Hoppa till innehållet
Avanet

Sophos Firewall - troubleshooting och lösningar för IPsec

Sophos Firewall

IPsec Site-to-Site-anslutningar är en viktig del av många nätverk, särskilt när olika platser ska kopplas ihop säkert. Om en sådan anslutning är instabil eller inte kommer upp alls kan det påverka stora delar av nätverkskommunikationen. Den här artikeln riktar sig till IT-administratörer som felsöker vanliga IPsec-problem på Sophos Firewall. Nedan beskrivs steg och kommandon som hjälper dig att samla rätt information och hitta orsaken.

Varför IPsec-anslutningar kan orsaka problem

IPsec-anslutningar kan bli instabila eller misslyckas av flera skäl. Vanliga orsaker är:

  • felaktigt konfigurerade nät på någon sida av tunneln,
  • olika IKE-versioner,
  • mismatch i connection IDs,
  • felaktiga preshared keys,
  • firewallregler som inte tillåter VPN-trafiken.

Dessa fel kan påverka VPN-anslutningen kraftigt och kräver noggrann felsökning.

Första steg: loggar och debugging

Innan du försöker lösa ett specifikt problem bör du samla rätt information. På Sophos Firewall är loggar och debugging-verktyg de viktigaste hjälpmedlen.

Övervaka loggar i realtid

För att få en detaljerad bild av den aktiva IPsec-tjänsten kan du följa loggen i realtid via CLI på Sophos Firewall:

tail -f /log/strongswan.log | grep azure-vpn

Kommandot filtrerar loggposter efter den specifika tunneln, i exemplet azure-vpn, och visar bara relevanta rader. Det är särskilt användbart när du vill se vad som händer under uppkoppling eller vid fel.

Aktivera debug mode för strongSwan

Om standardloggen inte räcker för diagnosen kan debug mode aktiveras för strongSwan-tjänsten. Det ger mer detaljerad information:

service strongswan:debug -ds nosync

Debug mode ger djupare insyn i IPsec-processerna och gör det lättare att analysera mer komplexa fel.

⚠️ IPsec-loggen kan snabbt använda mycket utrymme på SSD:erna. Stäng därför av debug mode direkt efter analysen.

Vanliga problem och lösningar

När loggar och debug-information har samlats in kan du börja identifiera och åtgärda konkreta fel.

Felaktiga traffic selectors

Ett vanligt problem vid IPsec-anslutningar är att traffic selectors, även kallade Security Associations eller SA, inte matchar på båda sidor av tunneln. Då kan tunneln inte byggas upp korrekt. Kontrollera att de nät som ska kopplas samman via tunneln är identiskt konfigurerade på båda sidor.

Ingen IKE-konfiguration hittas

Ett annat vanligt fel uppstår när IKE-versionerna skiljer sig mellan sidorna. Då etableras inte anslutningen och ett fel visas i loggen. Kontrollera att båda firewalls använder samma IKE-version och justera inställningen vid behov.

Peer authentication failed

Om peer authentication misslyckas beror det ofta på olika connection IDs. Kontrollera att lokal och remote connection ID är korrekt konfigurerade på båda sidor. Dessa ID:n måste stämma överens för att Phase 1 ska kunna slutföras.

Ingen trafik genom IPsec-tunneln

Om tunneln är uppe men ingen trafik passerar ligger problemet ofta i firewallreglerna. Kontrollera att reglerna tillåter VPN-trafiken. Kontrollera även prioriteten för VPN-routes och statiska routes, så att trafiken verkligen skickas genom tunneln.

Ogiltig HASH_V1 payload

En ogiltig HASH_V1 payload pekar oftast på ett felaktigt preshared key. Kontrollera preshared key på båda firewalls och säkerställ att värdena är identiska. Ett felaktigt nyckelvärde gör att anslutningen inte kan autentiseras och tunneln inte byggs upp.

Avslutning

Felsökning av IPsec-anslutningar på Sophos Firewall kan vara komplext, men med rätt verktyg går de flesta problem att identifiera och lösa. Genom att följa loggar i realtid och aktivera debug mode får du den information som behövs för att söka efter den faktiska orsaken. När du känner till de vanligaste felen och lösningarna blir det enklare att driva IPsec-anslutningar stabilt och tillförlitligt.

Om problemet ändå kvarstår kan det vara bra att samla loggar med TCPDump för analys och skicka dem till oss eller till Sophos Support för vidare hjälp.

Ytterligare hjälp

Om IPsec-felsökningen på Sophos Firewall fortfarande är svår finns det fler resurser som kan vara användbara:

Dessa källor ger värdefull kontext och kan hjälpa till att lösa mer svårfångade problem med IPsec-anslutningar.