Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Fehlerbehebung bei einem vpn, das eingerichtet ist, aber keinen Datenverkehr weiter gibt

Problem

Beschreibung

Das VPN ist eingerichtet, aber es gibt keinen Datenverkehr in einer oder in beiden Richtungen.

Dieses Thema erleichtert die Fehlerbehebung bei Problemen, die verhindern können, dass der Datenverkehr einen aktiven VPN-Tunnel passieren kann.

Infrastruktur

VPN

Lösung

  1. Überprüfen Sie, ob die VPN Security Association (SA) aktiv ist: show security ipsec security-associations

    Wenn das VPN-Gateway aufgelistet ist, wird der Tunnel eingerichtet und ist eingerichtet. Die Ausgabe zeigt zwei Zeilen für jeden VPN-Tunnel an, in dem die SPI-Informationen für jede Datenverkehrsrichtung angezeigt werden.

    Das MON Feld wird von der VPN-Überwachung verwendet, um den Status des Tunnels anzuzeigen, und verfügt über einen der folgenden Werte:

    • - (Bindestrich): Der VPN-Tunnel ist aktiv, und die optionale VPN-Überwachung wird nicht konfiguriert.

    • U (up): Der VPN-Tunnel ist aktiv, und die Verbindung (die über den VPN-Monitor erkannt wird) ist aktiv.

    • D (unten): Der VPN-Tunnel ist aktiv, und die Verbindung (die über den VPN-Monitor erkannt wird) ist geschlossen.

    • Yes: Der IPsec-SA-Status ist aktiv oder aktiv. Fahren Sie mit Schritt 2 fort.

    • No: Der IPsec-SA-Status ist geschlossen. Erfahren Sie, wie Sie einen vpn-Tunnelbeheben, der aus- oder nicht aktiv ist.

  2. Prüfen Sie, ob das VPN die Loopback Interface Lo0 als externe Schnittstelle verwendet: show configuration security ike

    • Yes: VPN verwendet die Loopback-Schnittstelle lo0 als externe Schnittstelle. Fahren Sie mit Schritt 3 fort.

    • No: VPN verwendet die Loopback-Schnittstelle nicht lo0 als externe Schnittstelle. Fahren Sie mit Schritt 4 fort.

  3. Prüfen Sie, ob die Ausgangsschnittstelle (physische Schnittstelle) und lo0, die als externe VPN-Schnittstelle verwendet werden, sich in der gleichen Sicherheitszone befinden.

  4. Wenn Ihr VPN ein Routen-VPN ist, gehen Sie mit Schritt 5 fort. Gehen Sie mit schritt 8 fort, wenn es sich um ein richtlinienbasiertes VPN handelt. Was ist der Unterschied zwischen einem richtlinienbasierten VPN und einem routenbasierten VPN?

  5. Prüfen Sie, ob einer Route über die ST0-Schnittstelle eine Route dem Remotenetzwerk zugewiesen wird: show route remote network

  6. Stellen Sie anhand der dem Remotenetzwerk in Schritt zugewiesenen Route sicher, ob das VPN auf die 5 richtige st0-Schnittstelle weist: show security ike und show security ipsec

    1. Prüfen Sie zunächst das IKE-Gateway mit dem show security ike Befehl.

    2. Überprüfen Sie das IPSec-VPN für dieses IKE-Gateway mit dem Befehl, und prüfen Sie bei der Ausgabe, ob show security ipsec auf die Schnittstelle verweisen bind-interfacest0 wird.

      In diesem Beispiel zeigt das VPN ike-vpn-siteB auf die st0.0 Schnittstelle.

  7. Stellen Sie sicher, ob es eine Sicherheitsrichtlinie gibt, die Datenverkehr von der internen Zone zur St0-Sicherheitszone ermöglicht: show security policies

  8. Prüfen Sie, ob eine Sicherheitsrichtlinie für VPN-Tunnel besteht, um Datenverkehr zu ermöglichen: show security policies

  9. Prüfen Sie, ob der Datenverkehr in den in Schritt oder Schritt identifizierten Richtlinien 78 abgleicht: show security flow session source prefix source address destination prefix destination address

    • Yes: Fahren Sie mit Schritt 10 fort.

    • No: Die Reihenfolge der Sicherheitsrichtlinien überprüfen: show security match policies. Informationen zur Bestellung von Sicherheitsrichtlinien findenSie unter.

      Wenn der Auftrag korrekt ist, finden Sie weitere Informationen unter Fehlerbehebung bei einer Sicherheitsrichtlinie, die keine Daten weiter gibt.

      Anmerkung:

      Wenn nur der Zähler in Richtung der Sitzung erhöht wird, validieren Sie dann mit dem pkts VPN-Peer, dass der Datenverkehr empfangen wird.

      Dies besteht in der Prüfung der Paketzähler im VPN-Peer, mit dem dieser Tunnel gebildet wird, um zu prüfen, ob die Pakete am anderen Ende empfangen werden.

  10. Sammeln Sie Protokolle und Datenstrom-Trace-Optionen, und öffnen Sie einen Supportteam Juniper Networks Kunden:

    • Die IPSec-VPN-Richtlinien-basierten oder Routen-basierten VPN-Abschnitte finden Sie in der Checkliste für Datenerfassung – Protokolle/Daten, die für die Fehlerbehebung erfasst werden müssen.

    • Informationen zu Flow Trace-Optionen finden Sie unter Verwenden von "flow traceoptions" und "security datapath-debug".

    • Um einen JTAC-Fall mit dem Juniper Networks-Supportteam zu eröffnen, finden Sie in der Datenerfassung für Kundensupport die Daten, die Sie erfassen sollten, um Sie bei der Fehlerbehebung zu unterstützen, bevor Sie einen JTAC-Fall eröffnen.