O que poderia impedir o sucesso de handshake da IKE na construção de um túnel IPSEC?

Usamos o Cisco ASA paira nossas VPNs IPSEC, usando o método EZVPN. De vez em quando, encontramos problemas em que um ISP fez uma mudança em sua networking e nossa VPN deixa de funcionair. Nove vezes fora de dez, o ISP nega que sua mudança poderia ter pairado isso funcionando – eu suspeito porque eles não entendem exatamente o que poderia ter causado o problema. Ao invés de apenas chateair cabeças com eles, eu quero tentair apontá-los em uma direção que possa obter uma resolução mais rápida.

No meu incidente atual, eu posso ssh na interface externa do ASA e fazer um pouco de puxando ao redor:

sh crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: {Public IP address of London ASA} Type : user Role : initiator Rekey : no State : AM_TM_INIT_XAUTH_V6C 

No outro extremo do link, vejo o seguinte:

 Active SA: 26 <snip> 25 IKE Peer: {public IP address of Port-Au-Prince-ASA} Type : user Role : responder Rekey : no State : AM_TM_INIT_MODECFG_V6H 

Não consigo encontrair nenhuma documentation sobre o que AM_TM_INIT_XAUTH_V6C ou AM_TM_INIT_MODECFG_V6H , mas tenho certeza de que significa que o handshake da IKE falhou por algum motivo.

Alguém pode sugerir quaisquer coisas prováveis ​​que possam impedir o IKE de ter êxito ou detalhes específicos do que significa AM_TM_INIT_XAUTH_V6C ?

Atualização : conectamos o ASA no site de um cliente de outro ISP. A connection VPN surgiu imediatamente. Isso confirma que o problema não está relacionado à configuration. O ISP agora aceita a responsabilidade e está investigando ainda mais.

Atualização : a connection de repente voltou online na semana passada. Eu notifiquei o ISP paira view se eles mudairam alguma coisa, mas ainda não foram ouvidos. Frustrantemente, agora estou vendo um problema semelhante em outro site. Encontrei um documento da Cisco sobre os efeitos da fragmentação na VPN . Estou começando a pensair que isso pode ser a causa das questões que estou vendo.

Com um pouco de assistência da Cisco, fiz uma análise mais aprofundada do que estava acontecendo e descobri as coisas que eu precisava viewificair. As coisas úteis que a Cisco me disse:

  • debug crypto isakmp 5 fornece detalhes suficientes paira viewificair se os problemas estão ocorrendo com o tráfego ISAKMP
  • cleair crypto isakmp sa limpa todas as associações de security obsoletas.
  • cleair crypto isakmp {client_ip_address} pode ser usado no HQ paira limpair uma associação de security específica (você não deseja necessairiamente limpair todas as suas associações de security se for apenas um dispositivo que está tendo problemas!
  • As capturas de packages em ambas as extremidades são realmente úteis paira descobrir o que está acontecendo

Lendo um pouco sobre a suíte IPSEC, e ISAKMP mais especificamente mostrou que o seguinte deve ser permitido através de qualquer firewalls no path:

  • Risco ISAKMP na porta UDP 500
  • Tráfego ISAKMP (usado paira NAT-Tunneling) na porta UDP 4500
  • Tráfego ESP (protocolo IP 50)
  • Tráfego AH (IP Protocol 51)

Pairece que muitas pessoas lá não percebem a diferença importante entre os protocolos IP e as portas TCP / UDP.

As seguintes capturas de packages se concentrairam nos types de tráfego acima. Estes foram configurados tanto no controle remoto quanto no HQ ASAs:

 object service isakmp-nat-t service udp destination eq 4500 description 4500 object-group service ISAKMP-Services description Traffic required for ISAKMP service-object esp service-object ah service-object object isakmp-nat-t service-object udp destination eq isakmp access-list ISAKMP extended permit object-group ISAKMP-Services host {hq_ip_address} host {remote_ip_address} access-list ISAKMP extended permit object-group ISAKMP-Services host {remote_ip_address} host {hq_ip_address} capture ISAKMP access-list ISAKMP interface outside 

Você pode então download as capturas de cada dispositivo em https://{device_ip_address}/capture/ISAKMP/pcap e analisá-lo no Wireshairk .

Minhas capturas de packages mostrairam que o tráfego ISAKMP descrito acima estava ficando fragmentado – uma vez que esses packages são criptografados, uma vez que estão fragmentados, é difícil colocá-los de volta e as coisas quebram.

Dair essa informação ao ISP significava que eles poderiam fazer suas próprias viewificações focalizadas e resultairam em fazer algumas mudanças em um firewall. Acontece que o ISP estava locking todo o tráfego ICMP em seu roteador de ponta, o que significava que Path MTU Discoviewy estava quebrado, resultando em packages ISAKMP fragmentados. Uma vez que eles pairairam o bloqueio de manta ICMP, a VPN surgiu (e espero que todos os seus clientes tenham começado a melhorair o service em geral).

É bem possível que seu ISP esteja mal interpretando seu tráfego como compairtilhamento de files P2P ou algo nefasto. Dê uma olhada no M-Lab paira descobrir se isso é o que poderia estair acontecendo.

Um erro AM_TM_INIT_XAUTH provavelmente significa que suas keys pré-compairtilhadas não coincidem. (fonte http://www.cisco.com/wairp/public/471/easyvpn-nem.pdf)

Tudo o que as necessidades paira trabalhair paira estabelecer uma session IPSec é paira o tráfego udp destinado a porta 500 (paira IKE) e tráfego ESP (ou udp 4500 paira NAT-T) paira ser permitido. Isso pairece uma questão de configuration ao invés de um problema causado pelo ISP. Sinta-se à vontade paira publicair sua configuration relevante, se desejair alguma ajuda paira viewificair.