Dépanner un VPN qui est opérationnel mais qui ne fait pas passer le trafic
Problème
Description
Le VPN est opérationnel, mais il n’y a pas de trafic qui passe dans un sens ou dans les deux.
Cette rubrique permet de résoudre les problèmes susceptibles d’empêcher le trafic de passer par un tunnel VPN actif.
Environnement
VPN
Solution
Vérifiez si l’association de sécurité VPN (SA) est active : show security ipsec security-associations
user@CORPORATE> show security ipsec security-associations total configured sa: 1 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0 >32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0
Si la passerelle VPN est répertoriée, le tunnel est établi et actif. La sortie affiche deux lignes pour chaque tunnel VPN affichant les informations SPI pour chaque direction de trafic.
Le
MONchamp est utilisé par la surveillance VPN pour afficher l’état du tunnel et possède l’une des valeurs suivantes :- (trait d’union) : Le tunnel VPN est actif et la fonctionnalité facultative du moniteur VPN n’est pas configurée.
U (haut) : Le tunnel VPN est actif et la liaison (détectée via le moniteur VPN) est active.
D (vers le bas) : Le tunnel VPN est actif et la liaison (détectée via le moniteur VPN) est inactive.
Yes: L’état de la SA IPsec est actif ou actif. Passez à l’étape 2.
No: L’état IPsec de la SA est inactif. Reportez-vous à l’article Comment dépanner un tunnel VPN inactif ou inactif.
Vérifiez si le VPN utilise l’interface de bouclage lo0 comme interface externe : show configuration security ike
root> show configuration security ike policy ike_pol { proposal-set compatible; pre-shared-key ascii-text "$9$tMwDuIESreWX7yr4aGDkqIEhcvWbs2"; } gateway gate1 { ike-policy ike_pol; address 10.10.10.2; external-interface lo0.0; }Vérifiez si l’interface de sortie (interface physique) et lo0 utilisé comme interface externe VPN se trouvent dans la même zone de sécurité.
Yes: Passez à l’étape 4.
No: Mettez à jour les attributions de zone de sécurité afin que l’interface externe VPN et l’interface de sortie physique se trouvent dans la même zone de sécurité. Voir Perte de trafic lorsque le VPN IPSec est arrêté sur l’interface de bouclage.
S’il s’agit d’un VPN basé sur le routage, passez à l’étape 5. Passez à l’étape s’il 8 s’agit d’un VPN basé sur une stratégie. Consultez Quelle est la différence entre un VPN basé sur une stratégie et un VPN basé sur le routage ?
Vérifiez si une route est affectée au réseau distant via l’interface st0 : show route remote network
root@siteA > show route 192.168.20.10 inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.168.2.0/24 *[ARI-TS/5] 00:00:53 > via st0.0 <----------Yes: Passez à l’étape 6.
No: Attribuez un itinéraire au réseau distant via l’interface st0. Voir Le VPN basé sur le routage est actif, mais pas le trafic de passage. Manque-t-il un itinéraire ?.
REMARQUE :Si vous utilisez un protocole de routage dynamique, tel que BGP ou OSPF, vérifiez le protocole de routage.
En fonction de la route attribuée au réseau distant à l’étape 5, vérifiez si le VPN pointe vers la bonne interface st0 : show security ike et show security ipsec
Tout d’abord, vérifiez la passerelle IKE à l’aide de la show security ike commande.
root@siteA # show security ike ... gateway gw-siteB { <--------- ike-policy ike-phase1-policy; address 2.2.2.2; external-interface ge-0/0/3.0; }Vérifiez le VPN IPsec de cette passerelle IKE à l’aide de la show security ipsec commande et, dans la sortie, vérifiez si
bind-interfaceelle pointe vers l’interfacest0.Dans cet exemple, le VPN
ike-vpn-siteBpointe vers l’interfacest0.0.root@siteA # show security ipsec ... vpn ike-vpn-siteB { bind-interface st0.0; ike { gateway gw-siteB; <--------- proxy-identity { local 192.168.2.0/24; remote 192.168.1.0/24; service any; } ipsec-policy ipsec-phase2-policy; } establish-tunnels immediately; }
Yes: Passez à l’étape 7.
No: Le VPN ne pointe pas vers la bonne interface st0. Supprimez l’itinéraire actuel et ajoutez-l’itinéraire à l’interface st0 appropriée. Voir Le VPN basé sur le routage est actif, mais pas le trafic de passage. Manque-t-il un itinéraire ?.
Vérifiez s’il existe une stratégie de sécurité qui autorise le trafic de la zone interne vers la zone de sécurité st0 : show security policies
Yes: Passez à l’étape 8.
No: Créez la stratégie de sécurité appropriée et testez à nouveau le VPN. Reportez-vous à la section Comment configurer une stratégie pour un VPN basé sur le routage.
Vérifiez s’il existe une stratégie de sécurité de tunnel VPN pour autoriser le trafic : show security policies
root@siteA# show security policies ... from-zone trust to-zone untrust { policy vpn_egress { match { source-address local-net; destination-address remote-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } } from-zone untrust to-zone trust { policy vpn_ingress { match { source-address remote-net; destination-address local-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } }Yes: Passez à l’étape 9.
No: Vérifiez la configuration du VPN basé sur la stratégie. Reportez-vous à la section VPN de site à site basé sur des stratégies .
Vérifiez si le trafic correspond dans les stratégies identifiées à l’étape ou à l’étape 78: show security flow session source prefix source address destination prefix destination address
root@siteA> show security flow session source-prefix 192.168.2.0/24 destination-prefix 192.168.1.0/24 Session ID: 5801, Policy name: AtoB/2, Timeout: 1790, Valid In: 192.168.2.222/1 --> 192.168.1.13/23053;icmp, If: fe-0/0/2.0, Pkts: 59878, Bytes: 4602292 Out: 192.168.1.13/23053 --> 192.168.2.222/1;icmp, If: st0.0, Pkts: 52505, Bytes: 4189289
Yes: Passez à l’étape 10.
No: Vérifiez l’ordre des stratégies de sécurité : show security match policies. Reportez-vous à la section Présentation de l’ordre des stratégies de sécurité.
Si l’ordre est correct, consultez Comment dépanner une stratégie de sécurité qui ne transmet pas de données.
REMARQUE :Si seul le
pktscompteur dans le sens sortant de la session est incrémenté, vérifiez avec l’homologue VPN que le trafic est reçu.Il s’agit de vérifier les compteurs de paquets sur l’homologue VPN avec lequel ce tunnel est formé pour voir si l’autre extrémité reçoit les paquets.
Collectez les journaux et les options de suivi de flux et ouvrez un dossier auprès de l’équipe d’assistance Juniper Networks :
Reportez-vous aux sections VPN IPsec basé sur une stratégie ou VPN basé sur le routage dans Liste de contrôle de la collecte de données - Journaux/données à collecter pour le dépannage.
Pour plus d’informations sur les options de suivi de flux, consultez Comment utiliser les « traceoptions de flux » et le « chemin d’accès aux données de sécurité ».
Pour ouvrir un dossier JTAC auprès de l’équipe d’assistance de Juniper Networks, consultez Collecte de données pour le support client afin de connaître les données à collecter pour faciliter le dépannage avant d’ouvrir un dossier JTAC.