Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Fehlerbehebung bei einem vpn, das zwar aktiv ist, aber den Datenverkehr nicht weitergibt

Problem

Beschreibung

Das VPN ist aktiv, aber es gibt keinen Datenverkehr in eine oder beide Richtungen.

Dieses Thema hilft bei der Fehlerbehebung von Problemen, die verhindern könnten, dass Datenverkehr durch einen aktiven VPN-Tunnel geleitet wird.

Infrastruktur

VPN

Lösung

  1. Prüfen Sie, ob die VPN Security Association (SA) aktiv ist: show security ipsec security-associations

    Wenn das VPN-Gateway aufgeführt ist, wird der Tunnel eingerichtet und ist in Betrieb. Die Ausgabe zeigt zwei Zeilen für jeden VPN-Tunnel an, in denen die SPI-Informationen für jede Datenverkehrsrichtung angezeigt werden.

    Das MON Feld wird von der VPN-Überwachung verwendet, um den Status des Tunnels anzuzeigen, und hat einen der folgenden Werte:

    • - (Bindestrich): Der VPN-Tunnel ist aktiv, und die optionale VPN-Überwachungsfunktion ist nicht konfiguriert.

    • U (nach oben): Der VPN-Tunnel ist aktiv und die Verbindung (erkannt durch den VPN-Monitor) ist aktiv.

    • D (unten): Der VPN-Tunnel ist aktiv, und der Link (erkannt durch den VPN-Monitor) ist unterbrochen.

  2. Prüfen Sie, ob das VPN die Loopback-Schnittstelle lo0 als externe Schnittstelle verwendet: show configuration security ike

    • Yes: VPN verwendet die Loopback-Schnittstelle lo0 als externe Schnittstelle. Fahren Sie mit Schritt 3fort.

    • No: VPN verwendet die Loopback-Schnittstelle lo0 nicht als externe Schnittstelle. Fahren Sie mit Schritt 4fort.

  3. Prüfen Sie, ob sich die Ausgangsschnittstelle (physische Schnittstelle) und lo0, die als externe VPN-Schnittstelle verwendet werden, in derselben Sicherheitszone befinden.

  4. Wenn Es sich bei Ihrem VPN um ein routenbasiertes VPN handelt, fahren Sie mit Schritt 5fort. Fahren Sie mit Schritt 8 fort, wenn es sich um ein richtlinienbasiertes VPN handelt. Erfahren Sie , was ist der Unterschied zwischen einem richtlinienbasierten VPN und einem routenbasierten VPN?

  5. Prüfen Sie, ob eine Route dem Remote-Netzwerk über die st0-Schnittstelle zugewiesen ist: show route remote network

  6. Prüfen Sie anhand der Dem Remote-Netzwerk in Schritt 5zugewiesenen Route, ob das VPN auf die richtige st0-Schnittstelle zeigt: show security ike Und show security ipsec

    1. Überprüfen Sie zunächst das IKE-Gateway mit dem show security ike Befehl.

    2. Überprüfen Sie das IPsec-VPN für dieses IKE-Gateway mit dem show security ipsec Befehl, und überprüfen Sie in der Ausgabe, ob bind-interface auf die st0 Schnittstelle zeigt.

      In diesem Beispiel zeigt das VPN ike-vpn-siteB auf die st0.0 Schnittstelle.

  7. Prüfen Sie, ob es eine Sicherheitsrichtlinie gibt, die den Datenverkehr von der internen Zone zur Sicherheitszone st0 zulässt: show security policies

  8. Prüfen Sie, ob eine VPN-Tunnel-Sicherheitsrichtlinie für den Datenverkehr zulässig ist: show security policies

  9. Überprüfen Sie, ob der Datenverkehr in den in Schritt oder Schritt 78identifizierten Richtlinien übereinstimmt: show security flow session source prefix source address destination prefix destination address

  10. Sammeln Sie Protokolle und Ablaufverfolgungsoptionen und eröffnen Sie einen Fall mit dem Supportteam von Juniper Networks: