{"id":161470,"date":"2024-09-03T12:06:59","date_gmt":"2024-09-03T11:06:59","guid":{"rendered":"https:\/\/www.avanet.com\/kb\/sophos-firewall-ipsec-troubleshooting\/"},"modified":"2024-09-03T12:09:51","modified_gmt":"2024-09-03T11:09:51","slug":"sophos-firewall-ipsec-troubleshooting","status":"publish","type":"kb","link":"https:\/\/www.avanet.com\/it\/kb\/sophos-firewall-ipsec-troubleshooting\/","title":{"rendered":"Sophos Firewall &#8211; Risoluzione dei problemi e soluzioni per le connessioni IPsec"},"content":{"rendered":"\n<p>Le connessioni IPsec Site-to-Site (S2S) sono una parte essenziale di molte reti, soprattutto quando si tratta di collegare in modo sicuro sedi diverse.\nTuttavia, se una connessione di questo tipo non \u00e8 stabile o non pu\u00f2 essere stabilita in primo luogo, ci\u00f2 pu\u00f2 avere un grave impatto sull&#8217;intera comunicazione di rete.\nQuesto articolo \u00e8 rivolto agli amministratori IT che cercano soluzioni ai problemi IPsec pi\u00f9 comuni su Sophos Firewall.\nDi seguito sono descritti i passaggi e i comandi che possono essere utilizzati per la risoluzione dei problemi.   <\/p>\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Argomenti<\/h2><nav><ul><li class=\"\"><a href=\"#warum-i-psec-verbindungen-probleme-bereiten-konnen\"><a href=\"#warum-i-psec-verbindungen-probleme-bereiten-konnen\">Perch\u00e9 le connessioni IPsec possono causare problemi<\/a><\/a><\/li><li class=\"\"><a href=\"#erste-schritte-logs-und-debugging\"><a href=\"#erste-schritte-logs-und-debugging\">Primi passi: log e debug<\/a><\/a><ul><li class=\"\"><a href=\"#echtzeit-logs-uberwachen\"><a href=\"#echtzeit-logs-uberwachen\">Monitoraggio dei log in tempo reale<\/a><\/a><\/li><li class=\"\"><a href=\"#debug-modus-fur-den-strong-swan-dienst-aktivieren\"><a href=\"#debug-modus-fur-den-strong-swan-dienst-aktivieren\">Attivare la modalit\u00e0 di debug per il servizio StrongSwan<\/a><\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#haufige-probleme-und-deren-behebung\"><a href=\"#haufige-probleme-und-deren-behebung\">Problemi comuni e come risolverli<\/a><\/a><ul><li class=\"\"><a href=\"#falsche-traffic-selectors\"><a href=\"#falsche-traffic-selectors\">Selettori di traffico errati<\/a><\/a><\/li><li class=\"\"><a href=\"#keine-ike-konfiguration-gefunden\"><a href=\"#keine-ike-konfiguration-gefunden\">Nessuna configurazione IKE trovata<\/a><\/a><\/li><li class=\"\"><a href=\"#peer-authentifizierung-fehlgeschlagen\"><a href=\"#peer-authentifizierung-fehlgeschlagen\">Autenticazione peer fallita<\/a><\/a><\/li><li class=\"\"><a href=\"#kein-traffic-durch-den-i-psec-tunnel\"><a href=\"#kein-traffic-durch-den-i-psec-tunnel\">Nessun traffico attraverso il tunnel IPsec<\/a><\/a><\/li><li class=\"\"><a href=\"#ungultiger-hash-v-1-payload\"><a href=\"#ungultiger-hash-v-1-payload\">Carico utile HASH_V1 non valido<\/a><\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#abschluss\"><a href=\"#abschluss\">Conclusione<\/a><\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 class=\"wp-block-heading\" id=\"warum-i-psec-verbindungen-probleme-bereiten-konnen\">Perch\u00e9 le connessioni IPsec possono causare problemi<\/h2>\n\n<p>Le connessioni IPsec possono diventare instabili o fallire per vari motivi.\nLe cause pi\u00f9 comuni sono <\/p>\n\n<ul class=\"wp-block-list\">\n<li>Configurazioni di rete errate su entrambi i lati del tunnel<\/li>\n\n\n\n<li>Versioni IKE non corrispondenti<\/li>\n\n\n\n<li>Errori negli ID delle connessioni<\/li>\n\n\n\n<li>Chiavi preshared difettose<\/li>\n\n\n\n<li>Regole del firewall configurate in modo errato<\/li>\n<\/ul>\n\n<p>Questi problemi possono avere un grave impatto sulla funzionalit\u00e0 della connessione VPN e richiedono un&#8217;attenta risoluzione dei problemi.<\/p>\n\n<h2 class=\"wp-block-heading\" id=\"erste-schritte-logs-und-debugging\">Primi passi: log e debug<\/h2>\n\n<p>Prima di identificare e risolvere problemi specifici, \u00e8 fondamentale raccogliere le giuste informazioni.\nI log e gli strumenti di debug disponibili su Sophos Firewall possono aiutare in questo senso. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"echtzeit-logs-uberwachen\">Monitoraggio dei log in tempo reale<\/h3>\n\n<p>Per avere una visione dettagliata del servizio IPsec in esecuzione, \u00e8 utile monitorare i log in tempo reale.\nQuesto pu\u00f2 essere fatto con il seguente comando nella CLI di Sophos Firewall: <\/p>\n\n<pre class=\"wp-block-code\"><code>tail -f \/log\/strongswan.log | grep azure-vpn<\/code><\/pre>\n\n<p><br\/>Questo comando filtra le voci di log in base al tunnel specifico (in questo esempio &#8220;azure-vpn&#8221;) e visualizza solo le informazioni rilevanti.\nQuesto \u00e8 particolarmente utile per vedere cosa succede esattamente durante la configurazione della connessione o in caso di errori. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"debug-modus-fur-den-strong-swan-dienst-aktivieren\">Attivare la modalit\u00e0 di debug per il servizio StrongSwan<\/h3>\n\n<p><br\/>Se i log standard non sono sufficienti per diagnosticare il problema, \u00e8 possibile attivare la modalit\u00e0 di debug del servizio Strongswan.\nIn questo modo si ottengono informazioni pi\u00f9 dettagliate: <\/p>\n\n<pre class=\"wp-block-code\"><code>service strongswan:debug -ds nosync<\/code><\/pre>\n\n<p><br\/>La modalit\u00e0 di debug offre una visione pi\u00f9 approfondita dei processi del servizio IPsec, facilitando la diagnosi di problemi complessi.<\/p>\n\n<p>\u26a0\ufe0f Il registro IPsec pu\u00f2 richiedere rapidamente molto spazio di archiviazione sulle unit\u00e0 SSD, quindi la modalit\u00e0 di debug deve essere disattivata subito dopo l&#8217;analisi.<\/p>\n\n<h2 class=\"wp-block-heading\" id=\"haufige-probleme-und-deren-behebung\">Problemi comuni e come risolverli<\/h2>\n\n<p>Una volta raccolti i log e le informazioni di debug, puoi iniziare a identificare e risolvere i problemi specifici.<\/p>\n\n<h3 class=\"wp-block-heading\" id=\"falsche-traffic-selectors\">Selettori di traffico errati<\/h3>\n\n<p>Un problema comune delle connessioni IPsec \u00e8 che i selettori di traffico (noti anche come associazioni di sicurezza o SA) su entrambi i lati del tunnel non corrispondono.\nQuesto pu\u00f2 far s\u00ec che il tunnel non venga configurato correttamente.\n\u00c8 importante assicurarsi che le reti da collegare tramite il tunnel siano configurate in modo identico su entrambi i lati.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"keine-ike-konfiguration-gefunden\">Nessuna configurazione IKE trovata<\/h3>\n\n<p>Un altro problema si verifica se le versioni di IKE su entrambi i lati della connessione non corrispondono.\nIn questo caso, la connessione non viene stabilita e viene visualizzato un messaggio di errore nel registro.\nDovresti verificare se le versioni IKE di entrambi i firewall corrispondono e regolarle di conseguenza.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"peer-authentifizierung-fehlgeschlagen\">Autenticazione peer fallita<\/h3>\n\n<p>Se l&#8217;autenticazione tra pari fallisce, spesso \u00e8 a causa di ID di connessione non corrispondenti.\nDevi assicurarti che gli ID di connessione locale e remota siano configurati correttamente su entrambi i lati.\nQuesti ID devono essere identici affinch\u00e9 la fase 1 della connessione possa essere completata con successo.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"kein-traffic-durch-den-i-psec-tunnel\">Nessun traffico attraverso il tunnel IPsec<\/h3>\n\n<p>Se il tunnel viene stabilito ma il traffico non viene instradato, il problema \u00e8 spesso dovuto alle regole del firewall.\nDevi assicurarti che le regole siano configurate correttamente per consentire il traffico VPN.\nInoltre, devi verificare che la priorit\u00e0 delle rotte VPN e statiche sia impostata correttamente per garantire che il traffico venga instradato attraverso il tunnel.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"ungultiger-hash-v-1-payload\">Carico utile HASH_V1 non valido<\/h3>\n\n<p>Un payload HASH_V1 non valido indica solitamente una chiave preshared non corretta.\nDovresti controllare la chiave preshared su entrambi i firewall per assicurarti che corrisponda.\nUna chiave errata significa che la connessione non pu\u00f2 essere autenticata e quindi impedisce la creazione del tunnel.  <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"abschluss\">Conclusione<\/h2>\n\n<p>La risoluzione dei problemi delle connessioni IPsec su Sophos Firewall pu\u00f2 essere complessa, ma con gli strumenti e i metodi giusti \u00e8 possibile identificare e risolvere la maggior parte dei problemi.\nMonitorando i log in tempo reale e attivando la modalit\u00e0 di debug, puoi ottenere le informazioni necessarie per cercare in modo specifico la causa dei problemi di connessione.\nSe conosci i problemi pi\u00f9 comuni e le loro soluzioni, sarai in grado di gestire le connessioni IPsec in modo stabile e affidabile.  <\/p>\n\n<p>Tuttavia, se si verificano problemi che non possono essere risolti, pu\u00f2 essere utile <a href=\"https:\/\/www.avanet.com\/it\/kb\/sophos-firewall-raccogliere-i-log-dello-strumento-tcpdump\/\">raccogliere<\/a> i <a href=\"https:\/\/www.avanet.com\/it\/kb\/sophos-firewall-raccogliere-i-log-dello-strumento-tcpdump\/\">log con TCPDump per analizzarli<\/a> e inoltrarli a noi o al Supporto Sophos per ulteriore assistenza.<\/p>\n\n<p><strong>Ulteriore assistenza<\/strong><\/p>\n\n<p>Se la risoluzione dei problemi della connessione IPsec su Sophos Firewall continua a causare difficolt\u00e0, ci sono altre risorse che possono essere utili.\nQueste includono istruzioni dettagliate e soluzioni comuni per la risoluzione dei problemi: <\/p>\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/community.sophos.com\/sophos-xg-firewall\/f\/recommended-reads\/123740\/sophos-firewall-troubleshooting-site-to-site-ipsec-vpn-issues\" target=\"_blank\" rel=\"noopener\">Sophos Firewall: Risoluzione dei problemi delle VPN IPsec site-to-site<\/a> &#8211; Una guida dettagliata alla risoluzione dei problemi delle connessioni IPsec site-to-site su Sophos Firewall.<\/li>\n\n\n\n<li><a href=\"https:\/\/support.sophos.com\/support\/s\/article\/KBA-000006520?language=en_US\" target=\"_blank\" rel=\"noopener\">Supporto Sophos: KBA sulla risoluzione dei problemi IPsec<\/a> &#8211; Un articolo della Knowledge Base che descrive i problemi IPsec pi\u00f9 comuni e le relative soluzioni.<\/li>\n<\/ul>\n\n<p>Queste fonti forniscono indicazioni preziose e possono aiutare a risolvere con successo i problemi persistenti con le connessioni IPsec.<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"template":"","format":"standard","kb_kategorie":[409],"class_list":["post-161470","kb","type-kb","status-publish","format-standard","hentry","kb_kategorie-sophos-firewall"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/kb\/161470","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/kb"}],"about":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/types\/kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/users\/1"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/media?parent=161470"}],"wp:term":[{"taxonomy":"kb_kategorie","embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/kb_kategorie?post=161470"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}