Comment analyser les messages d’état d’un VPN IKE Phase 2
Problème
Description
Examinez et analysez les messages d’état VPN liés aux problèmes causés par un IKE inactif Phase 2.
Symptômes
IKE Phase 2 n’est pas actif.
La show security ipsec security-associations sortie de la commande ne répertorie pas l’adresse distante du VPN.
Solution
La meilleure façon de résoudre les problèmes IKE de phase 2 consiste à examiner les messages d’état VPN du pare-feu du répondeur.
Le pare-feu du répondeur est le côté récepteur du VPN qui reçoit les demandes d’installation du tunnel. Le pare-feu de l’initiateur est le côté initiateur du VPN qui envoie les demandes initiales d’installation du tunnel.
À l’aide de l’interface de ligne de commande, configurez un fichier syslog, kmd-logs, pour les journaux d’état VPN sur le pare-feu du répondeur.
Voir KB10097-Comment configurer syslog pour afficher les messages d’état VPN. Lorsque vous ouvrez le tunnel VPN, les messages sont capturés dans ldm-logs.
À l’aide de l’interface de ligne de commande, recherchez les messages d’erreur de phase 2 : show log kmd-logs
Exemples de messages de sortie :
Message: Jul 10 16:14:30 210-2 kmd[52472]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.10.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=10.10.10.0/24)] for local ip: 2.2.2.1, remote peer ip:2.2.2.2
Signification : l’identité de proxy de l’appareil homologue ne correspond pas à l’identité de proxy local.
Action : l’ID de proxy doit être exactement l’inverse de l’ID de proxy configuré de l’homologue. Voir KB10124 - Comment corriger l’erreur de phase 2 : Impossible de faire correspondre les ID de proxy homologue.
Message: Jul 16 21:14:20 kmd[1456]: IKE Phase-2 Failure: Quick mode - no proposal chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2] Jul 16 21:14:20 kmd[1456]: KMD_VPN_PV_PHASE2: IKE Phase-2 Failure: Quick mode - no proposal chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2] Jul 16 21:14:20 kmd[1456]: IKE Phase-2: Negotiations failed. Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2
Signification : le périphérique exécutant Junos OS n’a accepté aucune des propositions IKE Phase 2 envoyées par l’homologue IKE spécifié.
Action : vérifiez les éléments de configuration du VPN de phase 2 local. Les éléments de la proposition de la phase 2 sont les suivants :
Algorithme d’authentification
Algorithme de chiffrement
Kilo-octets sur la durée de vie
Secondes à vie
Protocole
Confidentialité de transmission parfaite
Vous pouvez modifier la configuration locale pour accepter au moins une des propositions de phase 2 de l’homologue distant, ou contacter l’administrateur de l’homologue distant et faire en sorte que les configurations IKE aux deux extrémités du tunnel utilisent au moins une proposition de phase 2 mutuellement acceptable.
Exemples de messages de sortie :
IPsec proposal mismatch
Message: Sep 7 09:26:57 kmd[1393]: IKE negotiation failed with error: No proposal chosen. IKE Version: 1, VPN: vpn1 Gateway: ike-gw, Local: 10.10.10.1/500, Remote: 10.10.10.2/500, Local IKE-ID: 10.10.10.1, Remote IKE-ID: 10.10.10.2, VR-ID: 0
REMARQUE :Si
Local IKE-IDetRemote IKE-IDs’affichent sous la formeNot-Available, il s’agit d’un message d’échec de phase 1. Reportez-vous à la section KB30548 - Messages d’état VPN IKE Phase 1 dans les versions 12.1X44 et ultérieures.Action : vérifiez les éléments de configuration du VPN de phase 2 local. Les éléments de la proposition de la phase 2 sont les suivants :
Algorithme d’authentification
Algorithme de chiffrement
Kilo-octets sur la durée de vie
Secondes à vie
Protocole
Confidentialité de transmission parfaite
Proxy-ID mismatch
Exemples de messages de sortie :
Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local ip: 10.10.10.2, remote peer ip:10.10.10.1
Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local ip: 10.10.10.2, remote peer ip:10.10.10.1
Action : l’ID de proxy doit correspondre exactement à l’inverse de l’ID de proxy configuré de l’homologue. Voir KB10124 - Comment corriger l’erreur de phase 2 : Impossible de faire correspondre les ID de proxy homologue.
Si la connexion VPN est établie avec succès, vous pouvez voir les messages suivants dans le syslog :
Sep 10 08:35:03 kmd[1334]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.2, Remote gateway: 10.10.10.1, Local ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Direction: inbound, SPI: 0x4b23e914, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Sep 10 08:35:03 kmd[1334]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.2, Remote gateway: 10.10.10.1, Local ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Direction: outbound, SPI: 0xa90982b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Sep 10 08:35:03 kmd[1334]: KMD_VPN_UP_ALARM_USER: VPN test_vpn from 10.10.10.1 is up. Local-ip: 10.10.10.2, gateway name: ike-gw, vpn name: vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: Not-Available, Local IKE-ID: 10.10.10.2, Remote IKE-ID: 10.10.10.1, XAUTH username: Not-Applicable, VR id: 0
Sep 9 06:57:34 kmd[1393]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.1, Remote gateway: 10.10.10.2, Local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Direction: inbound, SPI: 0xa90982b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic, Traffic-selector: Sep 9 06:57:34 kmd[1393]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.1, Remote gateway: 10.10.10.2, Local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Direction: outbound, SPI: 0x4b23e914, AUX-SPI: 0, Mode: Tunnel, Type: dynamic, Traffic-selector: Sep 9 06:57:34 kmd[1393]: KMD_VPN_UP_ALARM_USER: VPN test_vpn from 10.10.10.2 is up. Local-ip: 10.10.10.1, gateway name: ike-gw, vpn name: vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: Not-Available, Local IKE-ID: 10.10.10.1, Remote IKE-ID: 10.10.10.2, XAUTH username: Not-Applicable, VR id: 0, Traffic-selector: , Traffic-selector local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Traffic-selector remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24)ze: 12px;">IPsec Proposal mismatch
Si vous ne parvenez pas à localiser les messages de la phase 2, passez à l’étape 4.
À l’aide de l’interface de ligne de commande, examinez les propositions de phase 2 et vérifiez que la configuration correspond aux propositions de phase 2 configurées par l’homologue : show security ipsec
show security ipsec proposal ipsec-phase2-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-128-cbc; } policy ipsec-phase2-policy { perfect-forward-secrecy { keys group2; } proposals ipsec-phase2-proposal; } vpn ike-vpn-srx1 { vpn-monitor; ike { gateway gw-srx1; ipsec-policy ipsec-phase2-policy; } }Si le problème persiste, pour ouvrir un dossier JTAC auprès de l’équipe d’assistance Juniper Networks, consultez Collecte de données pour le support client afin de connaître les données à collecter pour faciliter le dépannage avant d’ouvrir un dossier JTAC.