دليل استكشاف أخطاء IPSec في Palo Alto Networks
دليل استكشاف أخطاء IPSec في Palo Alto Networks
IPSec هو مجموعة من البروتوكولات المصممة لضمان الاتصال الآمن عبر شبكات IP. وهو يوفر السرية والتكامل والمصادقة من خلال آليات مثل التشفير وتبادل المفاتيح. ومع ذلك، نظرًا لتعقيده والمكونات المتعددة المشاركة، يمكن أن يكون تشخيص مشاكل IPSec VPN تحديًا.
🔹 إذا كان تكوينًا جديدًا: المشكلة غالبًا ما تكون سوء تكوين على أحد الجانبين
🔹 إذا كان تكوينًا موجودًا: قد تكون مشكلة في الشبكة أو تغيير في التكوين
Monitor > System Logs
ابحث عن أخطاء متعلقة بـ IKE أو IPSec أو VPN
> less mp-log ikemgr.log
> show vpn ike-sa gateway <gateway-name>
> show vpn ipsec-sa tunnel <tunnel-name>
> show vpn flow
Monitor > Packet Capture
قم بفلترة UDP 500 لعناوين IP الخاصة بـ VPN peers
الأعراض:
IKEv2 SA negotiation is failed likely due to pre-shared key mismatch
AUTHENTICATION_FAILED
الحل:
تأكد من أن Pre-shared keys متطابقة تمامًا على كلا الجانبين
راجع كل حرف ورقم ورمز خاص
الأعراض:
NO_PROPOSAL_CHOSEN
trns_id mismatched
الحل:
Network > IKE Crypto Profile
تحقق من:
Encryption Algorithm: AES-128, AES-192, AES-256, 3DES
Hash Algorithm: SHA1, SHA256, SHA384, SHA512, MD5
DH Group: Group 1, 2, 5, 14, 19, 20, etc.
IKE Version: IKEv1 أو IKEv2
الأعراض:
IKE phase-2 negotiation failed
no suitable proposal found
الحل:
Network > IPSec Crypto Profile
تحقق من:
Encryption: AES-128, AES-192, AES-256, 3DES, DES
Authentication: SHA1, SHA256, SHA384, SHA512, MD5
DH Group: None, Group 1, 2, 5, 14, 19, 20
PFS (Perfect Forward Secrecy): يجب أن يتطابق على كلا الجانبين
الأعراض:
message lacks IDr payload
نفق يعمل لكن البيانات لا تمر
الحل:
Network > IPSec Tunnels > Proxy IDs
تأكد من أن كل Proxy ID هو انعكاس دقيق للجانب الآخر
Local: 192.168.1.0/24 ←→ Remote: 10.0.0.0/24
Remote: 192.168.1.0/24 ←→ Local: 10.0.0.0/24
الأعراض:
النفق يسقط بعد فترة قصيرة
مشاكل مع devices خلف NAT
الحل:
Network > IKE Gateways > Advanced Options
- ☑ Enable NAT Traversal
- NAT-T Keep-alive: 20 seconds
# عرض حالة IKE Phase 1
> show vpn ike-sa gateway <gateway-name>
# عرض حالة IPSec Phase 2
> show vpn ipsec-sa tunnel <tunnel-name>
# عرض جميع الأنفاق
> show vpn flow
# فحص routing table
> show routing route
# اختبار الاتصال
> ping source <interface> host <remote-ip>
# تفعيل IKE debugging
> debug ike global on debug
# تفعيل debugging لنفق محدد
> debug ike tunnel <tunnel-name> on debug
# تفعيل debugging لـ gateway محدد
> debug ike gateway <gateway-name> on debug
# مراقبة السجلات في الوقت الفعلي
> tail follow yes mp-log ikemgr.log
# إيقاف debugging
> debug ike global off
> debug ike tunnel <tunnel-name> off
> debug ike gateway <gateway-name> off
# تفعيل packet capture لـ IKE
> debug ike pcap on
# عرض packet capture
> view-pcap no-dns-lookup yes no-port-lookup yes debug-pcap ikemgr.pcap
# إيقاف packet capture
> debug ike pcap off
# اختبار IKE Phase 1
> test vpn ike-sa gateway <gateway-name>
# اختبار IPSec Phase 2
> test vpn ipsec-sa tunnel <tunnel-name>
# إعادة تشغيل النفق
> clear vpn ike-sa gateway <gateway-name>
رسالة الخطأ
السبب
الحل
AUTHENTICATION_FAILED
خطأ في Pre-shared key
راجع PSK على كلا الجانبين
NO_PROPOSAL_CHOSEN
عدم تطابق crypto parameters
راجع IKE crypto profile
INVALID_PAYLOAD_TYPE
مشكلة في IKE payload
راجع IKE version
PAYLOAD_MALFORMED
خطأ في تنسيق البيانات
راجع MTU و fragmentation
رسالة الخطأ
السبب
الحل
no suitable proposal found
عدم تطابق IPSec parameters
راجع IPSec crypto profile
pfs group mismatched
عدم تطابق PFS settings
راجع DH Group في Phase 2
proxy ID mismatch
خطأ في Proxy IDs
راجع Traffic Selectors
خطوات الفحص:
فحص الاتصال الأساسي:
> ping source <outside-interface> host <peer-ip>
فحص IKE Phase 1:
> show vpn ike-sa gateway <gateway-name>
فحص السجلات:
> less mp-log ikemgr.log
فحص Security Policies:
تأكد من وجود rule للسماح بـ IKE (UDP 500)
تأكد من وجود rule للسماح بـ IPSec (ESP)
خطوات الفحص:
فحص Proxy IDs:
Network > IPSec Tunnels > Proxy IDs
فحص الـ Routing:
> show routing route
فحص Security Policies:
تأكد من وجود policy للسماح بالبيانات عبر النفق
فحص NAT Policies:
Network > NAT
الأسباب المحتملة:
DPD (Dead Peer Detection) mismatch
Rekey timing issues
NAT-T problems
MTU issues
الحلول:
# فحص DPD settings
Network > IKE Gateways > Advanced Options > Dead Peer Detection
# فحص Rekey settings
Network > IKE Gateways > Advanced Options > IKE Crypto Profile
Network > IPSec Tunnels > Advanced Options > IPSec Crypto Profile
# فحص MTU
> show interface <interface-name>
إعدادات مطلوبة:
استخدم IKEv1 للتوافق الأفضل
فعّل NAT Traversal إذا كان أحد الأجهزة خلف NAT
استخدم Proxy IDs دقيقة
إعدادات مطلوبة:
راجع DH Groups - بعض FortiGate models لها قيود
استخدم SHA256 بدلاً من SHA1
فعّل DPD على كلا الجانبين
إعدادات مطلوبة:
استخدم IKEv1 Aggressive Mode
فعّل NAT-T حتى لو لم يكن هناك NAT
راجع Proposal Order
IKE Crypto Profile:
- Encryption: AES-256
- Hash: SHA256
- DH Group: Group 14 أو أعلى
- Lifetime: 8 hours
IPSec Crypto Profile:
- Encryption: AES-256
- Authentication: SHA256
- DH Group: Group 14 (PFS enabled)
- Lifetime: 1 hour
Advanced Options:
- Enable Replay Protection: ☑
- Copy ToS Header: ☑ (للـ QoS)
- Enable Tunnel Monitor: ☑
- Tunnel Monitor Profile: default
Monitor > Dashboard
- عرض حالة جميع الأنفاق
- إحصائيات البيانات المرسلة/المستقبلة
Monitor > Traffic
- فلتر حسب tunnel interface
- راجع allow/deny decisions
Network > GlobalProtect > Portals
- مراقبة user connections
- إعدادات client tunnels
احتفظ بـ configuration templates
وثّق جميع IP addresses والـ subnets
احتفظ بسجل للتغييرات
استخدم ping tests بانتظام
راقب tunnel statistics
فعّل tunnel monitoring
احتفظ بـ backup configurations
استخدم redundant tunnels إذا أمكن
فعّل automatic failover
استكشاف أخطاء IPSec في Palo Alto يتطلب نهجًا منهجيًا وفهمًا جيدًا للبروتوكول. تذكر أن معظم المشاكل في الأنفاق الجديدة تعود إلى عدم تطابق التكوين، بينما مشاكل الأنفاق الموجودة قد تكون بسبب تغييرات في الشبكة أو انتهاء صلاحية المفاتيح.
القاعدة الذهبية: ابدأ بالأساسيات - تحقق من الاتصال، راجع السجلات، وتأكد من تطابق التكوين على كلا الجانبين.
تم إعداد هذا الدليل بواسطة: فريق TechClick
تاريخ التحديث: يناير 2025
النسخة: 1.0