Fehlerbehebung bei einem VPN, das zwar aktiv ist, aber keinen Datenverkehr weiterleitet
Problem
Beschreibung
Das VPN ist aktiv, aber es gibt keinen fließenden Datenverkehr in eine oder beide Richtungen.
Dieses Thema hilft bei der Behandlung von Problemen, die verhindern können, dass Datenverkehr durch einen aktiven VPN-Tunnel geleitet wird.
Infrastruktur
VPN
Lösung
Überprüfen Sie, ob die VPN-Sicherheitszuordnung (SA) aktiv ist: show security ipsec security-associations
user@CORPORATE> show security ipsec security-associations total configured sa: 1 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0 >32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0
Wenn das VPN-Gateway aufgeführt ist, ist der Tunnel aufgebaut und aktiv. Die Ausgabe zeigt zwei Zeilen für jeden VPN-Tunnel an, in denen die SPI-Informationen für jede Richtung des Datenverkehrs angezeigt werden.
Das Feld wird von der VPN-Überwachung verwendet, um den Status des Tunnels anzuzeigen, und hat einen der folgenden Werte:
MON- (Bindestrich): Der VPN-Tunnel ist aktiv, und die optionale VPN-Überwachungsfunktion ist nicht konfiguriert.
U (nach oben): Der VPN-Tunnel ist aktiv und die Verbindung (die durch den VPN-Monitor erkannt wurde) ist verfügbar.
D (nach unten): Der VPN-Tunnel ist aktiv und die Verbindung (die durch den VPN-Monitor erkannt wird) ist unterbrochen.
Yes Der Status der IPsec-Sicherheitszuordnung ist aktiv oder aktiv. Fahren Sie mit Schritt fort.2
No Der Status der IPsec-Sicherheitszuordnung ist ausgefallen. Weitere Informationen finden Sie unter Fehlerbehebung bei einem VPN-Tunnel, der ausgefallen oder nicht aktiv ist.https://kb.juniper.net/InfoCenter/index?page=content&id=kb10100&actp=METADATA
Überprüfen Sie, ob das VPN die Loopback-Schnittstelle lo0 als externe Schnittstelle verwendet: show configuration security ike
root> show configuration security ike policy ike_pol { proposal-set compatible; pre-shared-key ascii-text "$9$tMwDuIESreWX7yr4aGDkqIEhcvWbs2"; } gateway gate1 { ike-policy ike_pol; address 10.10.10.2; external-interface lo0.0; }Überprüfen Sie, ob sich die Ausgangsschnittstelle (physische Schnittstelle) und lo0, die als externe VPN-Schnittstelle verwendet werden, in derselben Sicherheitszone befinden.
Yes Fahren Sie mit Schritt fort.4
No Aktualisieren Sie die Sicherheitszonenzuweisungen, sodass sich sowohl die externe VPN-Schnittstelle als auch die physische Ausgangsschnittstelle in derselben Sicherheitszone befinden. Weitere Informationen finden Sie unter Datenverkehrsverlust, wenn IPSec-VPN auf der Loopback-Schnittstelle beendet wird.https://kb.juniper.net/InfoCenter/index?page=content&id=KB22129&actp=METADATA
Wenn es sich bei Ihrem VPN um ein routenbasiertes VPN handelt, fahren Sie mit Schritt fort.5 Fahren Sie mit Schritt fort, wenn es sich um ein richtlinienbasiertes VPN handelt.8 Weitere Informationen finden Sie unter Was ist der Unterschied zwischen einem richtlinienbasierten VPN und einem routenbasierten VPN?https://kb.juniper.net/InfoCenter/index?page=content&id=kb10105&actp=METADATA
Prüfen Sie, ob dem Remote-Netzwerk über die st0-Schnittstelle eine Route zugewiesen ist: show route remote network
root@siteA > show route 192.168.20.10 inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.168.2.0/24 *[ARI-TS/5] 00:00:53 > via st0.0 <----------Yes Fahren Sie mit Schritt fort.6
No Weisen Sie dem Remote-Netzwerk über die st0-Schnittstelle eine Route zu. Weitere Informationen finden Sie unter Routenbasiertes VPN ist aktiv, leitet aber keinen Datenverkehr weiter. Fehlt eine Route?.
HINWEIS:Wenn Sie ein dynamisches Routing-Protokoll wie BGP oder OSPF verwenden, überprüfen Sie das Routing-Protokoll.
Überprüfen Sie basierend auf der Route, die dem Remote-Netzwerk in Schritt zugewiesen ist, ob das VPN auf die richtige st0-Schnittstelle verweist:5 show security ike Und show security ipsec
Überprüfen Sie zunächst das IKE-Gateway mit dem Befehl.show security ike
root@siteA # show security ike ... gateway gw-siteB { <--------- ike-policy ike-phase1-policy; address 2.2.2.2; external-interface ge-0/0/3.0; }Überprüfen Sie das IPsec-VPN für dieses IKE-Gateway mit dem Befehl und überprüfen Sie in der Ausgabe, ob es auf die Schnittstelle verweist.show security ipsec
bind-interfacest0In diesem Beispiel verweist das VPN auf die Schnittstelle.
ike-vpn-siteBst0.0root@siteA # show security ipsec ... vpn ike-vpn-siteB { bind-interface st0.0; ike { gateway gw-siteB; <--------- proxy-identity { local 192.168.2.0/24; remote 192.168.1.0/24; service any; } ipsec-policy ipsec-phase2-policy; } establish-tunnels immediately; }
Yes Fahren Sie mit Schritt fort.7
No VPN verweist nicht auf die richtige st0-Schnittstelle. Löschen Sie die aktuelle Route, und fügen Sie die Route der richtigen st0-Schnittstelle hinzu. Weitere Informationen finden Sie unter Routenbasiertes VPN ist aktiv, leitet aber keinen Datenverkehr weiter. Fehlt eine Route?.
Überprüfen Sie, ob es eine Sicherheitsrichtlinie gibt, die Datenverkehr von der internen Zone zur Sicherheitszone st0 zulässt: show security policies
Yes Fahren Sie mit Schritt fort.8
No Erstellen Sie die entsprechende Sicherheitsrichtlinie und testen Sie das VPN erneut. Weitere Informationen finden Sie unter Konfigurieren einer Richtlinie für ein routenbasiertes VPN.https://kb.juniper.net/InfoCenter/index?page=content&id=KB9514
Überprüfen Sie, ob es eine Sicherheitsrichtlinie für den VPN-Tunnel gibt, um Datenverkehr zuzulassen: show security policies
root@siteA# show security policies ... from-zone trust to-zone untrust { policy vpn_egress { match { source-address local-net; destination-address remote-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } } from-zone untrust to-zone trust { policy vpn_ingress { match { source-address remote-net; destination-address local-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } }Yes Fahren Sie mit Schritt fort.9
No Überprüfen Sie die richtlinienbasierte VPN-Konfiguration. Weitere Informationen finden Sie unter Richtlinienbasiertes Site-to-Site-VPN .https://kb.juniper.net/InfoCenter/index?page=content&id=TN107&actp=METADATA
Überprüfen Sie, ob der Datenverkehr mit den in Schritt oder Schritt identifizierten Richtlinien übereinstimmt:78 show security flow session source prefix source address destination prefix destination address
root@siteA> show security flow session source-prefix 192.168.2.0/24 destination-prefix 192.168.1.0/24 Session ID: 5801, Policy name: AtoB/2, Timeout: 1790, Valid In: 192.168.2.222/1 --> 192.168.1.13/23053;icmp, If: fe-0/0/2.0, Pkts: 59878, Bytes: 4602292 Out: 192.168.1.13/23053 --> 192.168.2.222/1;icmp, If: st0.0, Pkts: 52505, Bytes: 4189289
Yes Fahren Sie mit Schritt fort.10
No Überprüfen Sie die Reihenfolge der Sicherheitsrichtlinien: show security match policies. Weitere Informationen finden Sie unter Grundlegendes zur Reihenfolge von Sicherheitsrichtlinien.https://www.juniper.net/documentation/en_US/junos/topics/topic-map/security-reordering-policies.html#id-understanding-security-policy-ordering
Wenn die Reihenfolge korrekt ist, finden Sie weitere Informationen unter Fehlerbehebung bei einer Sicherheitsrichtlinie, die keine Daten übergibt.https://kb.juniper.net/InfoCenter/index?page=content&id=kb10113&actp=METADATA
HINWEIS:Wenn nur der Zähler in ausgehender Richtung der Sitzung inkrementiert wird, überprüfen Sie mit dem VPN-Peer, ob der Datenverkehr empfangen wird.
pktsDies dient dazu, die Paketzähler auf dem VPN-Peer, mit dem dieser Tunnel gebildet wird, zu überprüfen, um festzustellen, ob das andere Ende die Pakete empfängt.
Erfassen Sie Protokolle und Flow-Trace-Optionen und eröffnen Sie einen Fall beim Support-Team von Juniper Networks:
Weitere Informationen finden Sie in den Abschnitten IPsec-VPN, richtlinienbasiert oder routenbasiertes VPN unter Checkliste für die Datenerfassung – Protokolle/Daten, die für die Fehlerbehebung erfasst werden sollen.https://kb.juniper.net/InfoCenter/index?page=content&id=kb21781#IpsecRouteBased
Weitere Informationen zu Flow-Trace-Optionen finden Sie unter Verwenden von "Flow-Trace-Optionen" und "security datapath-debug".https://kb.juniper.net/InfoCenter/index?page=content&id=kb16233&actp=METADATA&act=login
Informationen zum Eröffnen eines JTAC-Falls beim Support-Team von Juniper Networks finden Sie unter Datenerfassung für den Kundensupport. Die Daten, die Sie zur Unterstützung der Fehlerbehebung erfassen sollten, bevor Sie einen JTAC-Fall eröffnen, finden Sie unter Datenerfassung für den Kundensupport .https://www.juniper.net/documentation/en_US/release-independent/junos/topics/task/operational/data-collection-for-jtac.html