Fehlerbehebung bei einem vpn, das zwar aktiv ist, aber den Datenverkehr nicht weitergibt
Problem
Beschreibung
Das VPN ist aktiv, aber es gibt keinen Datenverkehr in eine oder beide Richtungen.
Dieses Thema hilft bei der Fehlerbehebung von Problemen, die verhindern könnten, dass Datenverkehr durch einen aktiven VPN-Tunnel geleitet wird.
Infrastruktur
VPN
Lösung
Prüfen Sie, ob die VPN Security Association (SA) aktiv ist: show security ipsec security-associations
user@CORPORATE> show security ipsec security-associations total configured sa: 1 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0 >32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0
Wenn das VPN-Gateway aufgeführt ist, wird der Tunnel eingerichtet und ist in Betrieb. Die Ausgabe zeigt zwei Zeilen für jeden VPN-Tunnel an, in denen die SPI-Informationen für jede Datenverkehrsrichtung angezeigt werden.
Das
MON
Feld wird von der VPN-Überwachung verwendet, um den Status des Tunnels anzuzeigen, und hat einen der folgenden Werte:- (Bindestrich): Der VPN-Tunnel ist aktiv, und die optionale VPN-Überwachungsfunktion ist nicht konfiguriert.
U (nach oben): Der VPN-Tunnel ist aktiv und die Verbindung (erkannt durch den VPN-Monitor) ist aktiv.
D (unten): Der VPN-Tunnel ist aktiv, und der Link (erkannt durch den VPN-Monitor) ist unterbrochen.
Yes: Der IPsec-SA-Status ist aktiv oder aktiv. Fahren Sie mit Schritt 2fort.
No: Der IPsec-SA-Status ist aus. Erfahren Sie , wie Sie die Fehlerbehebung für einen nicht aktiven oder nicht aktiven VPN-Tunnel beheben.
Prüfen Sie, ob das VPN die Loopback-Schnittstelle lo0 als externe Schnittstelle verwendet: show configuration security ike
root> show configuration security ike policy ike_pol { proposal-set compatible; pre-shared-key ascii-text "$9$tMwDuIESreWX7yr4aGDkqIEhcvWbs2"; } gateway gate1 { ike-policy ike_pol; address 10.10.10.2; external-interface lo0.0; }
Prüfen Sie, ob sich die Ausgangsschnittstelle (physische Schnittstelle) und lo0, die als externe VPN-Schnittstelle verwendet werden, in derselben Sicherheitszone befinden.
Yes: Fahren Sie mit Schritt 4fort.
No: Aktualisieren Sie die Sicherheitszonenzuweisungen, sodass sich sowohl die externe VPN-Schnittstelle als auch die physische Ausgangsschnittstelle in derselben Sicherheitszone befinden. Siehe Datenverkehrsverlust, wenn IPSec-VPN auf der Loopback-Schnittstelle beendet wird.
Wenn Es sich bei Ihrem VPN um ein routenbasiertes VPN handelt, fahren Sie mit Schritt 5fort. Fahren Sie mit Schritt 8 fort, wenn es sich um ein richtlinienbasiertes VPN handelt. Erfahren Sie , was ist der Unterschied zwischen einem richtlinienbasierten VPN und einem routenbasierten VPN?
Prüfen Sie, ob eine Route dem Remote-Netzwerk über die st0-Schnittstelle zugewiesen ist: show route remote network
root@siteA > show route 192.168.20.10 inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.168.2.0/24 *[ARI-TS/5] 00:00:53 > via st0.0 <----------
Yes: Fahren Sie mit Schritt 6fort.
No: Weisen Sie dem Remote-Netzwerk über die st0-Schnittstelle eine Route zu. Siehe Routenbasiertes VPN ist eingerichtet, aber datenverkehrsfrei. Fehlt eine Route?.
HINWEIS:Wenn Sie ein dynamisches Routing-Protokoll wie BGP oder OSPF verwenden, überprüfen Sie das Routingprotokoll.
Prüfen Sie anhand der Dem Remote-Netzwerk in Schritt 5zugewiesenen Route, ob das VPN auf die richtige st0-Schnittstelle zeigt: show security ike Und show security ipsec
Überprüfen Sie zunächst das IKE-Gateway mit dem show security ike Befehl.
root@siteA # show security ike ... gateway gw-siteB { <--------- ike-policy ike-phase1-policy; address 2.2.2.2; external-interface ge-0/0/3.0; }
Überprüfen Sie das IPsec-VPN für dieses IKE-Gateway mit dem show security ipsec Befehl, und überprüfen Sie in der Ausgabe, ob
bind-interface
auf diest0
Schnittstelle zeigt.In diesem Beispiel zeigt das VPN
ike-vpn-siteB
auf diest0.0
Schnittstelle.root@siteA # show security ipsec ... vpn ike-vpn-siteB { bind-interface st0.0; ike { gateway gw-siteB; <--------- proxy-identity { local 192.168.2.0/24; remote 192.168.1.0/24; service any; } ipsec-policy ipsec-phase2-policy; } establish-tunnels immediately; }
Yes: Fahren Sie mit Schritt 7fort.
No: VPN zeigt nicht auf die richtige st0-Schnittstelle. Löschen Sie die aktuelle Route, und fügen Sie die Route der richtigen st0-Schnittstelle hinzu. Siehe Routenbasiertes VPN ist eingerichtet, aber datenverkehrsfrei. Fehlt eine Route?.
Prüfen Sie, ob es eine Sicherheitsrichtlinie gibt, die den Datenverkehr von der internen Zone zur Sicherheitszone st0 zulässt: show security policies
Yes: Fahren Sie mit Schritt 8fort.
No: Erstellen Sie die entsprechende Sicherheitsrichtlinie und testen Sie das VPN erneut. So konfigurieren Sie eine Richtlinie für ein routenbasiertes VPN.
Prüfen Sie, ob eine VPN-Tunnel-Sicherheitsrichtlinie für den Datenverkehr zulässig ist: show security policies
root@siteA# show security policies ... from-zone trust to-zone untrust { policy vpn_egress { match { source-address local-net; destination-address remote-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } } from-zone untrust to-zone trust { policy vpn_ingress { match { source-address remote-net; destination-address local-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } }
Yes: Fahren Sie mit Schritt 9fort.
No: Überprüfen Sie die richtlinienbasierte VPN-Konfiguration. Siehe Richtlinienbasiertes Site-to-Site-VPN .
Überprüfen Sie, ob der Datenverkehr in den in Schritt oder Schritt 78identifizierten Richtlinien übereinstimmt: show security flow session source prefix source address destination prefix destination address
root@siteA> show security flow session source-prefix 192.168.2.0/24 destination-prefix 192.168.1.0/24 Session ID: 5801, Policy name: AtoB/2, Timeout: 1790, Valid In: 192.168.2.222/1 --> 192.168.1.13/23053;icmp, If: fe-0/0/2.0, Pkts: 59878, Bytes: 4602292 Out: 192.168.1.13/23053 --> 192.168.2.222/1;icmp, If: st0.0, Pkts: 52505, Bytes: 4189289
Yes: Fahren Sie mit Schritt 10fort.
No: Überprüfen Sie die Reihenfolge der Sicherheitsrichtlinien: show security match policies. Siehe Grundlegendes zur Reihenfolge von Sicherheitsrichtlinien.
Wenn die Reihenfolge korrekt ist, finden Sie informationen zur Fehlerbehebung bei einer Sicherheitsrichtlinie, die keine Daten weitergibt.
HINWEIS:Wenn nur der
pkts
Zähler in Richtung außerhalb der Sitzung steigt, überprüfen Sie mit dem VPN-Peer, dass der Datenverkehr empfangen wird.Dies besteht darin, die Paketzähler auf dem VPN-Peer, mit dem dieser Tunnel gebildet wird, zu überprüfen, um zu sehen, ob das andere Ende die Pakete empfängt.
Sammeln Sie Protokolle und Ablaufverfolgungsoptionen und eröffnen Sie einen Fall mit dem Supportteam von Juniper Networks:
Sehen Sie sich die IPsec-VPN-richtlinienbasierten oder routenbasierten VPN-Abschnitte in der Checkliste zur Datenerfassung – Protokolle/Daten für die Fehlerbehebung an.
Informationen zu Optionen zur Ablaufverfolgung finden Sie unter Verwendung von "Ablaufverfolgungsoptionen" und "Security DataPath-Debug".
Informationen zum Öffnen eines JTAC-Falles beim Supportteam von Juniper Networks finden Sie unter Datenerfassung für den Kundensupport . Die Daten, die Sie erfassen sollten, um bei der Fehlerbehebung zu unterstützen, bevor Sie einen JTAC-Fall öffnen.