Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

So analysieren Sie IKE Phase 2 VPN-Statusmeldungen

Problem

Beschreibung

Prüfen und analysieren Sie VPN-Statusmeldungen in Bezug auf Probleme, die durch eine inaktive IKE Phase 2 verursacht werden.

Symptome

  • IKE Phase 2 ist nicht aktiv.

  • Die show security ipsec security-associations Befehlsausgabe listet nicht die Remoteadresse des VPN auf.

Lösung

Die beste Methode zur Fehlerbehebung IKE Phase 2 ist die Überprüfung der VPN-Statusmeldungen der Responder Firewall.

Die Responder-Firewall ist die Empfängerseite des VPNs, die die Tunnel-Einrichtungsanforderungen empfängt. Die Firewall von Firewalls ist die Firewall auf der Rechten seite des VPNs, die die ersten Tunnel-Einrichtungsanfragen sendet.

  1. Konfigurieren Sie CLI Syslog-Datei kmd-logs für VPN-Statusprotokolle in der Responder-Firewall.

    Siehe KB10097-How to configure syslog to display VPN status messages ( So konfigurieren Sie syslog, um VPN-Statusmeldungen anzuzeigen). Beim Einrichten des VPN-Tunnels werden die Nachrichten in ldm-logs erfasst.

  2. Prüfen Sie CLI Fehlermeldungen in Phase 2: show log kmd-logs

    Beispiel-Ausgabemeldungen:

      • Das heißt, das von Junos OS akzeptierte keines der Angebote IKE Phase 2, die der angegebene peer IKE verschickte.

      • Aktion: Überprüfen Sie die lokalen Elemente der VPN-Konfiguration in Phase 2. Die Elemente der Phase 2-Angebot umfassen folgende:

        • Authentifizierungsalgorithmus

        • Verschlüsselungsalgorithmus

        • Lebenslanges KB

        • Lebensdauer(en) Sekunden

        • Protokoll

        • Absolute Geheimhaltung bei Weiterleitung

      Sie können die lokale Konfiguration ändern, um mindestens einen Vorschlag für Phase 2 des Remote-Peers zu akzeptieren, oder den Administrator des Remote-Peers kontaktieren und an beiden Enden des Tunnels die IKE-Konfigurationen organisieren, um mindestens einen für beide Seiten akzeptablen Phase 2-Vorschlag zu nutzen.

    Beispiel-Ausgabemeldungen:

    • IPsec proposal mismatch

      • Anmerkung:

        Wenn sie als angezeigt wird, dann handelt es sich um eine Fehlernachricht in Local IKE-IDRemote IKE-ID Phase Not-Available 1. Siehe KB30548 - IKE 1 VPN-Statusmeldungen in 12.1X44 und späteren Versionen.

        Aktion: Überprüfen Sie die lokalen Elemente der VPN-Konfiguration in Phase 2. Die Elemente der Phase 2-Angebot umfassen folgende:

        • Authentifizierungsalgorithmus

        • Verschlüsselungsalgorithmus

        • Lebenslanges KB

        • Lebensdauer(en) Sekunden

        • Protokoll

        • Absolute Geheimhaltung bei Weiterleitung

    • Proxy-ID mismatch

      Beispiel-Ausgabemeldungen:

    Wenn die VPN-Verbindung erfolgreich eingerichtet wurde, werden die folgenden Meldungen im Syslog angezeigt:

  3. Wenn Sie keine Phase-2-Nachrichten finden konnten, fahren Sie mit Schritt 4 fort.

  4. Prüfen Sie CLI Angebote für Phase 2, und bestätigen Sie, dass die Konfiguration den vom Peer konfigurierten Phase-2-Angebote entspricht: show security ipsec

  5. Falls das Problem weiterhin besteht, können Sie einen JTAC-Fall https://www.juniper.net/documentation/en_US/release-independent/junos/topics/task/operational/data-collection-for-jtac.html mit dem Juniper Networks-Supportteam eröffnen. Weitere Informationen zur Datenerfassung für Kundensupport erhalten Sie, um Sie bei der Fehlerbehebung zu unterstützen, bevor Sie einen JTAC-Fall eröffnen.