[Dr.WoW] Preguntas y respuestas: ¿Por qué el firewall no logra establecer un túnel IPSec con el enrutador AR?

Hola a todos, el día de hoy les presentare un tema interesante que consiste en la interoperabilidad entre un firewall USG y un router comomparte de una solución que esta disponible a los clientes que lo requerian. Revisemos el tema a detalle.

Los valores predeterminados de las configuraciones IPSec en el firewall y en el router AR son diferentes. Debe comparar la configuración de los parámetros en ambos extremos para asegurarse de que coincidan.

Contexto

Como se muestra en la Figura 2-5, la sede y la sucursal acceden a Internet respectivamente a través de NGFW y AR. La empresa requiere que se establezca un túnel IPsec entre el NGFW y AR para que la sede y la sucursal se comuniquen.

Figura 2-5 Establecimiento de un túnel IPsec entre el NGFW y AR usando una política

Procedimiento

Configurar el NGFW.

1. Configure las direcciones IP para las interfaces y asígnelas a las zonas de seguridad.

[NGFW]interface GigabitEthernet 1/0/1

[NGFW-GigabitEthernet1/0/1]ip address 10.1.1.1 24

[NGFW-GigabitEthernet1/0/1]quit

[NGFW]interface GigabitEthernet 1/0/2

[NGFW-GigabitEthernet1/0/2]ip address 1.1.3.1 24

[NGFW-GigabitEthernet1/0/2]quit

[NGFW]firewall zone trust

[NGFW-zone-trust]add interface GigabitEthernet 1/0/1

[NGFW-zone-trust]quit

[NGFW]firewall zone untrust

[NGFW-zone-untrust]add interface GigabitEthernet 1/0/2

[NGFW-zone-untrust]quit

2. Configure una ruta predeterminada del NGFW a Internet. En el ejemplo, la dirección IP del siguiente salto

es 1.1.3.2

[NGFW]ip route-static 0.0.0.0 0.0.0.0 1.1.3.2

3. Configure las políticas de seguridad entre zonas

a. Configure políticas de seguridad para la interzona Trust-Untrust para permitir que

los paquetes encapsulados y desencapsulados pasen a través del NGFW.

[NGFW]security-policy

[NGFW-policy-security]rule name 1

[NGFW-policy-security-rule-1]source-zone untrust

[NGFW-policy-security-rule-1]destination-zone trust

[NGFW-policy-security-rule-1]source-address 10.1.3.0 24

[NGFW-policy-security-rule-1]destination-address 10.1.1.0 24

[NGFW-policy-security-rule-1]action permit

[NGFW-policy-security-rule-1]quit

[NGFW-policy-security]rule name 2

[NGFW-policy-security-rule-2]source-zone trust

[NGFW-policy-security-rule-2]destination-zone untrust

[NGFW-policy-security-rule-2]source-address 10.1.1.0 24

[NGFW-policy-security-rule-2]destination-address 10.1.3.0 24

[NGFW-policy-security-rule-2]action permit

[NGFW-policy-security-rule-2]quit

b. Configure políticas de seguridad para la interzona Local-Untrust para

permitir que lospaquetes de negociación IKE pasen a través del NGFW

[NGFW-policy-security]rule name 3

[NGFW-policy-security-rule-3]source-zone local

[NGFW-policy-security-rule-3]destination-zone untrust

[NGFW-policy-security-rule-3]source-address 1.1.3.1 32

[NGFW-policy-security-rule-3]destination-address 1.1.5.1 32

[NGFW-policy-security-rule-3]action permit

[NGFW-policy-security-rule-3]quit

[NGFW-policy-security]rule name 4

[NGFW-policy-security-rule-4]source-zone untrust

[NGFW-policy-security-rule-4]destination-zone local

[NGFW-policy-security-rule-4]source-address 1.1.5.1 32

[NGFW-policy-security-rule-4]destination-address 1.1.3.1 32

[NGFW-policy-security-rule-4]action permit

[NGFW-policy-security-rule-4]quit

4. Configure una política IPsec

a. Configure una ACL para definir el flujo de datos a proteger

[NGFW]acl 3000

[NGFW-acl-adv-3000]rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255

[NGFW-acl-adv-3000]quit

b. Configurar una propuesta de IPsec.

[NGFW]ipsec proposal tran1

[NGFW-ipsec-proposal-tran1]transform esp

[NGFW-ipsec-proposal-tran1]encapsulation-mode tunnel

[NGFW-ipsec-proposal-tran1]esp authentication-algorithm sha2-256

[NGFW-ipsec-proposal-tran1]esp encryption-algorithm aes-128

[NGFW-ipsec-proposal-tran1]quit

c.Crear una propuesta IKE

[NGFW]ike proposal 1

[NGFW-ike-proposal-1]encryption-algorithm aes-128

[NGFW-ike-proposal-1]authentication-algorithm sha2-256

[NGFW-ike-proposal-1]dh group2

[NGFW-ike-proposal-1]quit

d. Configurar un par IKE

[NGFW]ike peer ar

[NGFW-ike-peer-ar]undo version 2

[NGFW-ike-peer-ar]exchange-mode main

[NGFW-ike-peer-ar]ike-proposal 1

[NGFW-ike-peer-ar]pre-shared-key Key123

[NGFW-ike-peer-ar]remote-address 1.1.5.1

[NGFW-ike-peer-ar]quit

e.Configurar una política IPsec ISAKMP

[NGFW]ipsec policy map1 1 isakmp

[NGFW-ipsec-policy-isakmp-map1-1]ike-peer ar

[NGFW-ipsec-policy-isakmp-map1-1]proposal tran1

[NGFW-ipsec-policy-isakmp-map1-1]security acl 3000

[NGFW-ipsec-policy-isakmp-map1-1]quit

f.Aplique la política de IPsec a la interfaz GigabitEthernet 1/0/2.

[NGFW]interface GigabitEthernet 1/0/2

[NGFW-GigabitEthernet1/0/2]ipsec policy map1

[NGFW-GigabitEthernet1/0/2]quit

Configurar el AR

1. Configure las direcciones IP de la interfaz para el AR

<Huawei>system-view

[Huawei]sysname AR

[AR]interface GigabitEthernet 0/0/1

[AR-GigabitEthernet0/0/1]ip address 10.1.3.1 24

[AR-GigabitEthernet0/0/1]quit

[AR]interface GigabitEthernet 0/0/2

[AR-GigabitEthernet0/0/2]ip address 1.1.5.1 24

[AR-GigabitEthernet0/0/2]quit

2. Configure una ruta predeterminada desde AR a Internet. En el ejemplo, la dirección IP del siguiente salto

es 1.1.5.2.

[AR]ip route-static 0.0.0.0 0.0.0.0 1.1.5.2

3. Configure una política de IPsec.

a. Configure una ACL para definir el flujo de datos a proteger.

[AR]acl 3000

[AR-acl-adv-3000]rule permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[AR-acl-adv-3000]quit

b. Configurar una propuesta de IPsec.

[AR]ipsec proposal tran1

[AR-ipsec-proposal-tran1]transform esp

[AR-ipsec-proposal-tran1]encapsulation-mode tunnel

[AR-ipsec-proposal-tran1]esp authentication-algorithm sha2-256

[AR-ipsec-proposal-tran1]esp encryption-algorithm aes-128

[AR-ipsec-proposal-tran1]quit

c. Crear una propuesta IKE.

[AR]ike proposal 1

[AR-ike-proposal-1]encryption-algorithm aes-cbc-128

[AR-ike-proposal-1]authentication-algorithm sha2-256

[AR-ike-proposal-1]dh group2

[AR-ike-proposal-1]quit

d. Configurar un par IKE.

[AR]ike peer ngfw v1  /* Parameterv1indicates that IKEv1 is used for negotiation./

[AR-ike-peer-ngfw]exchange-mode main

[AR-ike-peer-ngfw]ike-proposal 1

[AR-ike-peer-ngfw]pre-shared-key cipher Key123

[AR-ike-peer-ngfw]remote-address 1.1.3.1

[AR-ike-peer-ngfw]quit

e. Configurar una política IPsec ISAKMP

[AR]ipsec policy map1 1 isakmp

[AR-ipsec-policy-isakmp-map1-1]ike-peer ngfw

[AR-ipsec-policy-isakmp-map1-1]proposal tran1

[AR-ipsec-policy-isakmp-map1-1]security acl 3000

[AR-ipsec-policy-isakmp-map1-1]quit

f. Aplique la política de IPsec a la interfaz GigabitEthernet 0/0/2.

[AR]interface GigabitEthernet 0/0/2

[AR-GigabitEthernet0/0/2]ipsec policy map1

[AR-GigabitEthernet0/0/2]quit

FIN

Verificación

1. Haga ping a un usuario en la red de la sede desde la red de sucursales.

2. En casos normales, los flujos de datos desde la sucursal a la oficina central activan las puertas

de enlace para establecer un túnel IPsec. En el NGFW, verifique si se ha establecido una conexion IKE SA.

Si se muestra la siguiente información,se ha establecido una conexion IKE SA.

<NGFW>display ike sa

15:53:30  2015/12/26           

current ike sa number: 2        

--------------------------------------------------------------------------------

------------------             

conn-id    peer    flag          phase vpn      

--------------------------------------------------------------------------------

------------------             

179        1.1.5.1 RD|ST|A       v1:2  public   

178        1.1.5.1 RD|ST|D|A     v1:1  public   

  flag meaning                 

  RD--READY      ST--STAYALIVE     RL--REPLACED    FD--FADING    TO--TIMEOUT    

  TD--DELETING   NEG--NEGOTIATING  D--DPD          M--ACTIVE     S--STANDBY     

  A--ALONE                  

3. Ejecute el comando display ipsec sa para verificar si se ha establecido una SA de IPsec. Si se muestra la siguiente

información, se establece una SA de IPsec

<NGFW>display ipsec sa

15:53:53  2015/12/26           

===============================

Interface: GigabitEthernet1/0/2

    path MTU: 1500             

===============================

  -----------------------------

  IPsec policy name: "map1"     

  sequence number: 1           

  mode: isakmp                 

  vpn: public                  

  -----------------------------

    connection id: 179         

    rule number: 5             

    encapsulation mode: tunnel 

    holding time: 0d 0h 1m 53s 

    tunnel local : 1.1.3.1    tunnel remote: 1.1.5.1

    flow      source: 10.1.1.0/255.255.255.0 0/0

    flow destination: 10.1.3.0/255.255.255.0 0/0

    [inbound ESP SAs]          

      spi: 112877185 (0x6ba5e81)                

      vpn: public  said: 36  cpuid: 0x0000      

      proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA2-256 

      sa remaining key duration (kilobytes/sec): 1843199/3487

      max received sequence-number: 17          

      udp encapsulation used for nat traversal: N 

    [outbound ESP SAs]         

      spi: 1572321462 (0x5db7b8b6)              

      vpn: public  said: 37  cpuid: 0x0000      

      proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA2-256 

      sa remaining key duration (kilobytes/sec): 1843199/3487 

      max sent sequence-number: 18              

      udp encapsulation used for nat traversal: N 

Se ha establecido un túnel IPsec, pero ¿cómo podemos determinar si el tráfico de servicio se transmite a través

del túnel IPsec?

Aquí el Dr. WoW introduce dos métodos para su referencia

a través del túnel IPsec, el número de secuencia en el SA de IPSec del túnel aumenta en 5. 

Si el número de secuencia no aumenta o el número aumentado es incorrecto, los paquetes ICMP no se transmiten 

a través del túnel IPsec o el túnel IPsec está defectuoso.

Método 2: Ejecute el comandodisplay ipsec statistics para ver las estadísticas. Puede verificar los cambios en el valor

del campo de input/output security packets para determinar si los paquetes se transmiten a través del túnel IPsec.

Por ejemplo, los cambios en el valor del campo de input/output security packets indican que el túnel IPsec

reenvió 3 paquetes y también recibió 3 paquetes.

<NGFW>display ipsec statistics

15:54:21  2015/12/26           

  the security packet statistics:

   input/output security packets: 3/3  

    input/output security bytes: 252/252        

    input/output dropped security packets: 0/0  

    the encrypt packet statistics               

      send sae:3, recv sae:3, send err:0        

      local cpu:3, other cpu:0, recv other cpu:0

      intact packet:2, first slice:0, after slice:0

    the decrypt packet statistics               

      send sae:3, recv sae:3, send err:0        

      local cpu:0, other cpu:0, recv other cpu:0

      reass  first slice:0, after slice:0, len err:0

NOTE

El primer paquete de servicio que activa el establecimiento del túnel IPsec se descarta, porque el túnel no se ha establecido

en ese momento. Por ejemplo, un usuario de sucursal envía 10 paquetes ICMP a un usuario de la sede. Cuando ejecuta el comando de visualización de estadísticas ipsec, las estadísticas indican que solo se han reenviado 9 paquetes.El método 1 muestra los cambios de paquetes del túnel especificado, mientras que el método 2 muestra estadísticas globales en todos los túneles IPsec en el dispositivo. Si el dispositivo tiene varios túneles, se recomienda el método 1.

Resolución de problemas de túneles IPsec

La configuración de IPsec implica ajustes y procedimientos de parámetros complicados. Es común que la primera configuración falle.

Aquí, el Dr. WoW presenta cómo usar los comandos de depuración para localizar rápidamente las fallas

1. Habilitar la opcion de debug

<NGFW>terminal monitor

15:43:17  2015/12/26           

Info: Current terminal monitor is on

<NGFW>terminal debugging 

15:43:20  2015/12/26           

Info: Current terminal debugging is on

<NGFW>debugging ike error

15:43:27  2015/12/26         

Tenga en cuenta que cuando habilita la depuración de IKE, seleccionar ike indica la depuración de la negociación

del túnel IKEv1 y seleccionar ikev2 indica la negociación de la depuración del túnel IKEv2 Debe seleccionar el parámetro según la versión de IKE configurada para el túnel. Además, puede usar solo el error de depuración aquí para evitar que el dispositivo muestre información de depuración de IPsec irrelevante.

2. Ejecute el comando ping para activar la negociación del túnel y verifique la información de debug. Por ejemplo, si se

muestra la siguiente información, la falla ocurre en la fase uno de la negociación IKE, y la causa de la falla es que las

propuestas IKE son inconsistentes. Debe comparar y verificar las propuestas de IKE en las dos puertas de enlace.

2015-12-26 02:47 NGFW %IKE/4/WARNING(l):phase1:proposal mismatch, please check ike proposal configuration

3. Ejecute el comando ping para activar la negociación del túnel y verifique la información de depuración. Por ejemplo, si se

muestra la siguiente información, la falla ocurre en la fase dos de la negociación IKE, y la causa de la falla es que las ACL

son inconsistentes. Es necesario comparar las ACL en las dos puertas de enlace. Las ACL de una puerta de enlace deben

reflejar las de la otra puerta de enlace.

2015-12-26 02:47 NGFW %IKE/4/WARNING(l):phase2:security acl mismatch.

Comentarios del Dr. WoW

En este ejemplo, el método de autenticación de identidad utiliza la dirección IP predeterminada y la clave precompartida

predeterminada. Los valores predeterminados se utilizan porque las configuraciones predeterminadas de NGFW y AR son consistentes.

Sin embargo, esto no significa que todos los valores predeterminados de NGFW y AR sean los mismos. Preste atención a eso durante la

configuración. Por ejemplo, el valor de Grupo DH predeterminado en el NGFW es Grupo 2, pero el valor de Grupo DH

predeterminado en el AR es Grupo1. Si no está seguro de los valores predeterminados de los pares, configúrelos manualmente.

En la configuración de interconexión, la propuesta IKE y la propuesta IPsec en ambos extremos deben utilizar los mismos

algoritmos de autenticación y cifrado. De lo contrario, el túnel puede no ser establecido.

Sugerencias y resumen

Si un túnel IPSec se ha establecido entre los servicios se interrumpe, verifique si se produce una falla de enrutamiento.

Si el dispositivo local no tiene ninguna ruta al segmento de red privada del dispositivo remoto, el dispositivo local descartalos paquetes.

Para más detalles, vea el HUAWEI USG6000 Series Interoperability Configuration Guide for VPN.

Paso 1 Inicie sesión en el sitio web de soporte técnico de la empresa en http://support.huawei.com/enterprise.

Paso 2 Haga clic en Seguridad.

Paso 3 Haga clic en el nombre del producto que desea consultar, por ejemplo, Secospace USG6600.

Paso 4 Seleccione Documentación> Instalación y actualización> ConfiguraciónCommissioning> Guía de configuración,

y luego seleccione la documentación del producto correspondiente.

HUAWEI USG6000 Series Interoperability Configuration Guide for VPN

Esperando que esta información sea de utilidad para futuras referencias cuando realicen alguna prueba de interoperabilidad.

FIN

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

#ComunidadEnterprise

#OneHuawei