[toc:faq]
1. はじめに
Firepower Threat Defense (FTD) の拠点間 VPN の設定例およびトラブルシューティング方法を紹介します。本資料の作成で使用した検証環境では、リモートピアに IOS ルータを利用しています。FTDv、FMCv、Cisco IOS のバージョンの組み合わせは以下となります。
| Cisco IOS |
15.4(3)M7 |
| FTD |
Cisco Firepower Threat Defense for VMWare 6.2.0 |
| FMC |
Cisco Firepower Management Center for VMWare 6.2.0 |
2. Site-to-site VPN の動作条件
Table 4 New Features for Version 6.2.0: Firepower Threat Defense and Threat
6.2 からピア認証に証明書がサポートされています。
- Smart License (Strong Crypto) が有効になるまで、FMC から DES 以上のアルゴリズムを設定することが出来ません。事前に Smart License を有効化してください。
Evaluation ライセンスのまま設定を開始するとエラーになります。
3. 構成図と IKE /IPsec関連パラメータ
3.1. 構成図
以下のように簡略化した 2 拠点間の VPN を想定します。
3.2. IKE/IPsec のパラメータ
次のパラメータを選定しています。
| IKEv1 |
IPsec |
| Encryption Algorithm |
aes256 |
Security Protocol |
ESP |
| Hash |
sha |
Encryption Algorithm |
aes |
| Authentication |
pre-shared key |
Authentication Algorithm |
hmac-sha |
| Diffie-Hellman (DH) group |
5 |
Diffie-Hellman (DH) Group (PFS) |
5 |
| IKE SA lifetime |
86400 |
Mode |
Tunnel Mode |
| Keepalive (DPD) |
Enable |
IPsec SA lifetime |
3600 |
3.2. Cisco IOS の設定
Cisco IOS の設定から関連設定を抽出した出力になります。
|
crypto keyring FTD
pre-shared-key address 198.51.100.10 key xxxxxxxx
!--- Pre-shared key を FTD という keyring (Repository) で定義。
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 5
!--- IKEv1(Isakmp) ポリシー。
!--- IOS では Hash SHA と IKE SA lifetime 86400 はデフォルト値となり表示されない。
crypto isakmp keepalive 10 periodic
!--- 比較のため Keepalive の設定を FTD と一致させている(retry 2 はデフォルトのため表示されない)。
!--- 必ず一致させる必要はない。
crypto isakmp profile IKE
keyring FTD
match identity address 198.51.100.10 255.255.255.255
local-address 203.0.113.10
!--- IKE という IKEv1 (ISAKMP) Profile を作成。
!--- Keyring や対象拠点を定義。
crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode tunnel
!--- IPsec パラメータを定義。
crypto map ToFTD 1 ipsec-isakmp
set peer 198.51.100.10
set transform-set TS
set pfs group5
set isakmp-profile IKE
match address 100
!--- Crypto map を定義。
interface GigabitEthernet0/1
ip address 203.0.113.10 255.255.255.0
duplex auto
speed auto
crypto map ToFTD
!--- Crypto map を VPN 終端インターフェースに適用。
access-list 100 permit ip 192.168.100.0 0.0.0.255 172.16.100.0 0.0.0.255
!--- Traffic selector (crypto acl) を定義。
|
3.3. FTD の設定
設定完了後の FTD から関連パラメータを抜粋したものです。FMC からの設定方法は後述します。
|
interface GigabitEthernet0/0
description outside interface
nameif outside
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address 198.51.100.10 255.255.255.0
!--- VPN 終端インターフェース。
object network Remote-LAN
subnet 192.168.100.0 255.255.255.0
object network FTD-LAN
subnet 172.16.100.0 255.255.255.0
!--- Traffic selector や ACP 設定用に Object network で Protected Network を定義。
access-list CSM_FW_ACL_ remark rule-id 268434434: ACCESS POLICY: test policy - Mandatory/1
access-list CSM_FW_ACL_ remark rule-id 268434434: L7 RULE: PermitVPN-In
access-list CSM_FW_ACL_ advanced permit ip ifc outside object Remote-LAN ifc inside object FTD-LAN rule-id 268434434
access-list CSM_FW_ACL_ remark rule-id 268434435: ACCESS POLICY: test policy - Mandatory/2
access-list CSM_FW_ACL_ remark rule-id 268434435: L7 RULE: PermitVPN-Out
access-list CSM_FW_ACL_ advanced permit ip ifc inside object FTD-LAN ifc outside object Remote-LAN rule-id 268434435
!--- VPN対象通信を明示的に許可(当該 APC の Default Rule は deny ip any any)。
access-list CSM_IPSEC_ACL_1 extended permit ip 172.16.100.0 255.255.255.0 192.168.100.0 255.255.255.0
!--- Traffic selector を定義。
!--- FMC GUI では Object Network 名で選択。
nat (inside,outside) source static FTD-LAN FTD-LAN destination static Remote-LAN Remote-LAN route-lookup
nat (inside,outside) source dynamic FTD-LAN interface
!--- 4.7 の NAT Exemption 設定時のみ。
crypto ipsec ikev1 transform-set CSM_TS_1 esp-aes esp-sha-hmac
!--- IPsec の transform-set を定義。
crypto ipsec security-association pmtu-aging infinite
!--- Tunnel MTU のエージング時間(default はリセット無し) 。
crypto map CSM_outside_map 1 match address CSM_IPSEC_ACL_1
crypto map CSM_outside_map 1 set pfs group5
crypto map CSM_outside_map 1 set peer 203.0.113.10
crypto map CSM_outside_map 1 set ikev1 transform-set CSM_TS_1
crypto map CSM_outside_map 1 set security-association lifetime seconds 3600
crypto map CSM_outside_map interface outside
!--- Crypto map を定義して outside インターフェースに適用。
crypto isakmp identity address
crypto ikev1 enable outside
!--- IKEv1 を outisde インターフェースに適用
crypto ikev1 policy 5
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400
!--- IKEv1(Isakmp) ポリシーを定義。
tunnel-group 203.0.113.10 type ipsec-l2l
tunnel-group 203.0.113.10 ipsec-attributes
ikev1 pre-shared-key *****
!--- Tunnel Group から認証(Pre-shared-key)の定義。
!--- Keepalive も Tunnel Group で設定するが今回はデフォルト値を使用のため表示されていない。
|
4. FMC からの設定
FMC を使用した設定手順を紹介します。
4.1. Traffic Selector の定義
FMC の Objects > Object Management から、VPN対象通信となる FTD のローカルセグメントと、リモートピア(IOS) のローカルセグメントを指定した Network Object を作成します。
4.2. Endpoints の追加
Devices > VPN から + Add VPN を選択して Firepower Threat Defense Device をクリックします。
Create New VPN Topology から、Point to Point を選択して、IKEv1 にチェックを入れます。次に Node A の右側の + ボタンをクリックします。
Node A の Device から FMC に登録された FTD を選択します。Connection Type は FTD が IKE のイニシエータ、レスポンダの両方になり得るかぎり必ず Bidirectional を指定します。また Protected Networks の + ボタンから 4.1 で作成した Network Object (FTD 側) を選択します。
Node B にリモートピアの情報を入力します。Device から Extranet を選択して、任意の Device Name を入力します。IP Address にはリモートピアのアドレスを入力します。また Protected Networks の + ボタンをクリックして 4.1 で作成した Network Object (IOS 側) を選択します。
4.3. IKE ポリシーの追加
IKE タブから、IKEv1 ポリシーを設定します。既存のポリシーの組み合わせはプルダウンから選択可能です。必要なポリシーの組み合わせがないときには、Policy 右の + をクリックするか、Objects > Object Management > VPN > IKEv1 Policy から新規の IKEv1 Policy を定義します。今回は 3.2 のパラメータに沿って、preshared_sha_aes256_dh5_5 を選択しています。
4.4. IPsec ポリシーの追加
IPsec タブから、IPsec ポリシー(transform-set) を定義します。今回使用するパラメータはデフォルトで存在しないので、新規で aes(= aes128)、Sha の組み合わせを作成します。
作成した ポリシー を IPsec タブの Transform Sets から選択します。3.1 のパラメータに沿って Enable Perfect Forward Secrecy (PFS) は Modulus Group (DH) 5、IPsec SA の Lifetime は 3600 を指定します。
Lifetime Size の 4608000 は IOS ルータのデフォルト値と同じです。特に理由がなければ FTD と IOS で設定は合わせるようにします(通常、ネゴシエーションを通じて小さいほうが使用されます)。また Lifetime Size を空欄にすると Unlimited になり、無効化することも出来ます。
4.5. Advanced 設定
Advanced > IKE メニューで、IKE Keepalive はデフォルトで有効になっているので、今回はそのままの設定を使用します。両方のピア同士で設定を一致させるかどうかは要件に応じて検討します。Keepalive が有効であることは IKE で DPD Vendor ID を通じてピアに通知しますが、それぞれの送出タイミング、間隔、再送の設定は、デバイス毎に設定値に沿って動作させることができます。
Identity Sent to Peers では、FTD がリモートピアに送信する IKE の ID Payload を指定します。Pre-shared key 認証では "autoOrDN" であれば IP アドレスが ID として使用されるので、そのまま autoOrDN を使用します。
Peer Identity Validation は Pre-shared key 認証では使用しないので変更不要です。
4.6. VPN 通信の明示的な許可
ASA ではデフォルトで VPN 対象通信が ACL からバイパスされていましたが(sysopt connection permit-vpn)、FTD では明示的な許可設定が必要になります。Access Control Policy を編集して ACL を作成します。基本的に Traffic selector の定義で使用した Network Objects の組み合わせと同じエントリを双方向でそれぞれ作成します。
Inbound
Outbound
Access Control Policy に反映されていることを確認します。
なお FTD の CLI から設定を見ると、”no sysopt connection permit-vpn" という設定が見えますが、no を消すオプションは現状用意されていません 。
4.7. NAT Exemption (Option)
FTD の内部ホストからインターネットアクセスのために NAT が使用されている場合には、追加で VPN 通信を NAT 処理から除外する設定が必要になります。
Devices > NAT から所定の NAT Rule を選択(または新規作成)します。Translation タブから、Original Source、Translated Source には FTD のローカルセグメントの Network Object を指定、Original Destination、Translated Destination には IOS のローカルセグメントの Network Object を指定します。
NAT Rule が反映されていることを確認します。
CLI から NAT Exemption の設定が反映されていることが分かります。
> show running-config nat
nat (inside,outside) source static FTD-LAN FTD-LAN destination static Remote-LAN Remote-LAN route-lookup
nat (inside,outside) source dynamic FTD-LAN interface
|
5. FTD の VPN 設定用パラメータ(応用)
Advanced 設定のうち、主なオプションについて補足説明します。
5.1. Enable Notification on Tunnel Disconnect
FTD で VPN が切断したときに、ピアに対して DELETE の送出と併せて切断理由を通知できるようになります。
IOS ルータで切断理由を検知するためには debug crypto isakmp を有効して debug の出力を確認する必要があります。以下は FTD で手動で VPN を切断したときに IOS で検知したログです。
Mar 30 14:25:19.071: ISAKMP:(29013):Processing delete with reason payload
Mar 30 14:25:19.071: ISAKMP:(29013):delete doi = 1
Mar 30 14:25:19.071: ISAKMP:(29013):delete protocol id = 1
Mar 30 14:25:19.071: ISAKMP:(29013):delete spi_size = 16
Mar 30 14:25:19.071: ISAKMP:(29013):delete num spis = 1
Mar 30 14:25:19.071: ISAKMP:(29013):delete_reason = 2
Mar 30 14:25:19.071: ISAKMP:(29013): processing DELETE_WITH_REASON payload, message ID = 3301859856, reason: DELETE_BY_USER_COMMAND |
5.2. Enable Fragmentation Before Encryption
Advanced > IPsec ではデフォルトで "Enable Fragmentation Before Encryption" のチェックが入っています。外すメリットは特にないので通常はデフォルトのまま利用します。逆に暗号化後にフラグメント処理が行われると、環境によっては ESP を分割した IPパケットが途中経路で破棄される懸念が生じます。
5.3. Path Maximum Transmission Unit Aging
IPsec SA の Tunnel MTU (PMTU) の値がリセットされる間隔を設定します。デフォルトではリセットされません。今回のような Static な拠点間 VPN では PMTU が頻繁に変わることはあまりないと思うので、特に考慮不要です。
5.4. NAT Keepalive
Advanced > Tunnel の NAT Settings では最初から NAT Keepalive が有効になっています。3.1 の構成図のように NAT デバイスがいない構成であれば無効にしてもよいですが、NAT が介在する場合には、NAT機器の NATエントリのタイムアウトよりも短い間隔で Keepalive をセットすることが望ましいです。
6. 動作確認
6.1. FTD CLI からのステータス確認
FMC から確認ができる項目は限られているため、VPN のステータスは CLI から確認するほうが分かりやすいです。主に以下の3つのコマンドが挙げられます。
|
> show vpn-sessiondb detail l2l
Session Type: LAN-to-LAN Detailed
Connection : 203.0.113.10
Index : 15 IP Addr : 203.0.113.10
Protocol : IKEv1 IPsec
Encryption : IKEv1: (1)AES256 IPsec: (1)AES128
Hashing : IKEv1: (1)SHA1 IPsec: (1)SHA1
Bytes Tx : 747300 Bytes Rx : 749400
Login Time : 09:16:03 UTC Wed Mar 29 2017
Duration : 0h:00m:54s
Tunnel Zone : 0
IKEv1 Tunnels: 1
IPsec Tunnels: 1
IKEv1:
Tunnel ID : 15.1
UDP Src Port : 500 UDP Dst Port : 500
IKE Neg Mode : Main Auth Mode : preSharedKeys
Encryption : AES256 Hashing : SHA1
Rekey Int (T): 86400 Seconds Rekey Left(T): 86347 Seconds
D/H Group : 5
Filter Name :
IPsec:
Tunnel ID : 15.2
Local Addr : 172.16.100.0/255.255.255.0/0/0
Remote Addr : 192.168.100.0/255.255.255.0/0/0
Encryption : AES128 Hashing : SHA1
Encapsulation: Tunnel PFS Group : 5
Rekey Int (T): 3600 Seconds Rekey Left(T): 3547 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4607269 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Bytes Tx : 747300 Bytes Rx : 749400
Pkts Tx : 7473 Pkts Rx : 7494
!--- IKE、IPsec 両方のステータスが確認可能
> show crypto ikev1 sa detail
IKEv1 SAs:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 203.0.113.10
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
Encrypt : aes-256 Hash : SHA
Auth : preshared Lifetime: 86400
Lifetime Remaining: 85351
!--- IKE SA のステータスが確認可能。
> show crypto ipsec sa detail
interface: outside
Crypto map tag: CSM_outside_map, seq num: 1, local addr: 198.51.100.10
access-list CSM_IPSEC_ACL_1 extended permit ip 172.16.100.0 255.255.255.0 192.168.100.0 255.255.255.0
local ident (addr/mask/prot/port): (172.16.100.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
current_peer: 203.0.113.10
#pkts encaps: 14937, #pkts encrypt: 14937, #pkts digest: 14937
#pkts decaps: 14982, #pkts decrypt: 14982, #pkts verify: 14982
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 14937, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#pkts no sa (send): 0, #pkts invalid sa (rcv): 0
#pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
#pkts invalid prot (rcv): 0, #pkts verify failed: 0
#pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
#pkts invalid pad (rcv): 0,
#pkts invalid ip version (rcv): 0,
#pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
#pkts replay failed (rcv): 0
#pkts min mtu frag failed (send): 0, #pkts bad frag offset (rcv): 0
#pkts internal err (send): 0, #pkts internal err (rcv): 0
local crypto endpt.: 198.51.100.10/0, remote crypto endpt.: 203.0.113.10/0
path mtu 1500, ipsec overhead 74(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: 17153019
current inbound spi : F7CDBEAB
inbound esp sas:
spi: 0xF7CDBEAB (4157456043)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 5, IKEv1, }
slot: 0, conn_id: 61440, crypto-map: CSM_outside_map
sa timing: remaining key lifetime (kB/sec): (3905493/2850)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x17153019 (387264537)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 5, IKEv1, }
slot: 0, conn_id: 61440, crypto-map: CSM_outside_map
sa timing: remaining key lifetime (kB/sec): (3905523/2850)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
!--- IPsec SA のステータスが確認可能。
|
7. トラブルシューティング
VPN 接続が確立できない、あるいはVPNが意図せず切断するといった問題を調査するためには、Syslog や Debug を取得する必要があります。
7.1. Logging の設定パラメータ
FTD の Logging の設定も FMC から行います。参考例として以下の条件を指定します。
| Syslog の出力先 |
Internal Buffer に出力 (ターミナルから show logging コマンドで取得) |
| Syslog のログレベル |
Warning レベル |
| Logging クラス |
VPN 関連の Syslog のみ Debugging レベルで出力させる |
| Debug |
Debug の出力を Syslog フォーマットにして 他の Syslogと一緒に表示させる |
7.2. FMC からの Logging の設定手順
Devices > Platform Settings から + New Policy をクリックして Threat Defense Settings をクリックします。
任意の Policy 名を入力して、対象となる FTD デバイスを Selected Devices に追加します。
左のメニューから Syslog を選択して、Logging Setup タブの Enable Logging および Send debug messages as syslogs にチェックを入れます。Memory Size of the Internal Buffer から、ログを保存する Internal Buffer の容量を指定します (適切な Buffer 容量は環境、ログの取得予定時間などに依存します)。
Logging Destinations タブを選択して + Add ボタンを押します。Add Logging Filter が表示されたら、Logging Destination から出力先として Internal Buffer を指定、Event Class で Filter on Severity と warnings を選択します。+ Add ボタンから Add Event Class/Severity が表示されたら、Event Class: vpn と Syslog Severity:debugging を選択します。
OK で閉じると設定した Logging の Policy が表示されます。設定を保存して FTD に Deploy します。
7.3. Logging の設定確認
FTD の CLI から show running-config logging で Logging の設定を確認します。7.2 の手順で反映された箇所を黄色にしています。一番下の 711001 は Debug を Syslog で出力させたときに使用される ID となり、711001 のログレベルを warnings にすることで Internal Buffer のログレベルが warnings であっても Debug が出力されます。
> show running-config logging
logging enable
logging timestamp
logging buffer-size 1000000
logging buffered warnings
logging facility 23
logging debug-trace persistent
logging flash-minimum-free 1024
logging flash-maximum-allocation 3076
logging class vpn buffered debugging
(中略)
logging message 711001 level warnings |
7.4. Syslog からの調査方法
以下は Phase 2 が完了するまでの主なイベントを抽出したものです。正常時と比較してどこで問題が起きているかを特定することで原因が判明しやすくなります。このログでは FTD がレスポンダとなっています。FTD がイニシエータとなる場合は、IKE のやり取りの見え方が逆になります。
|
Mar 29 2017 12:16:37: %ASA-7-713906: IKE Receiver: Packet received on 198.51.100.10:500 from 203.0.113.10:500
Mar 29 2017 12:16:37: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 168
!--- 203.0.113.10 から IKE Packet を受信。
!--- HDR + SA Payload が含まれるので Main Mode の最初のメッセージ(MM1)を受信したことが分かります。
Mar 29 2017 12:16:37: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 132
!--- HDR + SA Payload が含まれるので、Main Mode の2番目のメッセージ(MM2)を送信していることが分かります。
Mar 29 2017 12:16:37: %ASA-7-713906: IKE Receiver: Packet received on 198.51.100.10:500 from 203.0.113.10:500
Mar 29 2017 12:16:37: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 348
!--- 203.0.113.10 から IKE Packet を受信。
!--- HDR + KE + NONCE (=Ni) Payload が含まれるので、FTD が Main Mode の3番目のメッセージ(MM3)を受信したことが分かります。
Mar 29 2017 12:16:37: %ASA-7-713906: IP = 203.0.113.10, Connection landed on tunnel_group 203.0.113.10
Mar 29 2017 12:16:37: %ASA-7-713906: Group = 203.0.113.10, IP = 203.0.113.10, Generating keys for Responder...
!--- ネゴシエーションが Tunnel Group 203.0.113.10 に関連付けられ、Pre-shared key に基づく鍵が生成されています。
Mar 29 2017 12:16:37: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 368
!--- HDR + KE + NONCE (= Nr) Payload が含まれるので、Main Mode の4番目のメッセージ(MM4)を送信していることが分かります。
Mar 29 2017 12:16:37: %ASA-7-713906: IKE Receiver: Packet received on 198.51.100.10:500 from 203.0.113.10:500
Mar 29 2017 12:16:37: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + NOTIFY (11) + NONE (0) total length : 92
!--- 203.0.113.10 から IKE Packet を受信。
!--- HDR + ID (= IDii) + HASH (= HASH_I)Payload が含まれるので、FTD が Main Mode の5番目のメッセージ(MM5)を受信したことが分かります。
Mar 29 2017 12:16:37: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13) + NONE (0) total length : 96
!--- HDR + ID (= IDir) + HASH (= HASH_R) Payload が含まれるので、Main Mode の6番目のメッセージ(MM 6)を送信していることが分かります。
Mar 29 2017 12:16:37: %ASA-5-713119: Group = 203.0.113.10, IP = 203.0.113.10, PHASE 1 COMPLETED
Mar 29 2017 12:16:37: %ASA-7-713121: IP = 203.0.113.10, Keep-alive type for this connection: DPD
Mar 29 2017 12:16:37: %ASA-7-715080: Group = 203.0.113.10, IP = 203.0.113.10, Starting P1 rekey timer: 64800 seconds.
Mar 29 2017 12:16:37: %ASA-7-713906: Group = 203.0.113.10, IP = 203.0.113.10, Add to IKEv1 Tunnel Table succeeded for SA with logical ID 69632
Mar 29 2017 12:16:37: %ASA-7-713906: Group = 203.0.113.10, IP = 203.0.113.10, Add to IKEv1 MIB Table succeeded for SA with logical ID 69632
!--- MM6 を送信して Phase 1 が完了となります。
Mar 29 2017 12:16:37: %ASA-7-713906: IKE Receiver: Packet received on 198.51.100.10:500 from 203.0.113.10:500
Mar 29 2017 12:16:37: %ASA-7-714003: IP = 203.0.113.10, IKE Responder starting QM: msg id = 0d09e956
Mar 29 2017 12:16:37: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE RECEIVED Message (msgid=d09e956) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NONE (0) total length : 372
!--- 203.0.113.10 から IKE Packet を受信。
!--- HDR + HASH + SA + NONCE (= Ni) + KE + ID (= IDci & IDcr = Traffic Selector) Payload が含まれるので、FTD が Quick Mode の1番目のメッセージ(QM1)を受信したことが分かります。
Mar 29 2017 12:16:37: %ASA-7-713035: Group = 203.0.113.10, IP = 203.0.113.10, Received remote IP Proxy Subnet data in ID Payload: Address 192.168.100.0, Mask 255.255.255.0, Protocol 0, Port 0
Mar 29 2017 12:16:37: %ASA-7-713034: Group = 203.0.113.10, IP = 203.0.113.10, Received local IP Proxy Subnet data in ID Payload: Address 172.16.100.0, Mask 255.255.255.0, Protocol 0, Port 0
Mar 29 2017 12:16:37: %ASA-7-713221: Group = 203.0.113.10, IP = 203.0.113.10, Static Crypto Map check, checking map = CSM_outside_map, seq = 1...
Mar 29 2017 12:16:37: %ASA-7-713225: Group = 203.0.113.10, IP = 203.0.113.10, Static Crypto Map check, map CSM_outside_map, seq = 1 is a successful match
!--- FTD が QM1 に含まれる Traffic Selector や IPsec Policy を照合していることが分かります。
Mar 29 2017 12:16:37: %ASA-7-714005: Group = 203.0.113.10, IP = 203.0.113.10, IKE Responder sending 2nd QM pkt: msg id = 0d09e956
Mar 29 2017 12:16:37: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE SENDING Message (msgid=d09e956) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NONE (0) total length : 372
!--- HDR + HASH + SA + NONCE (= Nr) + KE + ID (= IDci & IDcr = Traffic Selector) Payload が含まれるので、Quick Mode の2番目のメッセージ(QM2)を送信していることが分かります。
Mar 29 2017 12:16:37: %ASA-7-713906: IKE Receiver: Packet received on 198.51.100.10:500 from 203.0.113.10:500
Mar 29 2017 12:16:37: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE RECEIVED Message (msgid=d09e956) with payloads : HDR + HASH (8) + NONE (0) total length : 52
!--- 203.0.113.10 から IKE Packet を受信。
!--- HDR + HASH Payload が含まれるので、FTD が Quick Mode の3番目のメッセージ(QM3)を受信したことが分かります。
Mar 29 2017 12:16:37: %ASA-5-713049: Group = 203.0.113.10, IP = 203.0.113.10, Security negotiation complete for LAN-to-LAN Group (203.0.113.10) Responder, Inbound SPI = 0x3f86bb1d, Outbound SPI = 0x7b5927b6
Mar 29 2017 12:16:37: %ASA-6-602303: IPSEC: An outbound LAN-to-LAN SA (SPI= 0x7B5927B6) between 198.51.100.10 and 203.0.113.10 (user= 203.0.113.10) has been created.
Mar 29 2017 12:16:37: %ASA-6-602303: IPSEC: An inbound LAN-to-LAN SA (SPI= 0x3F86BB1D) between 198.51.100.10 and 203.0.113.10 (user= 203.0.113.10) has been created.
Mar 29 2017 12:16:37: %ASA-5-713120: Group = 203.0.113.10, IP = 203.0.113.10, PHASE 2 COMPLETED (msgid=0d09e956)
!--- Quick Mode により FTD で Inbound, Outbound SA が生成されたこと、Phase 2 が完了したことが記録されています。
|
出力が "%ASA-7" となっているように、これらはログレベルを Debugging にすることで表示されるログです。つまり拠点間 VPN のログ解析では、Debugging レベルのログがないと調査が非常に難しいということになります。
7.5. その他 FTD の CLI から取得するコマンド
FTD 側の調査を要するトラブルシューティングでは、6.1 で紹介したコマンド以外に、追加のコマンド出力が必要となる場合があります。多くの場合はコマンドリファレンスにあるコマンドのうち、show crypto * のコマンドになります。
Command Reference for Firepower Threat Defense (Chapter: show c)
7.6. FTD の Debug コマンド
Debugging レベルの Syslog でも解決が出来ない、より高度な問題を調査するためには debug を取得する場合があります。有効にする Debug はケースバイケースですが、一般的に使用される debug コマンドとしては以下が挙げられます。
> debug crypto ikev1 127
INFO: 'logging debug-trace' is enabled. All debug messages are currently being redirected to syslog:711001 and will not appear in any monitor session
>
> debug crypto ipsec 127
INFO: 'logging debug-trace' is enabled. All debug messages are currently being redirected to syslog:711001 and will not appear in any monitor session
|
今回は 7.2 で "Send debug messages as syslogs" のチェックを入れているので、debug が Syslog として出力されます。
8. 参考資料
Firepower Management Center Configuration Guide, Version 6.2 Chapter: VPN Overview
Firepower Management Center Configuration Guide, Version 6.2 , Chapter: Firepower Threat Defense Site-to-site VPNs
