Sophos Firewall - resolução de problemas e soluções para ligações IPsec
Ligações IPsec Site-to-Site (S2S) são uma parte essencial de muitas redes, especialmente quando se trata de ligar diferentes localizações de forma segura. No entanto, se uma ligação deste tipo não funcionar de forma estável ou nem sequer for estabelecida, isso pode ter impacto grave em toda a comunicação de rede. Este artigo destina-se a administradores de TI que procuram soluções para problemas IPsec frequentes na Sophos Firewall. Em seguida descrevemos os passos e comandos que podem ser usados para resolução de problemas.
Porque ligações IPsec podem causar problemas
Ligações IPsec podem tornar-se instáveis ou falhar por vários motivos. Causas frequentes incluem:
- Configurações incorretas das redes em ambos os lados do túnel
- Versões IKE não coincidentes
- Mismatches nos IDs de ligação
- Preshared Keys incorretas
- Regras de firewall configuradas incorretamente
Estes problemas podem afetar seriamente a funcionalidade da ligação VPN e exigem uma resolução de problemas cuidadosa.
Primeiros passos: logs e debugging
Antes de identificar e resolver problemas específicos, é essencial recolher as informações certas. Para isso ajudam logs e ferramentas de debugging disponíveis na Sophos Firewall.
Monitorizar logs em tempo real
Para obter uma visão detalhada do serviço IPsec em execução, é útil monitorizar os logs em tempo real. Isto pode ser feito com o seguinte comando na CLI da Sophos Firewall:
tail -f /log/strongswan.log | grep azure-vpn
Este comando filtra as entradas de log pelo túnel específico (neste exemplo “azure-vpn”) e mostra apenas as informações relevantes. Isto é especialmente útil para ver exatamente o que acontece durante o estabelecimento da ligação ou em caso de erro.
Ativar modo debug para o serviço StrongSwan
Se os logs padrão não forem suficientes para diagnosticar o problema, pode ativar o modo debug do serviço Strongswan. Isto fornece informações mais detalhadas:
service strongswan:debug -ds nosync
O modo debug oferece uma visão mais profunda dos processos do serviço IPsec, o que facilita o diagnóstico de problemas complexos.
⚠️ O log IPsec pode ocupar rapidamente muito espaço nas SSDs. Por isso, o modo debug deve ser novamente desativado imediatamente após a análise.
Problemas frequentes e respetiva correção
Depois de recolher logs e informações de debug, pode começar a identificar e corrigir problemas específicos.
Traffic Selectors incorretos
Um problema frequente em ligações IPsec é os Traffic Selectors (também chamados Security Associations ou SA) não coincidirem nos dois lados do túnel. Isto pode impedir que o túnel seja estabelecido corretamente. É importante garantir que as redes que devem ser ligadas através do túnel estão configuradas de forma idêntica em ambos os lados.
Nenhuma configuração IKE encontrada
Outro problema ocorre quando as versões IKE não coincidem em ambos os lados da ligação. Se for esse o caso, a ligação não é estabelecida e aparece uma mensagem de erro no log. Deve verificar se as versões IKE nas duas firewalls coincidem e ajustá-las em conformidade.
Autenticação do peer falhou
Quando a autenticação do peer falha, a causa está muitas vezes em IDs de ligação não coincidentes. Deve garantir que o ID de ligação local e remoto estão corretamente configurados em ambos os lados. Estes IDs têm de ser idênticos para que a fase 1 da ligação seja concluída com sucesso.
Sem tráfego pelo túnel IPsec
Se o túnel está estabelecido, mas não passa tráfego, o problema está muitas vezes nas regras de firewall. Deve garantir que as regras estão corretamente configuradas para permitir o tráfego VPN. Além disso, deve verificar se a prioridade das rotas VPN e estáticas está corretamente definida para garantir que o tráfego é encaminhado pelo túnel.
Payload HASH_V1 inválido
Um payload HASH_V1 inválido aponta normalmente para uma Preshared Key incorreta. Deve verificar a Preshared Key em ambas as firewalls para garantir que coincidem. Uma chave incorreta impede a autenticação da ligação e, por isso, o estabelecimento bem-sucedido do túnel.
Conclusão
A resolução de problemas em ligações IPsec na Sophos Firewall pode ser complexa, mas com as ferramentas e métodos certos é possível identificar e resolver a maioria dos problemas. Ao monitorizar logs em tempo real e ativar o modo debug, obtém as informações necessárias para procurar a causa dos problemas de ligação de forma direcionada. Conhecendo os problemas mais frequentes e as respetivas soluções, consegue operar ligações IPsec de forma estável e fiável.
Se, ainda assim, surgirem problemas que não possam ser resolvidos, pode ser útil recolher logs com TCPDump para análise e enviá-los para nós ou para o Sophos Support, para obter ajuda adicional.
Outras ajudas
Se a resolução de problemas da ligação IPsec na Sophos Firewall continuar a causar dificuldades, há recursos adicionais que podem ser úteis. Estes incluem guias detalhados e soluções para problemas frequentes:
- Sophos Firewall: Troubleshooting site-to-site IPsec VPN issues - Um guia detalhado para a resolução de problemas em ligações IPsec Site-to-Site na Sophos Firewall.
- Sophos Support: KBA para resolução de problemas IPsec - Um artigo da Knowledge Base que descreve os problemas IPsec mais frequentes e as respetivas soluções.
Estas fontes oferecem informações valiosas e podem ajudar a resolver com sucesso problemas persistentes em ligações IPsec.