Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

So analysieren Sie IKE Phase 2 VPN-Statusmeldungen

Problem

Beschreibung

Überprüfen und analysieren Sie VPN-Statusmeldungen im Zusammenhang mit Problemen, die durch ein inaktives IKE Phase 2 verursacht wurden.

Symptome

  • IKE Phase 2 ist nicht aktiv.

  • Die Befehlsausgabe listet die Remote-Adresse des VPN nicht auf.show security ipsec security-associations

Lösung

Der beste Weg, um die IKE-Phase 2-Probleme zu beheben, besteht darin, die VPN-Statusmeldungen der Responder-Firewall zu überprüfen.

Die Responder-Firewall ist die Empfängerseite des VPN, das die Tunneleinrichtungsanforderungen empfängt. Die Initiator-Firewall ist die Initiator-Seite des VPN, die die anfänglichen Tunnel-Einrichtungsanforderungen sendet.

  1. Konfigurieren Sie mithilfe der CLI eine Syslog-Datei für VPN-Statusprotokolle in der Responder-Firewall.kmd-logs

    Weitere Informationen finden Sie unter KB10097-So konfigurieren Sie Syslog für die Anzeige von VPN-Statusmeldungen.https://kb.juniper.net/InfoCenter/index?page=content&id=KB10097&actp=METADATA Wenn Sie den VPN-Tunnel aufrufen, werden die Nachrichten in erfasst.ldm-logs

  2. Suchen Sie in der CLI nach Fehlermeldungen der Phase 2: show log kmd-logs

    Beispiele für Ausgabemeldungen:

      • Bedeutung: Die Proxy-Identität des Peer-Geräts stimmt nicht mit der lokalen Proxy-Identität überein.

      • Aktion: Die Proxy-ID muss eine exakte Umkehrung der konfigurierten Proxy-ID des Peers sein. Siehe KB10124 - So beheben Sie den Phase-2-Fehler: Fehler beim Abgleich mit den Peerproxy-IDs.

      • Bedeutung: Das Gerät, auf dem Junos OS ausgeführt wird, hat keinen der IKE-Phase-2-Vorschläge akzeptiert, die der angegebene IKE-Peer gesendet hat.

      • Aktion: Überprüfen Sie die lokalen Phase-2-VPN-Konfigurationselemente. Die Antragselemente der Phase 2 umfassen Folgendes:

        • Authentifizierungsalgorithmus

        • Verschlüsselungsalgorithmus

        • Kilobyte über die gesamte Lebensdauer

        • Sekunden auf Lebenszeit

        • Protokoll

        • Absolute Geheimhaltung bei Weiterleitung

      Sie können die lokale Konfiguration so ändern, dass mindestens einer der Phase-2-Vorschläge des Remote-Peers akzeptiert wird, oder sich an den Administrator des Remote-Peers wenden und dafür sorgen, dass die IKE-Konfigurationen an beiden Enden des Tunnels mindestens einen für beide Seiten akzeptablen Phase-2-Vorschlag verwenden.

    Beispiele für Ausgabemeldungen:

    • IPsec proposal mismatch

      • HINWEIS:

        Wenn und als angezeigt werden, handelt es sich um eine Fehlermeldung der Phase 1.Local IKE-IDRemote IKE-IDNot-Available Siehe KB30548 – IKE Phase 1 VPN-Statusmeldungen in 12.1X44 und neueren Versionen.https://kb.juniper.net/InfoCenter/index?page=content&id=KB30548&actp=METADATA

        Aktion: Überprüfen Sie die lokalen Phase-2-VPN-Konfigurationselemente. Die Antragselemente der Phase 2 umfassen Folgendes:

        • Authentifizierungsalgorithmus

        • Verschlüsselungsalgorithmus

        • Kilobyte über die gesamte Lebensdauer

        • Sekunden auf Lebenszeit

        • Protokoll

        • Absolute Geheimhaltung bei Weiterleitung

    • Proxy-ID mismatch

      Beispiele für Ausgabemeldungen:

    Wenn die VPN-Verbindung erfolgreich hergestellt wurde, sehen Sie die folgenden Meldungen im Syslog:

  3. Wenn Sie keine Phase-2-Meldungen finden konnten, fahren Sie mit Schritt fort.4

  4. Überprüfen Sie mithilfe der CLI die Vorschläge für Phase 2, und vergewissern Sie sich, dass die Konfiguration mit den vom Peer konfigurierten Vorschlägen für Phase 2 übereinstimmt: show security ipsec

  5. Wenn das Problem weiterhin besteht, können Sie unter Datenerfassung für den Kundensupport die Daten erfassen, die Sie zur Unterstützung bei der Fehlerbehebung erfassen sollten, bevor Sie einen JTAC-Fall eröffnen, um einen JTAC-Fall zu eröffnen, um einen JTAC-Fall zu eröffnen.https://www.juniper.net/documentation/en_US/release-independent/junos/topics/task/operational/data-collection-for-jtac.html