Resolucion de Problemas VPN Ipsec Cisco

  • Published on
    07-Jan-2016

  • View
    12

  • Download
    0

Embed Size (px)

DESCRIPTION

Este manual ayudad a las personas a solucionar problemas que posean cuando utilicen el protocolo ipsec.

Transcript

  • Resolucin de los problemas ms comunes con VPN IPSec L2L y deacceso remoto

    ContenidoIntroduccin Requisitos previos Requerimientos Componentes utilizados ConvencionesProblema: una configuracin de VPN IPSec no funciona Soluciones Activacin de NAT-Traversal (problema VPN RA n 1) Prueba de conectividad correcta Activacin de ISAKMP Borrado de las asociaciones de seguridad (tneles) antiguas o existentes Activacin de seales de mantenimiento de ISAKMP Reintroduccin de claves previamente compartidas Eliminacin y reemplazo de mapas de cifrados Verificacin de la presencia de comandos sysopt (slo PIX/ASA) Verificacin de que las ACL son correctas Verificacin de que el enrutamiento es correcto Verificacin de nmeros de secuencia del mapa de cifrado Desactivacin de XAUTH para pares L2LProblema: los usuarios de acceso remoto se conectan a la VPN y no tienen acceso a otros recursos Soluciones Tnel dividido Devolucin de llamadas Acceso LAN local

    IntroduccinEste documento contiene las soluciones ms comunes para los problemas de VPN IPSec. Estas soluciones provienen directamente de lassolicitudes de servicio que el Sitio de Soporte de Cisco ha resuelto. Muchas de estas soluciones pueden implementarse antes de profundizar en laresolucin de problemas relacionados con una conexin VPN IPSec. Por tanto, este documento se ha diseado como una lista de control de losprocedimientos ms comunes que se deben llevar a cabo antes de intentar resolver el problema o ponerse en contacto con el Sitio de Soporte deCisco.

    Nota: A pesar de que los ejemplos de configuracin de este documento se han diseado para routers y dispositivos de seguridad, casi todos losconceptos aqu contenidos pueden aplicarse a un concentrador VPN 3000.

    Nota: Puede buscar cualquier comando que contenga este documento mediante la herramienta Command Lookup Tool (slo para clientesregistrados).

    Advertencia: Muchas de las soluciones contenidas en este documento pueden causar una prdida temporal de conectividad VPN IPSec enun dispositivo. Se recomienda implementar estas soluciones con sumo cuidado y siguiendo las polticas de control de cambios pertinentes.

    Requisitos previosRequerimientos

    Cisco recomienda poseer ciertos conocimientos acerca de estos temas:

    Configuracin de VPN IPSec en dispositivos de Cisco:

    Dispositivo de seguridad de la serie PIX 500 de CiscoDispositivo de seguridad de la serie ASA 5500 de Cisco

  • Routers de Cisco IOSConcentradores de la serie VPN 3000 de Cisco (opcional)

    Componentes utilizados

    La informacin que contiene este documento se basa en las siguientes versiones de software y hardware:

    Dispositivo de seguridad de la serie ASA 5500 de CiscoDispositivo de seguridad de la serie PIX 500 de CiscoCisco IOS

    La informacin que contiene este documento se cre a partir de los dispositivos en un entorno de laboratorio especfico. Todos los dispositivosque se utilizan en este documento se iniciaron con una configuracin sin definir (predeterminada). Si la red est funcionando, asegrese de habercomprendido el impacto que puede tener cualquier comando.

    Convenciones

    Consulte Convenciones sobre consejos tcnicos de Cisco para obtener ms informacin sobre las convenciones del documento.

    Problema: una configuracin de VPN IPSec no funcionaUna solucin de VPN IPSec recientemente configurada o modificada no funciona.

    Una configuracin actual de VPN IPSec no funciona.

    SolucionesEsta seccin contiene soluciones a los problemas de VPN IPSec ms comunes. Aunque no estn enumeradas siguiendo un orden en particular,estas soluciones pueden servir como una lista de control de elementos que se deben verificar o probar antes de pasar a una resolucin deproblemas ms exhaustiva o ponerse en contacto con el Sitio de Soporte de Cisco. Todas estas soluciones provienen directamente de solicitudesde servicio del Sitio de Soporte de Cisco y han resuelto numerosos problemas de los clientes.

    Nota: Algunos de los comandos de estas secciones se han separado en dos lneas debido a problemas de espacio.

    Activacin de NAT-Traversal (problema VPN RA n 1)

    NAT-Traversal o NAT-T permite que el trfico VPN pase a travs de los dispositivos NAT o PAT, como un router Linksys SOHO. Si NAT-T noest activada, a menudo parece que los usuarios del cliente VPN pueden conectarse a PIX o ASA sin problemas, pero no pueden acceder a la redinterna detrs del dispositivo de seguridad.

    Nota: Con IOS 12.2(13)T y versiones posteriores, NAT-T est activada de forma predeterminada en IOS.

    ste es el comando para activar NAT-T en un dispositivo de seguridad de Cisco. En este ejemplo, 20 es el tiempo de seal de mantenimiento(predeterminado).

    PIX/ASA 7.1 y versiones anteriores

    pix(config)# isakmp nat-traversal 20PIX/ASA 7.2(1) y versiones posteriores

    securityappliance(config)# crypto isakmp nat-traversal 20

    Nota: Este comando es el mismo para PIX 6.x y PIX/ASA 7.x.

    Prueba de conectividad correcta

    Lo adecuado es que la conectividad VPN se pruebe desde dispositivos ubicados detrs de los dispositivos de puntos finales que realizan elcifrado. A pesar de ello, muchos usuarios prueban de conectividad VPN mediante el comando ping en los dispositivos que realizan el cifrado.Aunque el comando ping normalmente funciona para este propsito, es importante que se origine desde la interfaz correcta. Si el ping no seorigina correctamente, puede parecer que la conexin VPN falla cuando en realidad funciona. Tome este escenario como ejemplo:

  • ACL de cifrado en router A

    access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255

    ACL de cifrado en router B

    access-list 110 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255

    En esta situacin, se debe originar un ping desde la red "interna" detrs de cualquiera de los routers. Esto se debe a que las ACL de cifrado sloestn configuradas para cifrar trfico con esas direcciones de origen. Un ping originado desde las interfaces orientadas a Internet de cualquiera delos routers no se cifrar. Utilice las opciones extendidas del comando ping del modo EXEC con privilegios para originar un ping desde la interfaz"interna" de un router:

    routerA# pingProtocol [ip]:Target IP address: 192.168.200.10Repeat count [5]:Datagram size [100]:Timeout in seconds [2]:Extended commands [n]: ySource address or interface: 192.168.100.1Type of service [0]:Set DF bit in IP header? [no]:Validate reply data? [no]:Data pattern [0xABCD]:Loose, Strict, Record, Timestamp, Verbose[none]:Sweep range of sizes [n]:Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds:Packet sent with a source address of 192.168.100.1!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

    Imagine que los routers de este diagrama se han reemplazado con dispositivos de seguridad PIX o ASA. El ping que se utiliza para probar laconectividad tambin se puede originar desde la interfaz interna con la palabra clave inside:

    securityappliance# ping inside 192.168.200.10Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.200.10, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

    Nota: No se recomienda dirigir la interfaz interna de un dispositivo de seguridad mediante ping. Si debe dirigir una interfaz interna medianteping, deber activar management-access en dicha interfaz o el dispositivo no responder.

    securityappliance(config)# management-access inside

    Activacin de ISAKMP

    Si no existen indicaciones de ninguna activacin en un tnel de VPN IPSec, puede deberse a que ISAKMP no est activado. Asegrese de activarISAKMP en los dispositivos. Utilice uno de estos comandos para activar ISAKMP en los dispositivos:

    Cisco IOS

    router(config)#crypto isakmp enableCisco PIX 7.1 y versiones anteriores (reemplace outside con la interfaz deseada)

    pix(config)# isakmp enable outsideCisco PIX/ASA 7.2(1) y versiones posteriores (reemplace outside con la interfaz deseada)

    securityappliance(config)# crypto isakmp enable outside

    Borrado de las asociaciones de seguridad (tneles) antiguas o existentes

    Borrar las asociaciones de seguridad (SA) ISKAMP (fase I) y IPSec (fase II) es la forma ms simple, y a menudo la mejor, de resolver problemasde VPN IPSec. Si borra las SA, puede resolver una gran variedad de mensajes de error y comportamientos extraos sin necesidad de acudir a laresolucin de problemas. A pesar de que esta tcnica se puede emplear fcilmente en cualquier situacin, casi siempre es necesario borrar las SAuna vez modificadas o agregadas a una configuracin VPN IPSec actual. Adems, aunque es posible borrar slo determinadas asociaciones de

  • seguridad, lo ms recomendable es borrar todas las AS del dispositivo.

    Nota: Una vez que se han borrado las asociaciones de seguridad, puede que sea necesario enviar trfico a travs del tnel para poderreestablecerlas.

    Advertencia: A menos que especifique qu asociaciones de seguridad desea borrar, los comandos a continuacin pueden borrar todas lasasociaciones de seguridad del dispositivo. Acte con precaucin si hay algn otro tnel de VPN IPSec en uso.

    Revise las asociaciones de seguridad antes de borrarlas.1.

    Cisco IOSa.

    router#show crypto isakmp sarouter#show crypto ipsec sa

    Dispositivos de seguridad Cisco PIX/ASAb.

    securityappliance# show crypto isakmp sasecurityappliance# show crypto ipsec sa

    Nota: Estos comandos son los mismos para Cisco PIX 6.x y PIX/ASA 7.x

    Borre las asociaciones de seguridad. Cada uno de los comandos se puede introducir como se indica en negrita o con las opciones que semuestran con ellos.

    2.

    Cisco IOSa.

    ISAKMP (fase I)a.

    router#clear crypto isakmp ? connection id of SA

    IPSec (fase II)b.

    router#clear crypto sa ? counters Reset the SA counters map Clear all SAs for a given crypto map peer Clear all SAs for a given crypto peer spi Clear SA by SPI

    Dispositivos de seguridad Cisco PIX/ASAb.

    ISAKMP (fase I)a.

    securityappliance# clear crypto isakmp sa

    IPSec (fase II)b.

    security appliance# clear crypto ipsec sa ?

    counters Clear IPsec SA counters entry Clear IPsec SAs by entry map Clear IPsec SAs by map peer Clear IPsec SA by peer

    Activacin de seales de mantenimiento de ISAKMP

    La configuracin de seales de mantenimiento de ISAKMP contribuye a evitar interrupciones espordicas de tneles de VPN LAN a LAN, ascomo la interrupcin de tneles LAN a LAN tras un perodo de inactividad. Esta caracterstica permite que el punto extremo del tnel supervisela presencia continua de un par remoto e informe de su propia presencia a dicho par. Si el par deja de responder, el punto extremo elimina laconexin. Ambos puntos extremos de VPN deben admitir las seales de mantenimiento de ISAKMP para que stas funcionen.

    Configure las seales de mantenimiento de ISAKMP en ISO mediante el siguiente comando:

  • router(config)# crypto isakmp keepalive 15Utilice estos comandos para configurar las seales de mantenimiento de ISAKMP en los dispositivos de seguridad de PIX/ASA:

    Cisco PIX 6.x

    pix(config)# isakmp keepalive 15Cisco PIX/ASA 7.x, para el grupo de tneles designado 10.165.205.222

    securityappliance(config)# tunnel-group 10.165.205.222 ipsec-attributes

    securityappliance(config-tunnel-ipsec)# isakmp keepalive threshold 15 retry 10

    Reintroduccin de claves previamente compartidas

    En muchos casos, un simple error tipogrfico puede ser la causa de que un tnel de VPN IPSec no se active. Por ejemplo, en el dispositivo deseguridad, las claves previamente compartidas se ocultan una vez que se han introducido. Esta confusin hace imposible comprobar si la clave esincorrecta. Asegrese de que ha introducido correctamente todas las claves previamente compartidas en cada punto extremo de VPN.Vuelva a introducir una clave para asegurarse de que es correcta; sta es una solucin sencilla que puede evitar pasar a una resolucin deproblemas ms exhaustiva.

    Advertencia: Si elimina comandos relacionados con el cifrado, es probable que desactive uno o todos los tneles de VPN. Utilice estoscomandos con precaucin y consulte la poltica de control de cambios de su organizacin antes de seguir con estos pasos.

    Utilice estos comandos para eliminar e introducir de nuevo la clave previamente compartida secretkey para el par 10.0.0.1 o el grupovpngroup en IOS:

    VPN LAN a LAN de Cisco

    router(config)# no crypto isakmp key secretkey address 10.0.0.1router(config)# crypto isakmp key secretkey address 10.0.0.1

    VPN de acceso remoto de Cisco

    router(config)# crypto isakmp client configuration group vpngrouprouter(config-isakmp-group)# no key secretkeyrouter(config-isakmp-group)# key secretkey

    Utilice estos comandos para eliminar e introducir de nuevo la clave previamente compartida secretkey para el par 10.0.0.1 en losdispositivos de seguridad PIX/ASA:

    Cisco PIX 6.x

    pix(config)# no isakmp key secretkey address 10.0.0.1pix(config)# isakmp key secretkey address 10.0.0.1

    Cisco PIX/ASA 7.x

    securityappliance(config)# tunnel-group 10.0.0.1 ipsec-attributessecurityappliance(config-tunnel-ipsec)# no pre-shared-keysecurityappliance(config-tunnel-ipsec)# pre-shared-key secretkey

    Eliminacin y reemplazo de mapas de cifrados

    Si borra asociaciones de seguridad, pero no se resuelve un problema de VPN IPSec, elimine y reemplace el mapa de cifrado pertinente pararesolver una amplia variedad de problemas.

    Advertencia: Si elimina un mapa de cifrado de una interfaz, se desactivan de manera definitiva todos los tneles IPSec asociados adicho mapa de cifrado. Siga estos pasos con precaucin y tenga en cuenta la poltica de control de cambios de su organizacin antes de proceder.

  • Utilice estos comandos para eliminar y reemplazar un mapa de cifrado en IOS:

    Comience con la eliminacin del mapa de cifrado de la interfaz. Utilice la forma no del comando crypto map.

    router(config-if)# no crypto map mymap

    Contine utilizando la forma no para eliminar un mapa de cifrado completo.

    router(config)# no crypto map mymap 10

    Reemplace el mapa de cifrado en la interfaz Ethernet0/0 para el par 10.0.0.1. Este ejemplo muestra la configuracin mnima necesaria paraun mapa de cifrado:

    router(config)# crypto map mymap 10 ipsec-isakmprouter(config-crypto-map)# match address 101router(config-crypto-map)# set transform-set mySETrouter(config-crypto-map)# set peer 10.0.0.1router(config-crypto-map)# exitrouter(config)# interface ethernet0/0router(config-if)# crypto map mymap

    Utilice estos comandos para eliminar y reemplazar un mapa de cifrado en PIX o ASA:

    Comience con la eliminacin del mapa de cifrado de la interfaz. Utilice la forma no del comando crypto map.

    securityappliance(config)# no crypto map mymap interface outside

    Contine utilizando la forma no para eliminar los comandos del otro mapa de cifrado.

    securityappliance(config)# no crypto map mymap 10 match address 101securityappliance(config)# no crypto map mymap set transform-set mySETsecurityappliance(config)# no crypto map mymap set peer 10.0.0.1

    Reemplace el mapa de cifrado para el par 10.0.0.1. Este ejemplo muestra la configuracin mnima necesaria para un mapa de...