記IPSec VPN對接故障的排查

cow977發表於2019-12-25

記IPSec VPN對接故障的排查

 

故障1:首次對接不成功

【問題現象】

Sangfor NGAF 與H3C F1030進行IPSec VPN第三方對接,第一階段IKE SA已經協商成功,第二階段IPSec SA協商不成功,提示原因:策略包含不正確的ACL或IKE配置檔案配置。

【排查過程】

Sangfor NGAF 與H3C F1030進行IPSec VPN第三方對接,因在Sangfor BBS上未查到與H3C裝置對接的文章,只能從網上找了一篇與H3C MSR裝置對接的文章照著進行操作,在配置H3C F1030的第一階段IKE引數時,就遇到了一個問題,文章介紹的是V5版本的配置,而當前裝置的版本是V7,配置命令已經作了調整,不再支援原有命令。沒辦法了,只能自己到H3C官網上查詢裝置的配置手冊,再看相關命令,慢慢摸索進行配置,在此不作詳細描述。

Sangfor NGAF 裝置上的配置是按網上文章操作的,配置完成,就等對接成功,便大功告成了。

左等不成,右等不成,千呼萬喚就是不出來。

先從對端來看一下狀態:

<ZT-F1030>disp ike sa verbose

   -----------------------------------------------

   Connection ID: 1

   Outside VPN:

   Inside VPN:

   Profile: 1

   Transmitting entity: Initiator

   Initiator cookie: 2c9f239e250d0206

   Responder cookie: baabf2fbe3467cc2

   -----------------------------------------------

   Local IP: 192.168.100.236

   Local ID type: FQDN

   Local ID: ZT-F1030

 

   Remote IP: 2.34.Y.30

   Remote ID type: FQDN

   Remote ID: ZX-Sangfor

 

   Authentication-method: PRE-SHARED-KEY

   Authentication-algorithm: MD5

   Encryption-algorithm: 3DES-CBC

 

   Life duration(sec): 3600

   Remaining key duration(sec): 1545

   Exchange-mode: Aggressive

   Diffie-Hellman group: Group 2

   NAT traversal: Detected

 

   Extend authentication: Disabled

   Assigned IP address:

   Vendor ID index:0xffffffff

   Vendor ID sequence number:0x0

===================================================================================

ZT-F1030 IPSEC/6/IPSEC_SA_ESTABLISH_FAIL: Failed to establish IPsec SA.

Reason: The policy contains incorrect ACL or IKE profile configuration.

原因:策略包含不正確的ACL或IKE配置檔案配置。

PolicyName=720896, Seqnum=1.

SA information:

Role: responder.

Local address: 192.168.100.236

Remote address: 2.34.Y.30

Sour addr: 192.168.100.236/255.255.255.255 Port: 0 Protocol: IP

Dest addr: 2.34.Y.30/255.255.255.255 Port: 0 Protocol: IP

Inside VPN instance:

Outside VPN instance:

Inbound AH SPI: 0

Outbound AH SPI: 0

Inbound ESP SPI: 0

Outbound ESP SPI: 0

ACL number: 3999

第一階段IKE SA已經協商成功,第二階段IPSec SA協商不成功,原因:策略包含不正確的ACL或IKE配置檔案配置。

對照配置檔案,兩端配置的引數完全一致,一時也搞不明白原因。

那再從本端來看下除錯日誌:

[ipsec_vpn][message:106] [2.34.X.2<3>] 收到無效的IKE頭部,解析失敗

[ipsec_vpn][packet:317] ipsec_do_recv failed

[ipsec_vpn][ipsec:55] failed to message_create 4294967295

[ipsec_vpn][message:106] [2.34.X.2<3>] 收到無效的IKE頭部,解析失敗

[ipsec_vpn][packet:317] ipsec_do_recv failed

[ipsec_vpn][ipsec:55] failed to message_create 4294967295

也看不出啥明堂。

沒有辦法,從Sangfor BBS上再找了一篇NGAF與Cisco對接的文章,仔細對比,發現配置過程中漏了一步操作,那就是“配置VPN介面”,但到現在也不明白這一步的意義。

【處理過程】

在本端Sangfor NGAF裝置上完成了“配置VPN介面”操作。

完成這一操作後,終於看到久違的連線隧道建立了,兩端都能互相Ping通對方了。

對接成功了。

【問題原因】

在本端Sangfor NGAF裝置上未配置“VPN介面”操作。

 

 

故障2:裝置禁用後再次啟用對接不成功

【問題現象】

Sangfor NGAF 與H3C F1030進行IPSec VPN第三方對接,對接已經成功。

因網路測試的需要,11點32分禁用了IPSec VPN對接裝置,測試完成後,11點36分重新啟用裝置,但連線隧道就是建立不起來。

【排查過程】

重新啟用裝置後,連線隧道建立不起來,開始懷疑配置引數發生了改變,又重新配置了一遍。

檢視NGAF上的除錯日誌:

告警   12:37:23  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:37:16  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   12:37:05  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

資訊   12:37:01  [ipsec_vpn][starter:170] 新增第一階段 ZT

資訊   12:37:01  [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:10000

告警   12:36:56  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   12:36:52  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

......

告警   12:34:36  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:34:36  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

資訊   12:34:31  [ipsec_vpn][config:373] 檔案OutPolicy.vpn發生改變,名字:ZX-ZT 改變標記:c000

資訊   12:34:25  [ipsec_vpn][config:373] 檔案OutPolicy.vpn發生改變,名字:SJ-ZT 改變標記:c000

告警   12:34:17  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:34:16  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   12:34:01  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

資訊   12:33:58  [ipsec_vpn][config:373] 檔案InPolicy.vpn發生改變,名字:ZT-In 改變標記:8000

告警   12:33:56  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   12:33:47  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:33:41  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:33:36  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

......

告警   12:31:19  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:31:16  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

資訊   12:31:07 [ipsec_vpn][starter:170] 新增第一階段 ZT

資訊   12:31:07  [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:2010000

告警   12:31:06  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:30:56  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   12:30:51  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:30:45  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:30:36  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   12:30:23  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:30:22  [ipsec_vpn][ike_sa:1597] [@ZT<ZT-In-ZX-ZT>:2.34.X.2<167><c6fda82b418d2ddc:05b3f1eb>] 跟2.34.X.2<167>建立連線超時,狀態:out-1_in-0

告警   12:30:22  [ipsec_vpn][ike_sa:1597] [@ZT<ZT-In-SJ-ZT>:2.34.X.2<167><c6fda82b418d2ddc:41a13ee9>] 跟2.34.X.2<167>建立連線超時,狀態:out-1_in-0

告警   12:30:16  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   12:30:08  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:29:56  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   12:29:48  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:29:37  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:29:36  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   12:29:21  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:29:16  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   12:29:15  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:29:02  [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期

告警   12:29:02  [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期

告警   12:28:58  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:28:56  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   12:28:52  [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期

告警   12:28:52  [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期

告警   12:28:42  [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期

告警   12:28:42  [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期

告警   12:28:36  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:28:36  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   12:28:32  [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期

告警   12:28:32  [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期

資訊   12:28:32  [ipsec_vpn][exchange:1357] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 開始協商第二階段[ZT-In-ZX-ZT]

資訊   12:28:32  [ipsec_vpn][exchange:1357] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 開始協商第二階段[ZT-In-SJ-ZT]

告警   12:28:20  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:28:16  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

資訊   12:28:05  [ipsec_vpn][exchange:708] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 第一階段安全聯盟協商成功.

資訊   12:28:05  [ipsec_vpn][payload_natd:86] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 遠端在NAT後

資訊   12:28:05  [ipsec_vpn][payload_natd:84] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 本端在NAT後

告警   12:28:03  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

資訊   12:27:55  [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_00

資訊   12:27:55  [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_02_N

資訊   12:27:55  [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_03

資訊   12:27:55  [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援NATT, 最高支援的版本為NATT_RFC

資訊   12:27:55  [ipsec_vpn][vendor:316] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援DPD

資訊   12:27:55 [ipsec_vpn][exchange:573] [2.34.X.2<167>] 響應對端第一階段的協商 , 使用配置ZT:2.34.Y.30<0>, 開始建立sa

告警   12:27:55  [ipsec_vpn][ike_setting:1023] 線上路1上沒有找到地址為2.34.X.2<167>的第一階段配置

告警   12:27:55  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   12:27:52  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   12:27:46  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

......

告警   12:24:55  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   12:24:53  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

資訊   11:36:09 [ipsec_vpn][starter:170] 新增第一階段 ZT

資訊   11:36:09  [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:2010000

資訊   11:33:57  [ipsec_vpn][starter:170] 新增第一階段 ZT

資訊   11:33:57  [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:10001

告警   11:32:27 [ipsec_vpn][ike_setting:205] 裝置ZT已經被禁用

資訊   11:32:27  [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:10001

實在沒有辦法了,12點42分,提單請求技術支援。

很快(2-3分鐘吧,是很快吧。等著可覺得時間老長老長的),400工程師有了響應。

建立遠端後,400工程師很快(同樣是2-3分鐘吧,很長吧。可一邊看著操作,一邊交流網路環境,覺得時間過的很快)給出了問題原因:本端斷開隧道後,對端並不認為隧道已經斷開,還在繼續傳送後續資料,而未再從頭開始進行協商。

給出的解決辦法是:在對端裝置上清除原有的連線狀態,重新開始進行協商。

因兩端相隔距離較遠,對端又無法進行遠端操作,且配置的IKE SA超時時間是3600秒,估計到現場操作的話,因超時時間已到,隧道也已經恢復,故採取的操作是等待對端連線超時,重新開始連線協商。

【處理過程】

1 、超時時間一到,立馬重新開始協商,隧道成功建立。

資訊   13:21:58  [ipsec_vpn][exchange:830] [@ZT<ZT-In-ZX-ZT>:2.34.X.2<44418><3da13a5d187659c7:1a025cdb>] 第二階段安全聯盟協商成功,隧道已經建立.

資訊   13:21:58  [ipsec_vpn][exchange:830] [@ZT<ZT-In-SJ-ZT>:2.34.X.2<44418><3da13a5d187659c7:e141a13e>] 第二階段安全聯盟協商成功,隧道已經建立.

資訊   13:21:58  [ipsec_vpn][exchange:1357] [@ZT:2.34.X.2<44418><3da13a5d187659c7:00000000>] 開始協商第二階段[ZT-In-ZX-ZT]

資訊   13:21:58  [ipsec_vpn][exchange:1357] [@ZT:2.34.X.2<44418><3da13a5d187659c7:00000000>] 開始協商第二階段[ZT-In-SJ-ZT]

資訊   13:21:56  [ipsec_vpn][exchange:708] [@ZT:2.34.X.2<44418><3da13a5d187659c7:00000000>] 第一階段安全聯盟協商成功.

資訊   13:21:56  [ipsec_vpn][payload_natd:86] [@ZT:2.34.X.2<44418><3da13a5d187659c7:00000000>] 遠端在NAT後

資訊   13:21:56  [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_00

資訊   13:21:56  [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_02_N

資訊   13:21:56  [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_03

資訊   13:21:56  [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援NATT, 最高支援的版本為NATT_RFC

資訊   13:21:56  [ipsec_vpn][vendor:316] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援DPD

資訊   13:21:56  [ipsec_vpn][exchange:573] [2.34.X.2<167>] 響應對端第一階段的協商, 使用配置ZT:2.34.Y.30<0>, 開始建立sa

告警   13:21:56  [ipsec_vpn][ike_setting:1023] 線上路1上沒有找到地址為2.34.X.2<167>的第一階段配置

告警   13:21:56  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警   13:21:45  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警   13:21:36  [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

......

告警   13:15:22  [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

資訊   13:15:21  [ipsec_vpn][starter:170] 新增第一階段 ZT

2 、在除錯日誌上,看到提示: 對端支援DPD

在對端裝置上,配置IPSec VPN隧道的DPD檢測,本端裝置上也勾選“啟用DPD”。

配置完成後,再次測試,隧道斷開後能很快自動恢復。

【問題原因】

1 、兩端 野蠻模式對接,本端只能作為響應端被動應答,不能作為發起端主動發起連線;

2 、對端作為發起端,未配置隧道狀態檢測;


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/81227/viewspace-2670438/,如需轉載,請註明出處,否則將追究法律責任。

相關文章