[toc:faq]
1. はじめに
本資料では、FTD 6.2 - 拠点間VPNの設定とトラブルシューティング(IKEv1/Pre-shared key と同じ環境を使用して、証明書認証を使用した VPN (IKEv1) の設定例とトラブルシューティング方法を紹介します。
設定例の多くは、全く同じ内容で重複していますので留意ください。構成は以下のように簡略化した 2 拠点間の VPN を想定します。
2. 証明書の追加
FMC を使用して FTD に Trustpoint を作成して ID証明書をインポートするまでの手順となります。
2.1. Trustpoint の作成
Devices > Certificates から、+ Add をクリックしてNew Certificate を選択します。
Device から対象となる FTD を選択して + をクリックします。
任意の名称(Trustpoint の名称)を入力します。今回はすべて手動で行うので CA Information タブから Enrollment Type で Manual を選択します。CA Certificate のフォームに CA 証明書をペーストします。
Certificate Parameters から Trustpoint の DN 情報を入力します。
Key タブから RSA Key を指定します。今回はデフォルトの 2048 ビットの鍵があるのでそのまま使用しています。
Revocation タブから CRL や OCSP の設定が可能です。今回はデフォルトの "Consider the certificate valid if revocation information cannot be reached" を有効なままとしており、CRL は特に考慮しない設定としています。
Save をクリックして閉じたあとに、Add で画面を閉じます。
2.2. CSR の発行と証明書のインポート
以下のように Trustpoint が追加されています。Devices > Certificates から見ると、CA Certificate が Available、Identity Certificate が Pending となっています。Pending となっている砂時計アイコンをクリックします。
署名要求(CSR) が生成・表示されるので、CA で署名してもらいます。
ID証明書を入手したら、Browse Identity Certificate をクリックして端末に保管した証明書を選択して Import を実行します。
Import 完了後に Identity Certificate のステータスが Available になっていることを確認します。
2.3. 証明書の確認
CA Certificate、Identity Certificate の虫眼鏡マークをクリックすると、証明書が表示されます。
FTD CLI からは show crypto ca certificate コマンドで確認できます。
|
> show crypto ca certificates CertAuth
Certificate
Status: Available
Certificate Serial Number: 02
Certificate Usage: General Purpose
Public Key Type: RSA (2048 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
cn=TMT
ou=TAC
o=Cisco
l=Minato
st=Tokyo
c=JP
Subject Name:
cn=firepower
ou=TAC
o=Cisco
l=Minato
st=Tokyo
c=JP
Validity Date:
start date: 23:34:25 UTC Mar 22 2017
end date: 23:34:25 UTC Mar 22 2018
Storage: config
Associated Trustpoints: CertAuth
CA Certificate
Status: Available
Certificate Serial Number: 00ba62b19f2dbfc18b
Certificate Usage: General Purpose
Public Key Type: RSA (2048 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
cn=TMT
ou=TAC
o=Cisco
l=Minato
st=Tokyo
c=JP
Subject Name:
cn=TMT
ou=TAC
o=Cisco
l=Minato
st=Tokyo
c=JP
Validity Date:
start date: 23:07:05 UTC Mar 22 2017
end date: 23:07:05 UTC Mar 20 2027
Storage: config
Associated Trustpoints: CertAuth
|
3. FMC からの設定
FMC を使用した VPN 設定手順を紹介します。
3.1. Traffic Selector の定義
FMC の Objects > Object Management から、VPN対象通信となる FTD のローカルセグメントと、リモートピア(IOS) のローカルセグメントを指定した Network Object を作成します。
3.2. Endpoints の追加
Devices > VPN から + Add VPN を選択して Firepower Threat Defense Device をクリックします。
Create New VPN Topology から、Point to Point を選択して、IKEv1 にチェックを入れます。次に Node A の右側の + ボタンをクリックします。
Node A の Device から FMC に登録された FTD を選択します。Connection Type は FTD が IKE のイニシエータ、レスポンダの両方になり得るかぎり必ず Bidirectional を指定します。また Protected Networks の + ボタンから 3.1 で作成した Network Object (FTD 側) を選択します。
Node B にリモートピアの情報を入力します。Device から Extranet を選択して、任意の Device Name を入力します。IP Address にはリモートピアのアドレスを入力します。また Protected Networks の + ボタンをクリックして 4.1 で作成した Network Object (IOS 側) を選択します。
3.3. IKE ポリシーの追加
IKE タブから、IKEv1 ポリシーを設定します。既存のポリシーの組み合わせはプルダウンから選択可能です。必要なポリシーの組み合わせがないときには、Policy 右の + をクリックするか、Objects > Object Management > VPN > IKEv1 Policy から新規の IKEv1 Policy を定義します。
今回は certificate_sha_aes256_dh5_1 を Policy として選択しています。Authentication Type を Certificate にして、Certificate に先ほど作成した Trustpoint を選択します。
3.4. IPsec ポリシーの追加
IPsec タブから、IPsec ポリシー(transform-set) を定義します。今回使用するパラメータはデフォルトで存在しないので、新規で aes(= aes128)、Sha の組み合わせを作成します。
作成した ポリシー を IPsec タブの Transform Sets から選択します。3.1 のパラメータに沿って Enable Perfect Forward Secrecy (PFS) は Modulus Group (DH) 5、IPsec SA の Lifetime は 3600 を指定します。
Lifetime Size の 4608000 は IOS ルータのデフォルト値と同じです。特に理由がなければ FTD と IOS で設定は合わせるようにします(通常、ネゴシエーションを通じて小さいほうが使用されます)。また Lifetime Size を空欄にすると Unlimited になり、無効化することも出来ます。
3.5. Advanced 設定
Advanced > IKE メニューで、IKE Keepalive はデフォルトで有効になっているので、今回はそのままの設定を使用します。両方のピア同士で設定を一致させるかどうかは要件に応じて検討します。Keepalive が有効であることは IKE で DPD Vendor ID を通じてピアに通知しますが、それぞれの送出タイミング、間隔、再送の設定は、デバイス毎に設定値に沿って動作させることができます。
Identity Sent to Peers では、FTD がリモートピアに送信する IKE の ID Payload を指定します。証明書認証では "autoOrDN" であれば ID ペイロードに DN が使用されるので、今回はそのまま autoOrDN を使用します。
Peer Identity Validation は Required を選択します。
3.6. VPN 通信の明示的な許可
ASA ではデフォルトで VPN 対象通信が ACL からバイパスされていましたが(sysopt connection permit-vpn)、FTD では明示的な許可設定が必要になります。Access Control Policy を編集して ACL を作成します。基本的に Traffic selector の定義で使用した Network Objects の組み合わせと同じエントリを双方向でそれぞれ作成します。
Inbound
Outbound
Access Control Policy に反映されていることを確認します。
なお FTD の CLI から設定を見ると、”no sysopt connection permit-vpn" という設定が見えますが、no を消すオプションは現状用意されていません 。
3.7. NAT Exemption (Option)
FTD の内部ホストからインターネットアクセスのために NAT が使用されている場合には、追加で VPN 通信を NAT 処理から除外する設定が必要になります。
Devices > NAT から所定の NAT Rule を選択(または新規作成)します。Translation タブから、Original Source と Translated Source には FTD のローカルセグメントの Network Object を指定します。また Original Destination と Translated Destination には IOS のローカルセグメントの Network Object を指定します。
NAT Rule が反映されていることを確認します。
CLI から NAT Exemption の設定が反映されていることが分かります。
> show running-config nat
nat (inside,outside) source static FTD-LAN FTD-LAN destination static Remote-LAN Remote-LAN route-lookup
nat (inside,outside) source dynamic FTD-LAN interface
|
その他、FMC/FTD の VPN 設定に関するパラメータについては、必要に応じて FTD 6.2 - 拠点間VPNの設定とトラブルシューティング(IKEv1/Pre-shared key) をご参照ください。
4. FTD CLI での設定出力
設定完了後の FTD から関連パラメータを抜粋したものです。
|
interface GigabitEthernet0/0
description outside interface
nameif outside
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address 198.51.100.10 255.255.255.0
!--- VPN 終端インターフェース。
object network Remote-LAN
subnet 192.168.100.0 255.255.255.0
object network FTD-LAN
subnet 172.16.100.0 255.255.255.0
!--- Traffic selector や ACP 設定用に Object network で Protected Network を定義。
access-list CSM_FW_ACL_ remark rule-id 268434434: ACCESS POLICY: test policy - Mandatory/1
access-list CSM_FW_ACL_ remark rule-id 268434434: L7 RULE: PermitVPN-In
access-list CSM_FW_ACL_ advanced permit ip ifc outside object Remote-LAN ifc inside object FTD-LAN rule-id 268434434
access-list CSM_FW_ACL_ remark rule-id 268434435: ACCESS POLICY: test policy - Mandatory/2
access-list CSM_FW_ACL_ remark rule-id 268434435: L7 RULE: PermitVPN-Out
access-list CSM_FW_ACL_ advanced permit ip ifc inside object FTD-LAN ifc outside object Remote-LAN rule-id 268434435
!--- VPN対象通信を明示的に許可(当該 APC の Default Rule は deny ip any any)。
access-list CSM_IPSEC_ACL_1 extended permit ip 172.16.100.0 255.255.255.0 192.168.100.0 255.255.255.0
!--- Traffic selector を定義。
!--- FMC GUI では Object Network 名で選択。
nat (inside,outside) source static FTD-LAN FTD-LAN destination static Remote-LAN Remote-LAN route-lookup
nat (inside,outside) source dynamic FTD-LAN interface
!--- 4.7 の NAT Exemption 設定時のみ。
crypto ipsec ikev1 transform-set CSM_TS_1 esp-aes esp-sha-hmac
!--- IPsec の transform-set を定義。
crypto ipsec security-association pmtu-aging infinite
!--- Tunnel MTU のエージング時間(default はリセット無し) 。
crypto map CSM_outside_map 1 match address CSM_IPSEC_ACL_1
crypto map CSM_outside_map 1 set pfs group5
crypto map CSM_outside_map 1 set peer 203.0.113.10
crypto map CSM_outside_map 1 set ikev1 transform-set CSM_TS_1
crypto map CSM_outside_map 1 set trustpoint CertAuth
crypto map CSM_outside_map 1 set security-association lifetime seconds 3600
crypto map CSM_outside_map interface outside
!--- Crypto map を定義して outside インターフェースに適用。
crypto ca trustpoint CertAuth
enrollment terminal
subject-name OU=TAC,O=Cisco,CN=firepower,L=Minato,ST=Tokyo,C=JP
keypair <Default-RSA-Key>
crl configure
crypto ca certificate chain CertAuth
certificate 02
3082034f 30820237 a0030201 02020102 300d0609 2a864886 f70d0101 0b050030
5a310b30 09060355 04061302 4a50310e 300c0603 5504080c 05546f6b 796f310f
300d0603 5504070c 064d696e 61746f31 0e300c06 0355040a 0c054369 73636f31
---snip---
c41f3818 699d0441 326807f2 62420ea0 e673c1eb ce3920fc e07b2b8e d0e621e1
ccc3bcc3 ca7f0f3e e3e76405 0910ecde ad79ceed 8b0d58d4 5f3dc7cd ee3a8770
84f30039 ee32fa36 52542e2d 4102e750 d6debc
quit
certificate ca 00ba62b19f2dbfc18b
30820394 3082027c a0030201 02020900 ba62b19f 2dbfc18b 300d0609 2a864886
f70d0101 0b050030 5a310b30 09060355 04061302 4a50310e 300c0603 5504080c
05546f6b 796f310f 300d0603 5504070c 064d696e 61746f31 0e300c06 0355040a
---snip---
ff01d9a1 2469abac 1a0140bf 16612a2c c0d4aa5b 7bea12bf 4b43436a 80c5eebd
6be76937 b3fb0fe3 5caf56f0 646b5b09 02614682 7e26a92b e21e604f 59944424
3286aa88 bd7a3b47 f22e9d77 a1b5ce67 87d6dd8f 52e2b35b
quit
!--- Trustpoint の定義と証明書情報
crypto ikev1 enable outside
!--- IKEv1 を outisde インターフェースに適用
crypto ikev1 policy 1
authentication rsa-sig
encryption aes-256
hash sha
group 5
lifetime 86400
!--- IKEv1(Isakmp) ポリシーを定義。
tunnel-group 203.0.113.10 type ipsec-l2l
tunnel-group 203.0.113.10 ipsec-attributes
ikev1 trust-point CertAuth
!--- Tunnel Group から認証(RSA Sig)の定義。
!--- peer-id-validate req はデフォルト値のため表示されていない。
!--- Keepalive も Tunnel Group で設定するが今回はデフォルト値を使用のため表示されていない。
|
5. 動作確認
5.1. FTD CLI からのステータス確認
FMC から確認ができる項目は限られているため、VPN のステータスは CLI から確認するほうが分かりやすいです。主に以下の3つのコマンドが挙げられます。
|
> show vpn-sessiondb detail l2l
Session Type: LAN-to-LAN Detailed
Connection : 203.0.113.10
Index : 17 IP Addr : 203.0.113.10
Protocol : IKEv1 IPsec
Encryption : IKEv1: (1)AES256 IPsec: (1)AES128
Hashing : IKEv1: (1)SHA1 IPsec: (1)SHA1
Bytes Tx : 52860 Bytes Rx : 80420
Login Time : 10:28:44 UTC Fri Apr 7 2017
Duration : 0h:04m:27s
Tunnel Zone : 0
IKEv1 Tunnels: 1
IPsec Tunnels: 1
IKEv1:
Tunnel ID : 17.1
UDP Src Port : 500 UDP Dst Port : 500
KE Neg Mode : Main Auth Mode : rsaCertificate
Encryption : AES256 Hashing : SHA1
Rekey Int (T): 86400 Seconds Rekey Left(T): 86133 Seconds
D/H Group : 5
Filter Name :
IPsec:
Tunnel ID : 17.2
Local Addr : 172.16.100.0/255.255.255.0/0/0
Remote Addr : 192.168.100.0/255.255.255.0/0/0
Encryption : AES128 Hashing : SHA1
Encapsulation: Tunnel PFS Group : 5
Rekey Int (T): 3600 Seconds Rekey Left(T): 3333 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4607922 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Bytes Tx : 52860 Bytes Rx : 80420
Pkts Tx : 159 Pkts Rx : 457
!--- IKE、IPsec 両方のステータスが確認可能
> show crypto ikev1 sa detail
IKEv1 SAs:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 203.0.113.10
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
Encrypt : aes-256 Hash : SHA
Auth : rsa Lifetime: 86400
Lifetime Remaining: 85998
!--- IKE SA のステータスが確認可能。
> show crypto ipsec sa detail
interface: outside
Crypto map tag: CSM_outside_map, seq num: 1, local addr: 198.51.100.10
access-list CSM_IPSEC_ACL_1 extended permit ip 172.16.100.0 255.255.255.0 192.168.100.0 255.255.255.0
local ident (addr/mask/prot/port): (172.16.100.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
current_peer: 203.0.113.10
#pkts encaps: 231, #pkts encrypt: 231, #pkts digest: 231
#pkts decaps: 601, #pkts decrypt: 601, #pkts verify: 601
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 231, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly:0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#pkts no sa (send): 0, #pkts invalid sa (rcv): 0
#pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
#pkts invalid prot (rcv): 0, #pkts verify failed: 0
#pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
#pkts invalid pad (rcv): 0,
#pkts invalid ip version (rcv): 0,
#pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
#pkts replay failed (rcv): 0
#pkts min mtu frag failed (send): 0, #pkts bad frag offset (rcv): 0
#pkts internal err (send): 0, #pkts internal err (rcv): 0
local crypto endpt.: 198.51.100.10/0, remote crypto endpt.: 203.0.113.10/0
path mtu 1500, ipsec overhead 74(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: D97D0481
current inbound spi : D4519BE9
inbound esp sas:
spi: 0xD4519BE9 (3562118121)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 5, IKEv1, }
slot: 0, conn_id: 69632, crypto-map: CSM_outside_map
sa timing: remaining key lifetime (kB/sec): (3914820/3093)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0xD97D0481 (3648849025)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 5, IKEv1, }
slot: 0, conn_id: 69632, crypto-map: CSM_outside_map
sa timing: remaining key lifetime (kB/sec): (3914848/3093)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
!--- IPsec SA のステータスが確認可能。
|
6. トラブルシューティング
VPN 接続が確立できない、あるいはVPNが意図せず切断するといった問題を調査するためには Syslog や Debug を取得する必要があります。
6.1. Logging の設定パラメータ
FTD の Logging の設定も FMC から行います。参考例として以下の条件を指定します。
| Syslog の出力先 |
Internal Buffer に出力 (ターミナルから show logging コマンドで取得) |
| Syslog のログレベル |
Warning レベル |
| Logging クラス |
VPN 関連の Syslog のみ Debugging レベルで出力させる |
| Debug |
Debug の出力を Syslog フォーマットにして 他の Syslogと一緒に表示させる |
6.2. FMC からの Logging の設定手順
Devices > Platform Settings から + New Policy をクリックして Threat Defense Settings をクリックします。
任意の Policy 名を入力して、対象となる FTD デバイスを Selected Devices に追加します。
左のメニューから Syslog を選択して、Logging Setup タブの Enable Logging および Send debug messages as syslogs にチェックを入れます。Memory Size of the Internal Buffer から、ログを保存する Internal Buffer の容量を指定します (適切な Buffer 容量は環境、ログの取得予定時間などに依存します)。
Logging Destinations タブを選択して + Add ボタンを押します。Add Logging Filter が表示されたら、Logging Destination から出力先として Internal Buffer を指定、Event Class で Filter on Severity と warnings を選択します。+ Add ボタンから Add Event Class/Severity が表示されたら、Event Class: vpn と Syslog Severity:debugging を選択します。
OK で閉じると設定した Logging の Policy が表示されます。設定を保存して FTD に Deploy します。
6.3. Logging の設定確認
FTD の CLI から show running-config logging で Logging の設定を確認します。7.2 の手順で反映された箇所を黄色にしています。一番下の 711001 は Debug を Syslog で出力させたときに使用される ID となり、711001 のログレベルを warnings にすることで Internal Buffer のログレベルが warnings であっても Debug が出力されます。
> show running-config logging
logging enable
logging timestamp
logging buffer-size 1000000
logging buffered warnings
logging facility 23
logging debug-trace persistent
logging flash-minimum-free 1024
logging flash-maximum-allocation 3076
logging class vpn buffered debugging
(中略)
logging message 711001 level warnings |
6.4. Syslog からの調査方法
以下は Phase 2 が完了するまでの主なイベントを抽出したものです。正常時と比較してどこで問題が起きているかを特定することで原因が判明しやすくなります。このログでは FTD がレスポンダとなっています。FTD がイニシエータとなる場合は、IKE のやり取りの見え方が逆になります。
|
Apr 07 2017 10:50:54: %ASA-7-713906: IKE Receiver: Packet received on 198.51.100.10:500 from 203.0.113.10:500
Apr 07 2017 10:50:54: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 168
!--- 203.0.113.10 から IKE Packet を受信。
!--- HDR + SA Payload が含まれるので Main Mode の最初のメッセージ(MM1)を受信したことが分かります。
Apr 07 2017 10:50:54: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 132
!--- HDR + SA Payload が含まれるので、Main Mode の2番目のメッセージ(MM2)を送信していることが分かります。
Apr 07 2017 10:50:54: %ASA-7-713906: IKE Receiver: Packet received on 198.51.100.10:500 from 203.0.113.10:500
Apr 07 2017 10:50:54: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + CERT_REQ (7) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 445
!--- 203.0.113.10 から IKE Packet を受信。
!--- HDR + KE + NONCE (=Ni) Payload が含まれるので、FTD が Main Mode の3番目のメッセージ(MM3)を受信したことが分かります。
!--- 証明書リクエスト(CERT_REQ)が含まれます。
Apr 07 2017 10:50:54: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + CERT_REQ (7) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 465
!--- HDR + KE + NONCE (= Nr) Payload が含まれるので、Main Mode の4番目のメッセージ(MM4)を送信していることが分かります。
!--- 証明書リクエスト(CERT_REQ)が含まれます。
Apr 07 2017 10:50:54: %ASA-7-713906: IKE Receiver: Packet received on 198.51.100.10:500 from 203.0.113.10:500
Apr 07 2017 10:50:54: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + ID (5) + CERT (6) + SIG (9) + IOS KEEPALIVE (128) + NOTIFY (11) + NONE (0) total length : 1222
!--- 203.0.113.10 から IKE Packet を受信。
!--- HDR + ID (= IDii) + CERT + SIG Payload が含まれるので、FTD が Main Mode の5番目のメッセージ(MM5)を受信したことが分かります。
Apr 07 2017 10:50:54: %ASA-7-713906: IP = 203.0.113.10, Trying to find group via OU...
Apr 07 2017 10:50:54: %ASA-3-713020: IP = 203.0.113.10, No Group found by matching OU(s) from ID payload: Unknown
Apr 07 2017 10:50:54: %ASA-7-713906: IP = 203.0.113.10, Trying to find group via IKE ID...
Apr 07 2017 10:50:54: %ASA-3-713020: IP = 203.0.113.10, No Group found by matching OU(s) from ID payload: Unknown
Apr 07 2017 10:50:54: %ASA-7-713906: IP = 203.0.113.10, Trying to find group via IP ADDR...
Apr 07 2017 10:50:54: %ASA-7-713906: IP = 203.0.113.10, Connection landed on tunnel_group 203.0.113.10
!--- 受信した証明書をもとに tunnel-group-mapping が行われています。
!--- OU -> IKE-ID -> PEER-IP のルックアップを行い、Peer IPアドレスをもとに、Tunnel Group 203.0.113.10 にマッピングされています。
Apr 07 2017 10:50:54: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + ID (5) + CERT (6) + SIG (9) + IOS KEEPALIVE (128) + VENDOR (13) + NONE (0) total length : 1282
!--- HDR + ID (= IDir) + HASH (= HASH_R) + CERT + SIG Payload が含まれるので、Main Mode の6番目のメッセージ(MM 6)を送信していることが分かります。
Apr 07 2017 10:50:54: %ASA-5-713119: Group = 203.0.113.10, IP = 203.0.113.10, PHASE 1 COMPLETED
Apr 07 2017 10:50:54: %ASA-7-713121: IP = 203.0.113.10, Keep-alive type for this connection: DPD
Apr 07 2017 10:50:54: %ASA-7-715080: Group = 203.0.113.10, IP = 203.0.113.10, Starting P1 rekey timer: 64800 seconds.
Apr 07 2017 10:50:54: %ASA-7-713906: Group = 203.0.113.10, IP = 203.0.113.10, Add to IKEv1 Tunnel Table succeeded for SA with logical ID 73728
Apr 07 2017 10:50:54: %ASA-7-713906: Group = 203.0.113.10, IP = 203.0.113.10, Add to IKEv1 MIB Table succeeded for SA with logical ID 73728
!--- MM6 を送信して Phase 1 が完了となります。
Apr 07 2017 10:50:54: %ASA-7-713906: IKE Receiver: Packet received on 198.51.100.10:500 from 203.0.113.10:500
Apr 07 2017 10:50:54: %ASA-7-714003: IP = 203.0.113.10, IKE Responder starting QM: msg id = 4566a8c5
Apr 07 2017 10:50:54: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE RECEIVED Message (msgid=4566a8c5) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NONE (0) total length : 372
!--- 203.0.113.10 から IKE Packet を受信。
!--- HDR + HASH + SA + NONCE (= Ni) + KE + ID (= IDci & IDcr = Traffic Selector) Payload が含まれるので、FTD が Quick Mode の1番目のメッセージ(QM1)を受信したことが分かります。
Apr 07 2017 10:50:54: %ASA-7-713035: Group = 203.0.113.10, IP = 203.0.113.10, Received remote IP Proxy Subnet data in ID Payload: Address 192.168.100.0, Mask 255.255.255.0, Protocol 0, Port 0
Apr 07 2017 10:50:54: %ASA-7-713034: Group = 203.0.113.10, IP = 203.0.113.10, Received local IP Proxy Subnet data in ID Payload: Address 172.16.100.0, Mask 255.255.255.0, Protocol 0, Port 0
Apr 07 2017 10:50:54: %ASA-7-713221: Group = 203.0.113.10, IP = 203.0.113.10, Static Crypto Map check, checking map = CSM_outside_map, seq = 1...
Apr 07 2017 10:50:54: %ASA-7-713225: Group = 203.0.113.10, IP = 203.0.113.10, Static Crypto Map check, map CSM_outside_map, seq = 1 is a successful match
!--- FTD が QM1 に含まれる Traffic Selector や IPsec Policy を照合していることが分かります。
Apr 07 2017 10:50:54: %ASA-7-714005: Group = 203.0.113.10, IP = 203.0.113.10, IKE Responder sending 2nd QM pkt: msg id = 4566a8c5
Apr 07 2017 10:50:54: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE SENDING Message (msgid=4566a8c5) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NONE (0) total length : 372
!--- HDR + HASH + SA + NONCE (= Nr) + KE + ID (= IDci & IDcr = Traffic Selector) Payload が含まれるので、Quick Mode の2番目のメッセージ(QM2)を送信していることが分かります。
Apr 07 2017 10:50:54: %ASA-7-713906: IKE Receiver: Packet received on 198.51.100.10:500 from 203.0.113.10:500
Apr 07 2017 10:50:54: %ASA-7-713236: IP = 203.0.113.10, IKE_DECODE RECEIVED Message (msgid=4566a8c5) with payloads : HDR + HASH (8) + NONE (0) total length : 52
!--- 203.0.113.10 から IKE Packet を受信。
!--- HDR + HASH Payload が含まれるので、FTD が Quick Mode の3番目のメッセージ(QM3)を受信したことが分かります。
Apr 07 2017 10:50:54: %ASA-5-713049: Group = 203.0.113.10, IP = 203.0.113.10, Security negotiation complete for LAN-to-LAN Group (203.0.113.10) Responder, Inbound SPI = 0xd46eed70, Outbound SPI = 0x469c9f1c
Apr 07 2017 10:50:54: %ASA-6-602303: IPSEC: An outbound LAN-to-LAN SA (SPI= 0x469C9F1C) between 198.51.100.10 and 203.0.113.10 (user= 203.0.113.10) has been created.
Apr 07 2017 10:50:54: %ASA-6-602303: IPSEC: An inbound LAN-to-LAN SA (SPI= 0xD46EED70) between 198.51.100.10 and 203.0.113.10 (user= 203.0.113.10) has been created.
Apr 07 2017 10:50:54: %ASA-5-713120: Group = 203.0.113.10, IP = 203.0.113.10, PHASE 2 COMPLETED (msgid=4566a8c5)
!--- Quick Mode により FTD で Inbound, Outbound SA が生成されたこと、Phase 2 が完了したことが記録されています。
|
出力が "%ASA-7" となっているように、これらはログレベルを Debugging にすることで表示されるログです。つまり拠点間 VPN のログ解析では、Debugging レベルのログがないと調査が非常に難しいということになります。
6.5. その他 FTD の CLI から取得するコマンド
FTD 側の調査を要するトラブルシューティングでは、6.1 で紹介したコマンド以外に、追加のコマンド出力が必要となる場合があります。多くの場合はコマンドリファレンスにあるコマンドのうち、show crypto * のコマンドになります。
Command Reference for Firepower Threat Defense (Chapter: show c)
6.6. FTD の Debug コマンド
Debugging レベルの Syslog でも解決が出来ない、より高度な問題を調査するためには debug を取得する場合があります。有効にする Debug はケースバイケースですが、一般的に使用される debug コマンドとしては以下が挙げられます。
|
> debug crypto ikev1 127
INFO: 'logging debug-trace' is enabled. All debug messages are currently being redirected to syslog:711001 and will not appear in any monitor session
>
> debug crypto ipsec 127
INFO: 'logging debug-trace' is enabled. All debug messages are currently being redirected to syslog:711001 and will not appear in any monitor session
>
> debug crypto ca 255
INFO: 'logging debug-trace' is enabled. All debug messages are currently being redirected to syslog:711001 and will not appear in any monitor session
>
> debug crypto ca messages 255
INFO: 'logging debug-trace' is enabled. All debug messages are currently being redirected to syslog:711001 and will not appear in any monitor session
>
> debug crypto ca transactions 255
INFO: 'logging debug-trace' is enabled. All debug messages are currently being redirected to syslog:711001 and will not appear in any monitor session
>
|
今回は 6.2 で "Send debug messages as syslogs" のチェックを入れているので、debug が Syslog として出力されます。
7. 参考資料
Firepower Management Center Configuration Guide, Version 6.2 Chapter: VPN Overview
Firepower Management Center Configuration Guide, Version 6.2 , Chapter: Firepower Threat Defense Site-to-site VPNs
