Fehlerbehebung bei einem flatternden VPN-Tunnel
Problem
Beschreibung
Site-to-Site-VPN-Tunnel oder Remote-IPsec-VPN-Tunnel-Flapping (d. h. schnelles Auf- und Abschalten).
Diagnose
Betrifft das Problem nur ein VPN?
Ja: Überprüfen Sie die Systemprotokolle und fahren Sie mit Schritt 2 fort. Verwenden Sie den
show log messagesBefehl, um die Protokolle anzuzeigen. Sie müssen die Protokollierung auf Informationsebene aktivieren, damit Nachrichten korrekt gemeldet werden.user@host # set system syslog file messages any infoHier sind Beispiele für Systemprotokolle, die einen flatternden VPN-Tunnel melden:
VPN up/down events:
Jul 9 21:07:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2 is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:08:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2 is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:09:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2 is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:10:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2 is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4
Unstable VPN behavior (VPN constantly rebuilding):
Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0xfd91b643, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0xbdec9669, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:44:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0x69b34ae4, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:44:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0x6f55d8ea, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:45:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0x6fa6b0b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:45:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0xa66ac906, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
-
Nein: Wenn das Problem bei allen konfigurierten VPNs auftritt, untersuchen Sie die Fehler im Zusammenhang mit der Internetverbindung sowie bei der Firewall und den Switch-Schnittstellen der SRX-Serie. Führen Sie den
show interfaces extensiveBefehl aus, um die Schnittstelle der Firewall der SRX-Serie auf Fehler zu überprüfen.
-
Vergewissern Sie sich mithilfe des
show configuration security ipsec vpn vpn-nameBefehls, dass der VPN-Monitor für dieses VPN aktiviert ist.Ist VPN Monitor aktiviert?
-
Ja: Fahren Sie mit Schritt 3 fort.
-
Nein: Fahren Sie mit Schritt 5 fort.
-
-
Deaktivieren Sie den VPN-Monitor und überprüfen Sie das VPN.
user@host# deactivate security ipsec vpn vpn-name vpn-monitoruser@host# commitIst das VPN stabil?
-
Ja: Die Instabilität hängt mit der Konfiguration des VPN-Monitors zusammen. Fahren Sie mit Schritt 4 fort.
-
Nein: Fahren Sie mit Schritt 5 fort.
-
-
Ist die Remote-VPN-Verbindung so konfiguriert, dass ICMP-Echoanforderungen blockiert werden?
-
Ja: Aktivieren Sie VPN Monitor erneut und konfigurieren Sie es neu, um die Optionen für die Quellschnittstelle und die Ziel-IP zu verwenden. Siehe KB10119.
-
Nein: Fahren Sie mit Schritt 5 fort.
-
-
Handelt es sich bei dem Remote-Gerät, das mit der Firewall der SRX-Serie verbunden ist, um ein Nicht-Juniper-Gerät?
-
Ja: Überprüfen Sie den proxy-id Wert auf der Firewall der SRX-Serie und dem Peer-VPN-Gerät.
-
Nein: Fahren Sie mit Schritt 6 fort.
-
-
War das VPN eine Zeit lang stabil und ging dann rauf und runter?
-
Ja: Untersuchen Sie, ob Netzwerk- oder Geräteänderungen vorliegen oder ob der Umgebung neue Netzwerkgeräte hinzugefügt wurden.
-
Nein: Sammeln Sie Site-to-Site-Protokolle von den VPN-Geräten an beiden Enden und eröffnen Sie einen Fall bei Ihrem technischen Supportmitarbeiter. Weitere Informationen finden Sie unter Datenerfassung für den Kundensupport.
-