Sur cette page
Dépannage d’un tunnel VPN instable
Problème
Description
Instabilité du tunnel VPN de site à site ou du tunnel VPN IPsec distant (c’est-à-dire montée et descente rapides).
Diagnostic
Le problème n’affecte-t-il qu’un seul VPN ?
Oui: Vérifiez les journaux système et passez à l’étape 2. Utilisez la
show log messagescommande pour afficher les journaux. Vous devez activer la journalisation au niveau des informations pour que les messages soient signalés correctement.user@host # set system syslog file messages any infoVoici des exemples de journaux système signalant une instabilité du tunnel VPN :
VPN up/down events:
Jul 9 21:07:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2 is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:08:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2 is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:09:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2 is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:10:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2 is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4
Unstable VPN behavior (VPN constantly rebuilding):
Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0xfd91b643, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0xbdec9669, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:44:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0x69b34ae4, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:44:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0x6f55d8ea, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:45:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0x6fa6b0b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:45:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0xa66ac906, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
-
Non: Si le problème concerne tous les VPN configurés, examinez les erreurs associées à la connexion Internet, ainsi qu’aux interfaces du pare-feu et du commutateur SRX Series. Pour rechercher des erreurs sur l’interface du pare-feu SRX Series, exécutez la
show interfaces extensivecommande.
-
Vérifiez que le moniteur VPN est activé pour ce VPN à l’aide de la
show configuration security ipsec vpn vpn-namecommande.Le moniteur VPN est-il activé ?
-
Oui: Passez à l’étape 3.
-
Non: Passez à l’étape 5.
-
-
Désactivez le moniteur VPN et vérifiez le VPN.
user@host# deactivate security ipsec vpn vpn-name vpn-monitoruser@host# commitLe VPN est-il stable ?
-
Oui: L’instabilité est liée à la configuration du moniteur VPN. Passez à l’étape 4.
-
Non: Passez à l’étape 5.
-
-
La connexion VPN distante est-elle configurée pour bloquer les requêtes d’écho ICMP ?
-
Oui: Réactivez et reconfigurez VPN Monitor pour utiliser l’interface source et les options IP de destination. Voir KB10119.
-
Non: Passez à l’étape 5.
-
-
L’équipement distant connecté au pare-feu SRX Series est-il un équipement non-Juniper ?
-
Oui: Vérifiez la proxy-id valeur sur le pare-feu SRX Series et le périphérique VPN homologue.
-
Non: Passez à l’étape 6.
-
-
Le VPN a-t-il été stable pendant un certain temps, puis a-t-il commencé à monter et à descendre ?
-
Oui: Recherchez les changements apportés au réseau ou aux périphériques, ou si de nouveaux équipements réseau ont été ajoutés à l’environnement.
-
Non: Collectez les journaux de site à site à partir des périphériques VPN aux deux extrémités et ouvrez un dossier auprès de votre représentant du support technique. Reportez-vous à la section Collecte de données pour l’assistance à la clientèle.
-