Nesta página
Solucione problemas de um túnel VPN em chamas
Problema
Descrição
Túnel VPN de site para local ou flapping remoto de túnel VPN IPsec (ou seja, subindo e descendo em rápida sucessão).
Diagnóstico
O problema afeta apenas uma VPN?
Sim: Verifique os logs do sistema e siga para a Etapa 2. Use o comando para visualizar os logs.
show log messages
Você deve habilitar o registro em nível de informação para que as mensagens sejam relatadas corretamente.user@host # set system syslog file messages any info
Aqui estão exemplos de logs de sistema relatando um túnel VPN batendo:
VPN up/down events:
Jul 9 21:07:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2 is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:08:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2 is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:09:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2 is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:10:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2 is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4
Unstable VPN behavior (VPN constantly rebuilding):
Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0xfd91b643, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0xbdec9669, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:44:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0x69b34ae4, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:44:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0x6f55d8ea, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:45:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0x6fa6b0b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:45:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0xa66ac906, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
-
Não: Se o problema estiver em todas as VPNs configuradas, investigue os erros associados à conexão à Internet e nas interfaces de firewall e switch da Série SRX. Para verificar se há erros na interface de firewall da Série SRX, execute o comando.
show interfaces extensive
-
Verifique se o Monitor VPN está habilitado para esta VPN usando o comando.
show configuration security ipsec vpn vpn-name
O VPN Monitor está habilitado?
-
Sim: Prossiga para a etapa 3.
-
Não: Prossiga para a etapa 5.
-
-
Desativar o Monitor VPN e verificar a VPN.
user@host# deactivate security ipsec vpn vpn-name vpn-monitor
user@host# commit
A VPN está estável?
-
Sim: A instabilidade está relacionada à configuração do Vpn Monitor. Prossiga para a etapa 4.
-
Não: Prossiga para a etapa 5.
-
-
A conexão VPN remota está configurada para bloquear as solicitações de eco do ICMP?
-
Sim: Reencável e reconfigure o Monitor VPN para usar a interface de origem e as opções de IP de destino. Veja KB10119.http://kb.juniper.net/KB10119
-
Não: Prossiga para a etapa 5.
-
-
O dispositivo remoto que está conectado ao firewall da Série SRX é um dispositivo que não é da Juniper?
-
Sim: Verifique o valor no firewall da Série SRX e no dispositivo VPN peer.proxy-id
-
Não: Prossiga para a etapa 6.
-
-
A VPN ficou estável por um período de tempo e depois começou a subir e descer?
-
Sim: Investigue se houve alterações na rede ou nos dispositivos ou se algum novo equipamento de rede foi adicionado ao ambiente.
-
Não: Colete logs de site para local dos dispositivos VPN em ambas as extremidades e abra um caso com seu representante de suporte técnico. Veja a coleta de dados para o suporte ao cliente.https://www.juniper.net/documentation/en_US/release-independent/junos/topics/task/operational/data-collection-for-jtac.html
-