Fehlerbehebung bei einem vpn, das eingerichtet ist, aber keinen Datenverkehr weiter gibt
Problem
Beschreibung
Das VPN ist eingerichtet, aber es gibt keinen Datenverkehr in einer oder in beiden Richtungen.
Dieses Thema erleichtert die Fehlerbehebung bei Problemen, die verhindern können, dass der Datenverkehr einen aktiven VPN-Tunnel passieren kann.
Infrastruktur
VPN
Lösung
Überprüfen Sie, ob die VPN Security Association (SA) aktiv ist: show security ipsec security-associations
user@CORPORATE> show security ipsec security-associations total configured sa: 1 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0 >32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0
Wenn das VPN-Gateway aufgelistet ist, wird der Tunnel eingerichtet und ist eingerichtet. Die Ausgabe zeigt zwei Zeilen für jeden VPN-Tunnel an, in dem die SPI-Informationen für jede Datenverkehrsrichtung angezeigt werden.
Das
MONFeld wird von der VPN-Überwachung verwendet, um den Status des Tunnels anzuzeigen, und verfügt über einen der folgenden Werte:- (Bindestrich): Der VPN-Tunnel ist aktiv, und die optionale VPN-Überwachung wird nicht konfiguriert.
U (up): Der VPN-Tunnel ist aktiv, und die Verbindung (die über den VPN-Monitor erkannt wird) ist aktiv.
D (unten): Der VPN-Tunnel ist aktiv, und die Verbindung (die über den VPN-Monitor erkannt wird) ist geschlossen.
Yes: Der IPsec-SA-Status ist aktiv oder aktiv. Fahren Sie mit Schritt 2 fort.
No: Der IPsec-SA-Status ist geschlossen. Erfahren Sie, wie Sie einen vpn-Tunnelbeheben, der aus- oder nicht aktiv ist.
Prüfen Sie, ob das VPN die Loopback Interface Lo0 als externe Schnittstelle verwendet: show configuration security ike
root> show configuration security ike policy ike_pol { proposal-set compatible; pre-shared-key ascii-text "$9$tMwDuIESreWX7yr4aGDkqIEhcvWbs2"; } gateway gate1 { ike-policy ike_pol; address 10.10.10.2; external-interface lo0.0; }Prüfen Sie, ob die Ausgangsschnittstelle (physische Schnittstelle) und lo0, die als externe VPN-Schnittstelle verwendet werden, sich in der gleichen Sicherheitszone befinden.
Yes: Fahren Sie mit Schritt 4 fort.
No: Aktualisieren Sie die Zuweisungen von Sicherheitszonen, sodass sich sowohl die externe VPN-Schnittstelle als auch die physische Ausgangsschnittstelle in der gleichen Sicherheitszone befinden. Siehe Datenverkehrsverlust, wenn IPSec-VPN auf der Loopbackschnittstelle beendet wird.
Wenn Ihr VPN ein Routen-VPN ist, gehen Sie mit Schritt 5 fort. Gehen Sie mit schritt 8 fort, wenn es sich um ein richtlinienbasiertes VPN handelt. Was ist der Unterschied zwischen einem richtlinienbasierten VPN und einem routenbasierten VPN?
Prüfen Sie, ob einer Route über die ST0-Schnittstelle eine Route dem Remotenetzwerk zugewiesen wird: show route remote network
root@siteA > show route 192.168.20.10 inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.168.2.0/24 *[Static/5] 00:00:53 > via st0.0 <----------Yes: Fahren Sie mit Schritt 6 fort.
No: Weisen Sie dem Remote-Netzwerk über die ST0-Schnittstelle eine Route zu. Sehen Sie, dass routenbasiertes VPN eingerichtet ist, aber keinen Datenverkehr weiter gibt. Fehlt eine Route?
Anmerkung:Wenn Sie ein dynamisches Routingprotokoll wie Routing BGP oder OSPF verwenden, überprüfen Sie das Routing-Protokoll.
Stellen Sie anhand der dem Remotenetzwerk in Schritt zugewiesenen Route sicher, ob das VPN auf die 5 richtige st0-Schnittstelle weist: show security ike und show security ipsec
Prüfen Sie zunächst das IKE-Gateway mit dem show security ike Befehl.
root@siteA # show security ike ... gateway gw-siteB { <--------- ike-policy ike-phase1-policy; address 2.2.2.2; external-interface ge-0/0/3.0; }Überprüfen Sie das IPSec-VPN für dieses IKE-Gateway mit dem Befehl, und prüfen Sie bei der Ausgabe, ob show security ipsec auf die Schnittstelle verweisen
bind-interfacest0wird.In diesem Beispiel zeigt das VPN
ike-vpn-siteBauf diest0.0Schnittstelle.root@siteA # show security ipsec ... vpn ike-vpn-siteB { bind-interface st0.0; ike { gateway gw-siteB; <--------- proxy-identity { local 192.168.2.0/24; remote 192.168.1.0/24; service any; } ipsec-policy ipsec-phase2-policy; } establish-tunnels immediately; }
Yes: Fahren Sie mit Schritt 7 fort.
No: VPN verweisen nicht auf die richtige ST0-Schnittstelle. Löschen Sie die aktuelle Route, und fügen Sie die Route zur richtigen st0-Schnittstelle hinzu. Sehen Sie, dass routenbasiertes VPN eingerichtet ist, aber keinen Datenverkehr weiter gibt. Fehlt eine Route?
Stellen Sie sicher, ob es eine Sicherheitsrichtlinie gibt, die Datenverkehr von der internen Zone zur St0-Sicherheitszone ermöglicht: show security policies
Yes: Fahren Sie mit Schritt 8 fort.
No: Erstellen Sie die entsprechende Sicherheitsrichtlinie, und testen Sie das VPN erneut. Erfahren Sie, wie Sie eine Richtlinie für ein routenbasiertes VPN konfigurieren.
Prüfen Sie, ob eine Sicherheitsrichtlinie für VPN-Tunnel besteht, um Datenverkehr zu ermöglichen: show security policies
root@siteA# show security policies ... from-zone trust to-zone untrust { policy vpn_egress { match { source-address local-net; destination-address remote-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } } from-zone untrust to-zone trust { policy vpn_ingress { match { source-address remote-net; destination-address local-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } }Yes: Fahren Sie mit Schritt 9 fort.
No: Überprüfen Sie die richtlinienbasierte VPN-Konfiguration. Siehe richtlinienbasiertes Site-to-Site-VPN.
Prüfen Sie, ob der Datenverkehr in den in Schritt oder Schritt identifizierten Richtlinien 78 abgleicht: show security flow session source prefix source address destination prefix destination address
root@siteA> show security flow session source-prefix 192.168.2.0/24 destination-prefix 192.168.1.0/24 Session ID: 5801, Policy name: AtoB/2, Timeout: 1790, Valid In: 192.168.2.222/1 --> 192.168.1.13/23053;icmp, If: fe-0/0/2.0, Pkts: 59878, Bytes: 4602292 Out: 192.168.1.13/23053 --> 192.168.2.222/1;icmp, If: st0.0, Pkts: 52505, Bytes: 4189289
Yes: Fahren Sie mit Schritt 10 fort.
No: Die Reihenfolge der Sicherheitsrichtlinien überprüfen: show security match policies. Informationen zur Bestellung von Sicherheitsrichtlinien findenSie unter.
Wenn der Auftrag korrekt ist, finden Sie weitere Informationen unter Fehlerbehebung bei einer Sicherheitsrichtlinie, die keine Daten weiter gibt.
Anmerkung:Wenn nur der Zähler in Richtung der Sitzung erhöht wird, validieren Sie dann mit dem
pktsVPN-Peer, dass der Datenverkehr empfangen wird.Dies besteht in der Prüfung der Paketzähler im VPN-Peer, mit dem dieser Tunnel gebildet wird, um zu prüfen, ob die Pakete am anderen Ende empfangen werden.
Sammeln Sie Protokolle und Datenstrom-Trace-Optionen, und öffnen Sie einen Supportteam Juniper Networks Kunden:
Die IPSec-VPN-Richtlinien-basierten oder Routen-basierten VPN-Abschnitte finden Sie in der Checkliste für Datenerfassung – Protokolle/Daten, die für die Fehlerbehebung erfasst werden müssen.
Informationen zu Flow Trace-Optionen finden Sie unter Verwenden von "flow traceoptions" und "security datapath-debug".
Um einen JTAC-Fall mit dem Juniper Networks-Supportteam zu eröffnen, finden Sie in der Datenerfassung für Kundensupport die Daten, die Sie erfassen sollten, um Sie bei der Fehlerbehebung zu unterstützen, bevor Sie einen JTAC-Fall eröffnen.