Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Fehlerbehebung bei einem flatternden VPN-Tunnel

Problem

Beschreibung

Site-to-Site-VPN-Tunnel oder Remote-IPsec-VPN-Tunnel-Flapping (d. h. schnelles Auf- und Abschalten).

Diagnose

  1. Betrifft das Problem nur ein VPN?

    • Ja: Überprüfen Sie die Systemprotokolle und fahren Sie mit Schritt 2 fort. Verwenden Sie den Befehl, um die Protokolle anzuzeigen.show log messages Sie müssen die Protokollierung auf Informationsebene aktivieren, damit Nachrichten korrekt gemeldet werden.

      user@host # set system syslog file messages any info

      Hier sind Beispiele für Systemprotokolle, die einen flatternden VPN-Tunnel melden:

      VPN up/down events:

      Unstable VPN behavior (VPN constantly rebuilding):

    • Nein: Wenn das Problem bei allen konfigurierten VPNs auftritt, untersuchen Sie die Fehler im Zusammenhang mit der Internetverbindung sowie bei der Firewall und den Switch-Schnittstellen der SRX-Serie. Führen Sie den Befehl aus, um die Schnittstelle der Firewall der SRX-Serie auf Fehler zu überprüfen.show interfaces extensive

  2. Vergewissern Sie sich mithilfe des Befehls, dass der VPN-Monitor für dieses VPN aktiviert ist.show configuration security ipsec vpn vpn-name

    Ist VPN Monitor aktiviert?

    • Ja: Fahren Sie mit Schritt 3 fort.

    • Nein: Fahren Sie mit Schritt 5 fort.

  3. Deaktivieren Sie den VPN-Monitor und überprüfen Sie das VPN.

    Ist das VPN stabil?

    • Ja: Die Instabilität hängt mit der Konfiguration des VPN-Monitors zusammen. Fahren Sie mit Schritt 4 fort.

    • Nein: Fahren Sie mit Schritt 5 fort.

  4. Ist die Remote-VPN-Verbindung so konfiguriert, dass ICMP-Echoanforderungen blockiert werden?

    • Ja: Aktivieren Sie VPN Monitor erneut und konfigurieren Sie es neu, um die Optionen für die Quellschnittstelle und die Ziel-IP zu verwenden. Siehe KB10119.http://kb.juniper.net/KB10119

    • Nein: Fahren Sie mit Schritt 5 fort.

  5. Handelt es sich bei dem Remote-Gerät, das mit der Firewall der SRX-Serie verbunden ist, um ein Nicht-Juniper-Gerät?

    • Ja: Überprüfen Sie den Wert auf der Firewall der SRX-Serie und dem Peer-VPN-Gerät.proxy-id

    • Nein: Fahren Sie mit Schritt 6 fort.

  6. War das VPN eine Zeit lang stabil und ging dann rauf und runter?