10240..1073741824) world-readable Allow any user to read the log file
[edit security ike traceoptions]
user@host# set flag ? Possible completions: all Trace everything certificates Trace certificate events database Trace security associations database events general Trace general events ike Trace IKE module processing parse Trace configuration processing policy-manager Trace policy manager processing routing-socket Trace routing socket messages timer Trace internal timer events
Si vous ne spécifiez pas de noms de fichier pour le champ <filename>, toutes les options de trace IKE sont écrites dans le journal kmd.
Vous devez spécifier au moins une option d’indicateur pour écrire des données de trace dans le journal. Par exemple :
file size— Taille maximale de chaque fichier de trace, en octets. Par exemple, 1 million (1 000 000 ) peut générer une taille de fichier maximale de 1 Mo.files— Nombre maximal de fichiers de trace à générer et à stocker dans un périphérique de mémoire flash.
Vous devez valider votre configuration pour démarrer la trace.
Activation des options de suivi PKI pour afficher les messages sur IPsec
Problème
Activez les options de suivi PKI pour déterminer si une défaillance IKE est liée au certificat ou à un problème non-PKI.
Solution
[edit security pki traceoptions]
user@host# set file ? Possible completions: <filename> Name of file in which to write trace information files Maximum number of trace files (2..1000) match Regular expression for lines to be logged no-world-readable Don't allow any user to read the log file size Maximum trace file size (10240..1073741824) world-readable Allow any user to read the log file
[edit security pki traceoptions]
user@host# set flag ? Possible completions: all Trace with all flags enabled certificate-verification PKI certificate verification tracing online-crl-check PKI online crl tracing
Configuration des options de suivi IKE et PKI pour résoudre les problèmes de configuration IKE avec les certificats
Problème
Configurez les paramètres recommandés pour les options de traçage IKE et PKI.
Les options de trace IKE et PKI utilisent les mêmes paramètres, mais le nom de fichier par défaut pour toutes les traces liées à PKI se trouve dans le journal pkid.
Solution
user@host> configure Entering configuration mode [edit security ike traceoptions] user@host# set file size 1m user@host# set flag ike user@host# set flag policy-manager user@host# set flag routing-socket user@host# set flag certificates [edit security pki traceoptions] user@host# set file size 1m user@host# set flag all user@host# commit and-quit commit complete Exiting configuration mode
Analyse du message de réussite de la phase 1
Problème
Comprendre la sortie de la show log kmd commande lorsque les conditions IKE Phase 1 et Phase 2 sont réussies.
Solution
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]= 10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net) Nov 7 11:52:14 Phase-2 [responder] done for p1_local=ipv4(udp:500,[0..3]=10.1.1.2) p1_remote=fqdn(udp:500,[0..15]=ssg5.example.net) p2_local=ipv4_subnet(any:0,[0..7]=192.168.10.0/24) p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
L’exemple de sortie indique :
10.1.1.2—Adresse locale.ssg5.example.net: homologue distant (nom d’hôte avec nom de domaine complet).udp: 500—Le NAT-T n’a pas été négocié.Phase 1 [responder] done: statut de la phase 1, ainsi que le rôle (initiateur ou répondant).Phase 2 [responder] done: état de la phase 1, ainsi que les informations relatives à l’ID du proxy.Vous pouvez également confirmer l’état IPsec SA à l’aide des commandes de vérification mentionnées à la section Confirmation de l’état de la phase 1 de l’IKE.
Analyse du message d’échec de phase 1 (incompatibilité de proposition)
Problème
Comprendre la sortie de la show log kmd commande, où la condition IKE Phase 1 est un échec, permet de déterminer la raison pour laquelle le VPN n’établit pas la Phase 1.
Solution
Nov 7 11:52:14 Phase-1 [responder] failed with error(No proposal chosen) for
local=unknown(any:0,[0..0]=) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 011359c9 ddef501d - 2216ed2a bfc50f5f [-
1] / 0x00000000 } IP; Error = No proposal chosen (14)L’exemple de sortie indique :
10.1.1.2—Adresse locale.ssg5.example.net: homologue distant (nom d’hôte avec nom de domaine complet).udp: 500—Le NAT-T n’a pas été négocié.Phase-1 [responder] failed with error (No proposal chosen)—Échec de la phase 1 en raison d’une inadéquation des propositions.
Pour résoudre ce problème, assurez-vous que les paramètres des propositions de la phase 1 de la passerelle IKE sur le répondeur et l’initiateur correspondent. Vérifiez également qu’il existe une politique de tunnel pour le VPN.
Analyse du message d’échec de phase 1 (échec d’authentification)
Problème
Comprendre la sortie de la show log kmd commande lorsque la condition IKE Phase 1 est un échec. Cela permet de déterminer la raison pour laquelle le VPN n’a pas établi la phase 1.
Solution
Nov 7 12:06:36 Unable to find phase-1 policy as remote peer:10.2.2.2 is not recognized.
Nov 7 12:06:36 Phase-1 [responder] failed with error(Authentication failed) for
local=ipv4(udp:500,[0..3]=10.1.1.2) remote=ipv4(any:0,[0..3]=10.2.2.2)
Nov 7 12:06:36 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { f725ca38 dad47583 - dab1ba4c ae26674b [-
1] / 0x00000000 } IP; Error = Authentication failed (24)
L’exemple de sortie indique :
10.1.1.2—Adresse locale.10.2.2.2—Pair distantPhase 1 [responder] failed with error (Authentication failed): échec de la phase 1 en raison de la non-reconnaissance par le répondeur de la demande entrante provenant d’un homologue de passerelle valide. Dans le cas d’IKE avec des certificats PKI, cet échec indique généralement qu’un type d’ID IKE incorrect a été spécifié ou entré.
Pour résoudre ce problème, vérifiez que le type d’ID IKE de l’homologue correct est spécifié sur l’homologue local en fonction des éléments suivants :
Génération du certificat homologue distant
Sujet : nom alternatif ou informations de DN dans le certificat homologue distant reçu
Analyse du message d’échec de phase 1 (erreur de délai d’expiration)
Problème
Comprendre la sortie de la show log kmd commande lorsque la condition IKE Phase 1 est un échec.
Solution
Nov 7 13:52:39 Phase-1 [responder] failed with error(Timeout) for local=unknown(any:0,[0..0]=) remote=ipv4(any:0,[0..3]=10.2.2.2)
L’exemple de sortie indique :
10.1.1.2—Ladresse locale.10.2.2.2—Pair distant.Phase 1 [responder] failed with error(Timeout)—Échec de la phase 1.Cette erreur indique que le paquet IKE est perdu en cours de route vers l’homologue distant ou qu’il y a un retard ou aucune réponse de l’homologue distant.
Étant donné que cette erreur de délai d’expiration est le résultat de l’attente d’une réponse du démon PKI, vous devez examiner la sortie des options de suivi PKI pour voir s’il existe un problème avec PKI.
Analyse du message d’échec de phase 2
Problème
Comprendre la sortie de la show log kmd commande lorsque la condition IKE Phase 2 est un échec.
Solution
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]=
10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 Failed to match the peer proxy ids
p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
p2_local=ipv4_subnet(any:0,[0..7]=10.10.20.0/24) for the remote peer:ipv4(udp:500,[0..3]=10.2.2.2)
Nov 7 11:52:14 KMD_PM_P2_POLICY_LOOKUP_FAILURE: Policy lookup for Phase-2 [responder] failed for
p1_local=ipv4(udp:500,[0..3]=10.1.1.2) p1_remote=ipv4(udp:500,[0..3]=10.2.2.2)
p2_local=ipv4_subnet(any:0,[0..7]=10.10.20.0/24)
p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 41f638eb cc22bbfe - 43fd0e85 b4f619d5 [0]
/ 0xc77fafcf } QM; Error = No proposal chosen (14)
L’exemple de sortie indique :
10.1.1.2—Adresse locale.ssg5.example.net: homologue distant (nom d’hôte de type ID IKE avec nom de domaine complet).Phase 1 [responder] done—Succès de la phase 1.Failed to match the peer proxy ids: les ID de proxy incorrects sont reçus. Dans l’exemple précédent, les deux ID de proxy reçus sont 192.168.168.0/24 (distant) et 10.10.20.0/24 (local) (pour service=any). Sur la base de la configuration donnée dans cet exemple, l’adresse locale attendue est 192.168.10.0/24. Cela montre qu’il existe une incompatibilité des configurations sur l’homologue local, ce qui entraîne l’échec de la correspondance d’ID de proxy.Pour résoudre ce problème, corrigez l’entrée du carnet d’adresses ou configurez l’ID de proxy sur l’un des homologues afin qu’il corresponde à l’autre pair.
La sortie indique également que la raison de l’échec est
No proposal chosen. Cependant, dans ce cas, vous voyez également le messageFailed to match the peer proxy ids.
Analyse du message d’échec de phase 2
Problème
Comprendre la sortie de la show log kmd commande lorsque la condition IKE Phase 2 est un échec.
Solution
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]=
10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { cd9dff36 4888d398 - 6b0d3933 f0bc8e26 [0]
/ 0x1747248b } QM; Error = No proposal chosen (14)
L’exemple de sortie indique :
10.1.1.2—Adresse locale.fqdn(udp:500,[0..15]=ssg5.example.net—Pair distant.Phase 1 [responder] done—Succès de la phase 1.Error = No proposal chosen—Aucune proposition n’a été retenue au cours de la phase 2. Ce problème est dû à une inadéquation des propositions entre les deux pairs.Pour résoudre ce problème, vérifiez que les propositions de la phase 2 correspondent sur les deux homologues.
Dépannage des problèmes courants liés à l’IKE et à la PKI
Problème
Résoudre les problèmes courants liés à l’IKE et à la PKI.
L’activation de la fonctionnalité d’options de suivi vous permet de recueillir plus d’informations sur les problèmes de débogage que celles que vous pouvez obtenir à partir des entrées de journal normales. Vous pouvez utiliser le journal des options de trace pour comprendre les raisons des échecs IKE ou PKI.
Solution
Méthodes de dépannage des problèmes liés à l’IKE et à la PKI :
Assurez-vous que les paramètres de l’horloge, de la date, du fuseau horaire et de l’heure d’été sont corrects. Utilisez NTP pour maintenir la précision de l’horloge.
Assurez-vous d’utiliser un code de pays à deux lettres dans le champ « C= » (pays) du DN.
Par exemple : utilisez « États-Unis » et non « États-Unis » ou « États-Unis ». Certaines autorités de certification exigent que le champ de pays du DN soit renseigné, ce qui vous permet d’entrer la valeur du code de pays uniquement avec une valeur de deux lettres.
Assurez-vous que si un certificat homologue utilise plusieurs champs OU= ou CN=, vous utilisez la méthode du nom distinctif avec conteneur (la séquence doit être conservée et est sensible à la casse).
Si le certificat n’est pas encore valide, vérifiez l’horloge système et, si nécessaire, ajustez le fuseau horaire du système ou ajoutez simplement un jour dans l’horloge pour un test rapide.
Assurez-vous qu’un type et une valeur d’ID IKE correspondants sont configurés.
La PKI peut échouer en raison de l’échec d’une vérification de révocation. Pour le confirmer, désactivez temporairement la vérification de la révocation et vérifiez si la phase 1 de l’IKE peut se terminer.
Pour désactiver la vérification de la révocation, utilisez la commande suivante en mode de configuration :
set security pki ca-profile <ca-profile> revocation-check disable