Fehlerbehebung bei der Konnektivität von Cisco ASA Kunden-Gateway-Geräten - AWS Site-to-Site VPN
IKEIPsecRouting

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung bei der Konnektivität von Cisco ASA Kunden-Gateway-Geräten

Wenn Sie Probleme mit der Konnektivität eines Cisco Kunden-Gateway-Geräts behebenIKE, IPsec sollten Sie das Routing in Betracht ziehen. Sie können die Fehler in diesen Bereichen in beliebiger Reihenfolge beheben. Wir empfehlen jedoch, dass Sie mit IKE (am Ende des Netzwerk-Stacks) beginnen und dann nach oben gehen.

Wichtig

Einige Cisco unterstützen ASAs nur den Aktiv-/Standby-Modus. Wenn Sie diese Cisco verwendenASAs, können Sie jeweils nur einen aktiven Tunnel haben. Der andere Standby-Tunnel wird nur dann aktiv, wenn der erste Tunnel nicht verfügbar ist. Der Standby-Tunnel kann in Protokolldateien folgende Fehlermeldung verursachen: Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside. Diese können Sie ignorieren.

IKE

Verwenden Sie den folgenden -Befehl. In der Antwort wird ein Kunden-Gateway-Gerät angezeigt, das korrekt IKE konfiguriert ist.

ciscoasa# show crypto isakmp sa

   Active SA: 2
   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1   IKE Peer: AWS_ENDPOINT_1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

Es sollte mindestens eine Zeile mit einem src-Wert für das in den Tunneln angegebene Remote-Gateway angezeigt werden. Der state-Wert sollte MM_ACTIVE und status sollte ACTIVE lauten. Das Fehlen eines Eintrags oder eines Eintrags in einem anderen Status weist darauf hin, dass der Eintrag nicht richtig konfiguriert IKE ist.

Wenn Sie weitere Informationen zur Fehlersuche benötigen, führen Sie die folgenden Befehle aus, um Protokollmeldungen mit Diagnoseinformationen zu aktivieren.

router# term mon
router# debug crypto isakmp

Wenn Sie Debugging deaktivieren möchten, führen Sie den folgenden Befehl aus.

router# no debug crypto isakmp

IPsec

Verwenden Sie den folgenden -Befehl. In der Antwort wird ein Kunden-Gateway-Gerät angezeigt, das korrekt IPsec konfiguriert ist.

ciscoasa# show crypto ipsec sa
interface: outside
    Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

      access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0)
      current_peer: integ-ppe1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: 6D9F8D3B
      current inbound spi : 48B456A6

    inbound esp sas:
      spi: 0x48B456A6 (1219778214)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0x6D9F8D3B (1839172923)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
         0x00000000 0x00000001

Sie sollten für jede Tunnelschnittstelle sowohl inbound esp sas als auch outbound esp sas sehen. Dabei wird vorausgesetzt, dass eine SA aufgeführt ist (z. B.spi: 0x48B456A6) und dass diese korrekt konfiguriert IPsec ist.

In Cisco wird das IPsec erst angezeigtASA, nachdem interessanter Datenverkehr (Verkehr, der verschlüsselt werden sollte) gesendet wurde. Um den Computer immer IPsec aktiv zu halten, empfehlen wir, einen SLA Monitor zu konfigurieren. Der SLA Monitor sendet weiterhin interessanten Datenverkehr, wobei der Monitor IPsec aktiv bleibt.

Sie können auch den folgenden Ping-Befehl verwenden, um Sie zu zwingen, mit der Verhandlung IPsec zu beginnen und nach oben zu gehen.

ping ec2_instance_ip_address
Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

Aktivieren Sie zur weiteren Problembehebung mit dem folgenden Befehl Debugging.

router# debug crypto ipsec

Wenn Sie Debugging deaktivieren möchten, führen Sie den folgenden Befehl aus.

router# no debug crypto ipsec

Routing

Senden Sie einen Ping ans andere Ende des Tunnels. Wenn das funktioniert, IPsec sollten Sie etabliert sein. Wenn das nicht funktioniert, überprüfen Sie Ihre Zugriffslisten und lesen Sie den vorherigen IPsec Abschnitt.

Wenn Sie nicht in der Lage sind, Ihre Instances zu erreichen, überprüfen Sie die folgenden Informationen.

  1. Stellen Sie sicher, dass die Zugriffsliste so konfiguriert ist, dass der Crypto-Map zugeordneter Datenverkehr zugelassen wird.

    Führen Sie dazu den folgenden Befehl aus.

    ciscoasa# show run crypto
    crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmac
crypto map VPN_crypto_map_name 1 match address access-list-name
crypto map VPN_crypto_map_name 1 set pfs
crypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2
crypto map VPN_crypto_map_name 1 set transform-set transform-amzn
crypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600

  2. Überprüfen Sie die Zugriffsliste mit dem folgenden Befehl.

    ciscoasa# show run access-list access-list-name
    access-list access-list-name extended permit ip any vpc_subnet subnet_mask

  3. Vergewissern Sie sich, dass die Zugriffsliste korrekt ist. Die folgende Beispielzugriffsliste erlaubt den gesamten internen Verkehr zum VPC Subnetz 10.0.0.0/16.

    access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0

  4. Führen Sie eine Traceroute vom ASA Cisco-Gerät aus, um zu sehen, ob sie die Amazon-Router erreicht (z. B. AWS_ENDPOINT_1/AWS_ENDPOINT_2).

    Wenn dies den Amazon-Router erreicht, überprüfen Sie die statischen Routen, die Sie in der VPC Amazon-Konsole hinzugefügt haben, sowie die Sicherheitsgruppen für die jeweiligen Instances.

  5. Fahren Sie mit der Fehlersuche in der Konfiguration fort.