6.14. IPsec 配置故障排除

VPN 连接的问题通常是因为端点之间不匹配的配置而发生。

要确认已建立 IPsec 连接，请输入：

ipsec trafficstatus

# ipsec trafficstatus
006 #8: "vpn.example.com"[1] 192.0.2.1, type=ESP, add_time=1595296930, inBytes=5999, outBytes=3231, id='@vpn.example.com', lease=198.51.100.1/32

对于成功连接，命令会显示带有连接名称和详情的条目。如果输出为空，则不会建立隧道。

诊断由于与防火墙相关的问题导致的 IPsec 连接失败。

如果端点或中间路由上的防火墙丢弃了互联网密钥交换版本 2 (IKEv2)数据包，ipsec up 命令超时并显示重复的 重新传输 消息：

181 "vpn.example.com"[1] 192.0.2.2 #15: initiating IKEv2 IKE SA
181 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: sent v2I1, expected v2R1
010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: retransmission; will wait 0.5 seconds for response
010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: retransmission; will wait 1 seconds for response
010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: retransmission; will wait 2 seconds for response
...

181 "vpn.example.com"[1] 192.0.2.2 #15: initiating IKEv2 IKE SA
181 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: sent v2I1, expected v2R1
010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: retransmission; will wait 0.5 seconds for response
010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: retransmission; will wait 1 seconds for response
010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: retransmission; will wait 2 seconds for response
...

您可以使用 tcpdump 工具捕获流量，并验证防火墙是否丢弃了 IKE 或 IPsec 数据包，例如：

tcpdump -i <interface> -n -n esp or udp port 500 or udp port 4500 or tcp port 4500

# tcpdump -i <interface> -n -n esp or udp port 500 or udp port 4500 or tcp port 4500

请注意，tcpdump 用于诊断其他类型的 IPsec 问题，因为 IKE 协议是加密的。

如果端点没有配置匹配的互联网密钥交换(IKE)版本、算法、IP 地址范围或预共享密钥(PSK)，则 VPN 连接会失败。如果识别不匹配，您必须匹配两个端点上的设置来解决这个问题。

诊断由最大传输单元(MTU)问题导致的间歇性 IPsec 连接失败。加密会增加数据包大小，从而导致数据包超过网络的 MTU 时碎片和丢失数据，通常会看到更大的数据传输。

一个常见的症状是，小数据包（例如 ping）可以正常工作，但大型数据包（如 SSH 会话）在登录后冻结。要解决这个问题，请通过将 mtu=1400 选项添加到配置文件来降低隧道的 MTU。

解决 IPsec 主机也充当 NAT 路由器时出现的 NAT 冲突。不正确的 NAT 应用程序可以在加密前转换源 IP 地址，从而导致数据包通过网络进行未加密的发送。

例如，如果在应用 IPsec 加密前，如果数据包的源 IP 地址被伪装规则转换，则数据包的源不再与 IPsec 策略匹配，并且 Libreswan 通过网络发送未加密的。

要解决这个问题，请添加一条防火墙规则，该规则不包括 NAT 中 IPsec 子网之间的流量。应在 POSTROUTING 链的开头插入此规则，以确保它在常规 NAT 规则之前进行处理。

nft add table ip nat
nft add chain ip nat postrouting { type nat hook postrouting priority 100 \; }
nft add rule ip nat postrouting ip saddr 192.0.2.0/24 ip daddr 198.51.100.0/24 return

# nft add table ip nat
# nft add chain ip nat postrouting { type nat hook postrouting priority 100 \; }
# nft add rule ip nat postrouting ip saddr 192.0.2.0/24 ip daddr 198.51.100.0/24 return

当 VPN 隧道建立但没有流量流时，对内核级别的 IPsec 问题进行故障排除。在这种情况下，检查内核的 IPsec 状态，以检查隧道策略和加密密钥是否已正确安装。

这个过程涉及检查两个组件：

首先，检查 SPD 中是否存在正确的策略：

ip xfrm policy

# ip xfrm policy
src 192.0.2.1/32 dst 10.0.0.0/8
	dir out priority 666 ptype main
	tmpl src 198.51.100.13 dst 203.0.113.22
		proto esp reqid 16417 mode tunnel

输出应包含与您的 leftsubnet 和 rightsubnet 参数匹配的策略，以及 in 和 out 方向。如果没有为流量看到策略，Libreswan 无法创建内核规则，并且不会加密流量。

如果策略存在，检查它是否在 SAD 中有对应的键集合：

ip xfrm state

# ip xfrm state
src 203.0.113.22 dst 198.51.100.13
	proto esp spi 0xa78b3fdb reqid 16417 mode tunnel
	auth-trunc hmac(sha1) 0x3763cd3b... 96
	enc cbc(aes) 0xd9dba399...

如果策略存在，但没有具有相同 reqid 的对应状态，这通常意味着互联网密钥交换(IKE)协商失败。这两个 VPN 端点无法同意一组密钥。

如需更详细的诊断，请将 -s 选项与其中一个命令一起使用。这个选项添加流量计数器，这有助于识别内核是否按特定规则处理数据包。

内核 IPsec 子系统中的一个缺陷可能会导致它丢失与 IKE 守护进程的同步。这可能会导致协商安全关联和实际 IPsec 策略强制之间的差异，从而破坏安全的网络通信。

要检查内核级别的错误，显示转换(XFRM)统计信息：

cat /proc/net/xfrm_stat

# cat /proc/net/xfrm_stat

如果输出中的任何计数器（如 XfrmInError ）显示非零值，这表示内核子系统存在问题。在这种情况下，创建一个支持问题单，并将命令的输出与对应的 IKE 日志附加。

显示 Libreswan 日志来诊断和排除 IPsec 服务事件和问题。访问 ipsec 服务的日志，以深入了解连接状态和潜在问题。

要显示日志，请输入：

journalctl -xeu ipsec

# journalctl -xeu ipsec

如果默认日志记录级别没有提供足够详情，请通过在 /etc/ipsec.conf 文件中的 config setup 部分中添加以下设置来启用全面的调试日志：

plutodebug=all
logfile=/var/log/pluto.log

plutodebug=all
logfile=/var/log/pluto.log

由于调试日志记录可以生成许多条目，因此将消息重定向到专用日志文件可防止 journald 和 systemd 服务对消息进行速率限制。