ISAKMP (IKE Phase 1) Status Messages.

Publicado por

Boa tarde, Pessoal.

Estados de Negociações do ISAKMP (IKE Fase 1)

O estado MM_WAIT_MSG pode ser uma excelente pista sobre por que um túnel não está se formando. Se o seu firewall estiver suspenso em um estado específico, analise este gráfico abaixo para descobrir onde, ao longo do caminho, a VPN está falhando.

ESTADOS DE ASA ISAKMP

Estes são os possíveis estados de negociação do ISAKMP em um firewall ASA. ISAKMP significa: A Associação de Segurança da Internet e o Protocolo de Gerenciamento de Chaves

  • MM_WAIT_MSG2 Iniciador Inicial DH chave pública enviada ao respondedor. Aguardando resposta de contato inicial do outro lado. O iniciador envia detalhes da política encr / hash / dh ike para criar um contato inicial. O iniciador esperará em MM_WAIT_MSG2 até ouvir o retorno de seu par. Se preso aqui, normalmente significa que a outra extremidade não está respondendo.Isso pode ser devido a nenhuma rota para o extremo remoto ou o extremo remoto não tem o ISAKMP ativado no lado externo ou o extremo remoto está desativado.
  • MM_WAIT_MSG3 Receiver Receiver está enviando de volta sua política IKE para o iniciador. O iniciador envia detalhes da política encr / hash / dh ike para criar um contato inicial. O iniciador esperará em MM_WAIT_MSG2 até ouvir o retorno de seu par. Os desligamentos aqui também podem ser causados ​​por incompatibilidade de fornecedores de dispositivos, um roteador com um firewall no caminho ou até incompatibilidade de versão do ASA.
  • MM_WAIT_MSG4 Initiator Initiator está enviando o hash da Pre-Shared-Key para seu par.Iniciador envia um hash do seu PSK. O iniciador permanecerá no MSG4 até receber um PSK de volta de seu par. Se o destinatário estiver faltando um grupo de túneis ou PSK, o iniciador permanecerá em MM_WAIT_MSG4
  • MM_WAIT_MSG5 Receiver Receiver está enviando seu hash PSK para seu par. O receptor ainda não verifica se os hashes PSK correspondem. Se o receptor tiver um grupo de túneis e PSK configurado para esse ponto, ele enviará o hash PSK para o peer. Se as PSKs não corresponderem, o receptor permanecerá em MM_WAIT_MSG5. Eu também vi o túnel parar aqui quando o NAT-T estava ligado quando ele precisava ser desligado.
  • MM_WAIT_MSG6 Initiator Initiator verifica se os hashes PSK correspondem. Se as chaves PSK corresponderem, o Iniciador se tornará MM_ACTIVE e informará ao receptor a correspondência. Se o PSK não corresponder, o iniciador permanecerá em MM_WAIT_MSG6.Eu também vi o túnel parar aqui quando o NAT-T estava ligado quando ele precisava ser desligado. No entanto, se o estado for para MSG6, o ISAKMP será reinicializado, o que significa que a fase 1 foi concluída, mas a fase 2 falhou. Verifique se as configurações IPSEC correspondem na fase 2 para que o túnel permaneça em MM_ACTIVE.
  • AM_ACTIVE / MM_ACTIVE As negociações do ISAKMP estão concluídas. Fase 1 foi concluída com sucesso.

PIX ISAKMP STATES

    • MM_NO_STATE

ISAKMP SA foi criado, mas nada mais aconteceu ainda.

    • MM_SA_SETUP

Os pares concordaram em parâmetros para o ISAKMP SA.

    • MM_KEY_EXCH

Os pares trocaram chaves públicas de Diffie-Hellman e geraram um segredo compartilhado. O ISAKMP SA não é autenticado.

    • MM_KEY_AUTH

O ISAKMP SA foi autenticado. Se o roteador iniciou esta troca, este estado transita imediatamente para QM_IDLE e uma troca de modo rápido começa.

    • AG_NO_STATE

O ISAKMP SA foi criado, mas nada mais aconteceu ainda.

    • AG_INIT_EXCH

Os pares fizeram a primeira troca no modo Agressivo, mas a SA não foi autenticada.

    • AG_AUTH

O ISAKMP SA foi autenticado. Se o roteador iniciou esta troca, este estado transita imediatamente para QM_IDLE e uma troca de modo rápido começa.

    • QM_IDLE

As negociações do ISAKMP estão concluídas. Fase 1 concluída com sucesso. Ele permanece autenticado com seu par e pode ser usado para trocas subsequentes do Modo rápido.

Solução de problemas de conexões VPN ISAKMP ou Phase 1

Ao solucionar problemas de VPNs, um problema muito comum é a fase 1 não se estabelecer corretamente. Aqui está uma folha de verificação rápida para garantir que você tenha a configuração correta.

  • Verifique se os parâmetros do ISAKMP correspondem exatamente.
  • Verifique se as chaves pré-compartilhadas correspondem exatamente.
  • Verifique se cada lado tem uma rota para o endereço de mesmo nível com o qual você está tentando formar um túnel.
  • Verifique se o ISAKMP está ativado nas interfaces externas.
  • O tráfego ESP é permitido através da interface externa?
  • A porta UDP 500 está aberta na ACL externa?

Algumas situações exigem que a porta UDP 4500 esteja aberta para o exterior

Fonte: https://www.tunnelsup.com

Até o próximo post!!!

 

 

 

Anúncios

2 comentários

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.