Como analisar as mensagens de status de VPN da Fase 2 do IKE
Problema
Descrição
Analise e analise as mensagens de status de VPN relacionadas a problemas causados por uma Fase 2 de IKE inativa.
Sintomas
A Fase 2 do IKE não está ativa.
A show security ipsec security-associations saída de comando não lista o endereço remoto da VPN.
Solução
A melhor maneira de solucionar problemas da Fase 2 do IKE é analisando as mensagens de status vpn do firewall de resposta.
O firewall de resposta é o lado receptor da VPN que recebe as solicitações de configuração do túnel. O firewall de iniciação é o lado iniciador da VPN que envia as solicitações iniciais de configuração do túnel.
Usando o CLI, configure um arquivo de syslog, kmd-logspara logs de status de VPN no firewall de resposta.
Veja KB10097-Como configurar o syslog para exibir mensagens de status de VPN. Ao criar o túnel VPN, as mensagens são capturadas.ldm-logs
Usando a CLI, verifique se há mensagens de erro da Fase 2: show log kmd-logs
Mensagens de saída de exemplo:
Message: Jul 10 16:14:30 210-2 kmd[52472]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.10.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=10.10.10.0/24)] for local ip: 2.2.2.1, remote peer ip:2.2.2.2
Significado — a identidade de proxy do dispositivo peer não corresponde à identidade de proxy local.
Ação — a ID por proxy deve ser um reverso exato do ID proxy configurado do peer. Veja KB10124 - Como corrigir o erro da Fase 2: Falha em combinar os IDs de proxy de peer.
Message: Jul 16 21:14:20 kmd[1456]: IKE Phase-2 Failure: Quick mode - no proposal chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2] Jul 16 21:14:20 kmd[1456]: KMD_VPN_PV_PHASE2: IKE Phase-2 Failure: Quick mode - no proposal chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2] Jul 16 21:14:20 kmd[1456]: IKE Phase-2: Negotiations failed. Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2
Significado — o dispositivo que executa o Junos OS não aceitou nenhuma das propostas da Fase 2 do IKE que o peer IKE especificado enviou.
Ação — Verifique os elementos locais de configuração de VPN da Fase 2. Os elementos da proposta da Fase 2 incluem:
Algoritmo de autenticação
Algoritmo de criptografia
Kilobytes vitalícios
Segundos de vida útil
Protocolo
Sigilo perfeito de envio
Você pode alterar a configuração local para aceitar pelo menos uma das propostas de Fase 2 do peer remoto, ou entrar em contato com o administrador do peer remoto e organizar as configurações de IKE em ambas as extremidades do túnel para usar pelo menos uma proposta de Fase 2 mutuamente aceitável.
Mensagens de saída de exemplo:
IPsec proposal mismatch
Message: Sep 7 09:26:57 kmd[1393]: IKE negotiation failed with error: No proposal chosen. IKE Version: 1, VPN: vpn1 Gateway: ike-gw, Local: 10.10.10.1/500, Remote: 10.10.10.2/500, Local IKE-ID: 10.10.10.1, Remote IKE-ID: 10.10.10.2, VR-ID: 0
Nota:Se
Local IKE-IDeRemote IKE-IDfor exibido comoNot-Available, então é uma mensagem de falha da Fase 1. Veja KB30548 — Mensagens de status VPN da Fase 1 do IKE em 12.1X44 e versões posteriores.Ação — Verifique os elementos locais de configuração de VPN da Fase 2. Os elementos da proposta da Fase 2 incluem:
Algoritmo de autenticação
Algoritmo de criptografia
Kilobytes vitalícios
Segundos de vida útil
Protocolo
Sigilo perfeito de envio
Proxy-ID mismatch
Mensagens de saída de exemplo:
Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local ip: 10.10.10.2, remote peer ip:10.10.10.1
Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local ip: 10.10.10.2, remote peer ip:10.10.10.1
Ação — a ID por proxy deve ser uma correspondência inversa exata do ID proxy configurado do peer. Veja KB10124 - Como corrigir o erro da Fase 2: Falha em combinar os IDs de proxy de peer.
Se a conexão VPN for estabelecida com sucesso, você poderá ver as seguintes mensagens no syslog:
Sep 10 08:35:03 kmd[1334]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.2, Remote gateway: 10.10.10.1, Local ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Direction: inbound, SPI: 0x4b23e914, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Sep 10 08:35:03 kmd[1334]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.2, Remote gateway: 10.10.10.1, Local ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Direction: outbound, SPI: 0xa90982b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Sep 10 08:35:03 kmd[1334]: KMD_VPN_UP_ALARM_USER: VPN test_vpn from 10.10.10.1 is up. Local-ip: 10.10.10.2, gateway name: ike-gw, vpn name: vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: Not-Available, Local IKE-ID: 10.10.10.2, Remote IKE-ID: 10.10.10.1, XAUTH username: Not-Applicable, VR id: 0
Sep 9 06:57:34 kmd[1393]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.1, Remote gateway: 10.10.10.2, Local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Direction: inbound, SPI: 0xa90982b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic, Traffic-selector: Sep 9 06:57:34 kmd[1393]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.1, Remote gateway: 10.10.10.2, Local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Direction: outbound, SPI: 0x4b23e914, AUX-SPI: 0, Mode: Tunnel, Type: dynamic, Traffic-selector: Sep 9 06:57:34 kmd[1393]: KMD_VPN_UP_ALARM_USER: VPN test_vpn from 10.10.10.2 is up. Local-ip: 10.10.10.1, gateway name: ike-gw, vpn name: vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: Not-Available, Local IKE-ID: 10.10.10.1, Remote IKE-ID: 10.10.10.2, XAUTH username: Not-Applicable, VR id: 0, Traffic-selector: , Traffic-selector local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Traffic-selector remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24)ze: 12px;">IPsec Proposal mismatch
Se não puder localizar nenhuma mensagem da Fase 2, siga para a etapa 4.
Usando a CLI, analise as propostas da Fase 2 e confirme que a configuração corresponde às propostas da Fase 2 configuradas pelo peer: show security ipsec
show security ipsec proposal ipsec-phase2-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-128-cbc; } policy ipsec-phase2-policy { perfect-forward-secrecy { keys group2; } proposals ipsec-phase2-proposal; } vpn ike-vpn-srx1 { vpn-monitor; ike { gateway gw-srx1; ipsec-policy ipsec-phase2-policy; } }Se o problema persistir, para abrir um caso da JTAC com a equipe de suporte da Juniper Networks, consulte a coleta de dados para suporte ao cliente para os dados que você deve coletar para ajudar na solução de problemas antes de abrir um caso da JTAC.