Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Analyse von IKE Phase 2-VPN-Statusmeldungen

Problem

Beschreibung

Überprüfung und Analyse von VPN-Statusmeldungen in Zusammenhang mit Problemen, die durch eine inaktive IKE Phase 2 verursacht werden.

Symptome

  • IKE Phase 2 ist nicht aktiv.

  • Die show security ipsec security-associations Befehlsausgabe listet die Remoteadresse des VPN nicht auf.

Lösung

Die beste Methode zur Fehlerbehebung bei IKE Phase 2-Problemen ist die Überprüfung der VPN-Statusmeldungen der Responder-Firewall.

Die Responder-Firewall ist die Empfängerseite des VPN, die die Tunneleinrichtungsanforderungen empfängt. Die Initiator-Firewall ist die Initiatorseite des VPN, die die ersten Tunneleinrichtungsanforderungen sendet.

  1. Konfigurieren Sie mithilfe der CLI eine Syslog-Datei für kmd-logsVPN-Statusprotokolle auf der Responder-Firewall.

    Siehe KB10097-Konfiguration von syslog zur Anzeige von VPN-Statusmeldungen. Beim Hochholen des VPN-Tunnels werden die Nachrichten in ldm-logserfasst.

  2. Überprüfen Sie mithilfe der CLI auf Phase 2-Fehlermeldungen: show log kmd-logs

    Beispielausgabemeldungen:

      • Bedeutung: Das Gerät mit Junos OS hat keines der IKE Phase 2-Vorschläge akzeptiert, die der angegebene IKE-Peer gesendet hat.

      • Aktion: Überprüfen Sie die lokalen Phase 2-VPN-Konfigurationselemente. Die Vorschlagselemente der Phase 2 umfassen Folgendes:

        • Authentifizierungsalgorithmus

        • Verschlüsselungsalgorithmus

        • Lebenszeit-KB

        • Lebenszeitsensen

        • Protokoll

        • Absolute Geheimhaltung bei Weiterleitung

      Sie können die lokale Konfiguration ändern, um mindestens einen der Phase 2-Vorschläge des Remote-Peers zu akzeptieren, oder sich an den Administrator des Remote-Peers wenden und die IKE-Konfigurationen an beiden Enden des Tunnels so veranlassen, dass mindestens ein für beide Seiten akzeptabler Phase 2-Vorschlag verwendet wird.

    Beispielausgabemeldungen:

    • IPsec proposal mismatch

      • Anmerkung:

        Wenn Local IKE-ID und Remote IKE-ID als Not-Availableangezeigt werden, dann handelt es sich um eine Phase-1-Fehlernachricht. Siehe KB30548 – IKE Phase 1 VPN-Statusmeldungen in 12.1X44 und höher.

        Aktion: Überprüfen Sie die lokalen Phase 2-VPN-Konfigurationselemente. Die Vorschlagselemente der Phase 2 umfassen Folgendes:

        • Authentifizierungsalgorithmus

        • Verschlüsselungsalgorithmus

        • Lebenszeit-KB

        • Lebenszeitsensen

        • Protokoll

        • Absolute Geheimhaltung bei Weiterleitung

    • Proxy-ID mismatch

      Beispielausgabemeldungen:

    Wenn die VPN-Verbindung erfolgreich hergestellt wird, sehen Sie die folgenden Meldungen im Syslog:

  3. Wenn Sie keine Phase-2-Nachrichten finden konnten, fahren Sie mit Schritt 4fort.

  4. Überprüfen Sie mithilfe der CLI die Phase-2-Vorschläge und bestätigen Sie, dass die Konfiguration den vom Peer konfigurierten Phase-2-Vorschlägen entspricht: show security ipsec

  5. Wenn das Problem weiterhin besteht, um einen JTAC-Fall beim Supportteam von Juniper Networks zu öffnen, finden Sie unter Datenerfassung für den Kundensupport die Daten, die Sie sammeln sollten, um bei der Fehlerbehebung zu helfen, bevor Sie einen JTAC-Fall öffnen.