So analysieren Sie IKE Phase 2 VPN-Statusmeldungen
Problem
Beschreibung
Überprüfen und analysieren Sie VPN-Statusmeldungen im Zusammenhang mit Problemen, die durch ein inaktives IKE Phase 2 verursacht wurden.
Symptome
IKE Phase 2 ist nicht aktiv.
Die Befehlsausgabe listet die Remote-Adresse des VPN nicht auf.show security ipsec security-associations
Lösung
Der beste Weg, um die IKE-Phase 2-Probleme zu beheben, besteht darin, die VPN-Statusmeldungen der Responder-Firewall zu überprüfen.
Die Responder-Firewall ist die Empfängerseite des VPN, das die Tunneleinrichtungsanforderungen empfängt. Die Initiator-Firewall ist die Initiator-Seite des VPN, die die anfänglichen Tunnel-Einrichtungsanforderungen sendet.
Konfigurieren Sie mithilfe der CLI eine Syslog-Datei für VPN-Statusprotokolle in der Responder-Firewall.kmd-logs
Weitere Informationen finden Sie unter KB10097-So konfigurieren Sie Syslog für die Anzeige von VPN-Statusmeldungen.https://kb.juniper.net/InfoCenter/index?page=content&id=KB10097&actp=METADATA Wenn Sie den VPN-Tunnel aufrufen, werden die Nachrichten in erfasst.ldm-logs
Suchen Sie in der CLI nach Fehlermeldungen der Phase 2: show log kmd-logs
Beispiele für Ausgabemeldungen:
Message: Jul 10 16:14:30 210-2 kmd[52472]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.10.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=10.10.10.0/24)] for local ip: 2.2.2.1, remote peer ip:2.2.2.2
Bedeutung: Die Proxy-Identität des Peer-Geräts stimmt nicht mit der lokalen Proxy-Identität überein.
Aktion: Die Proxy-ID muss eine exakte Umkehrung der konfigurierten Proxy-ID des Peers sein. Siehe KB10124 - So beheben Sie den Phase-2-Fehler: Fehler beim Abgleich mit den Peerproxy-IDs.
Message: Jul 16 21:14:20 kmd[1456]: IKE Phase-2 Failure: Quick mode - no proposal chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2] Jul 16 21:14:20 kmd[1456]: KMD_VPN_PV_PHASE2: IKE Phase-2 Failure: Quick mode - no proposal chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2] Jul 16 21:14:20 kmd[1456]: IKE Phase-2: Negotiations failed. Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2
Bedeutung: Das Gerät, auf dem Junos OS ausgeführt wird, hat keinen der IKE-Phase-2-Vorschläge akzeptiert, die der angegebene IKE-Peer gesendet hat.
Aktion: Überprüfen Sie die lokalen Phase-2-VPN-Konfigurationselemente. Die Antragselemente der Phase 2 umfassen Folgendes:
Authentifizierungsalgorithmus
Verschlüsselungsalgorithmus
Kilobyte über die gesamte Lebensdauer
Sekunden auf Lebenszeit
Protokoll
Absolute Geheimhaltung bei Weiterleitung
Sie können die lokale Konfiguration so ändern, dass mindestens einer der Phase-2-Vorschläge des Remote-Peers akzeptiert wird, oder sich an den Administrator des Remote-Peers wenden und dafür sorgen, dass die IKE-Konfigurationen an beiden Enden des Tunnels mindestens einen für beide Seiten akzeptablen Phase-2-Vorschlag verwenden.
Beispiele für Ausgabemeldungen:
IPsec proposal mismatch
Message: Sep 7 09:26:57 kmd[1393]: IKE negotiation failed with error: No proposal chosen. IKE Version: 1, VPN: vpn1 Gateway: ike-gw, Local: 10.10.10.1/500, Remote: 10.10.10.2/500, Local IKE-ID: 10.10.10.1, Remote IKE-ID: 10.10.10.2, VR-ID: 0
HINWEIS:Wenn und als angezeigt werden, handelt es sich um eine Fehlermeldung der Phase 1.
Local IKE-ID
Remote IKE-ID
Not-Available
Siehe KB30548 – IKE Phase 1 VPN-Statusmeldungen in 12.1X44 und neueren Versionen.https://kb.juniper.net/InfoCenter/index?page=content&id=KB30548&actp=METADATAAktion: Überprüfen Sie die lokalen Phase-2-VPN-Konfigurationselemente. Die Antragselemente der Phase 2 umfassen Folgendes:
Authentifizierungsalgorithmus
Verschlüsselungsalgorithmus
Kilobyte über die gesamte Lebensdauer
Sekunden auf Lebenszeit
Protokoll
Absolute Geheimhaltung bei Weiterleitung
Proxy-ID mismatch
Beispiele für Ausgabemeldungen:
Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local ip: 10.10.10.2, remote peer ip:10.10.10.1
Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local ip: 10.10.10.2, remote peer ip:10.10.10.1
Aktion: Die Proxy-ID muss exakt mit der konfigurierten Proxy-ID des Peers übereinstimmen. Siehe KB10124 - So beheben Sie den Phase-2-Fehler: Fehler beim Abgleich mit den Peerproxy-IDs.
Wenn die VPN-Verbindung erfolgreich hergestellt wurde, sehen Sie die folgenden Meldungen im Syslog:
Sep 10 08:35:03 kmd[1334]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.2, Remote gateway: 10.10.10.1, Local ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Direction: inbound, SPI: 0x4b23e914, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Sep 10 08:35:03 kmd[1334]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.2, Remote gateway: 10.10.10.1, Local ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Direction: outbound, SPI: 0xa90982b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Sep 10 08:35:03 kmd[1334]: KMD_VPN_UP_ALARM_USER: VPN test_vpn from 10.10.10.1 is up. Local-ip: 10.10.10.2, gateway name: ike-gw, vpn name: vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: Not-Available, Local IKE-ID: 10.10.10.2, Remote IKE-ID: 10.10.10.1, XAUTH username: Not-Applicable, VR id: 0
Sep 9 06:57:34 kmd[1393]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.1, Remote gateway: 10.10.10.2, Local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Direction: inbound, SPI: 0xa90982b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic, Traffic-selector: Sep 9 06:57:34 kmd[1393]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.1, Remote gateway: 10.10.10.2, Local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Direction: outbound, SPI: 0x4b23e914, AUX-SPI: 0, Mode: Tunnel, Type: dynamic, Traffic-selector: Sep 9 06:57:34 kmd[1393]: KMD_VPN_UP_ALARM_USER: VPN test_vpn from 10.10.10.2 is up. Local-ip: 10.10.10.1, gateway name: ike-gw, vpn name: vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: Not-Available, Local IKE-ID: 10.10.10.1, Remote IKE-ID: 10.10.10.2, XAUTH username: Not-Applicable, VR id: 0, Traffic-selector: , Traffic-selector local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Traffic-selector remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24)ze: 12px;">IPsec Proposal mismatch
Wenn Sie keine Phase-2-Meldungen finden konnten, fahren Sie mit Schritt fort.4
Überprüfen Sie mithilfe der CLI die Vorschläge für Phase 2, und vergewissern Sie sich, dass die Konfiguration mit den vom Peer konfigurierten Vorschlägen für Phase 2 übereinstimmt: show security ipsec
show security ipsec proposal ipsec-phase2-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-128-cbc; } policy ipsec-phase2-policy { perfect-forward-secrecy { keys group2; } proposals ipsec-phase2-proposal; } vpn ike-vpn-srx1 { vpn-monitor; ike { gateway gw-srx1; ipsec-policy ipsec-phase2-policy; } }
Wenn das Problem weiterhin besteht, können Sie unter Datenerfassung für den Kundensupport die Daten erfassen, die Sie zur Unterstützung bei der Fehlerbehebung erfassen sollten, bevor Sie einen JTAC-Fall eröffnen, um einen JTAC-Fall zu eröffnen, um einen JTAC-Fall zu eröffnen.https://www.juniper.net/documentation/en_US/release-independent/junos/topics/task/operational/data-collection-for-jtac.html