ダウンしている VPN トンネルのトラブルシューティング
問題:IPsec VPN はアクティブではなく、データを渡しません。
どのタイプのVPNトンネルでお困りですか?
サイトツーサイト(LAN-to-LAN)VPN:
手順 2 に進みます。
リモートアクセスIPsec VPNまたはクライアントからLANへVPN:
支社向けSRXシリーズについては、 KB17220をご覧ください。
ハイエンドSRXシリーズの場合は、ステップ2に進んでください。
VPNトンネルのSA(セキュリティアソシエーション)はアクティブですか?
コマンドを実行し、VPNのゲートウェイアドレスを見つけます。
show security ipsec security-associations
リモートゲートウェイが表示されていない場合、VPN SAはアクティブではありません。SA の詳細については、「 KB10090」を参照してください。https://kb.juniper.net/KB10090user@host> show security ipsec security-associations total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0 >32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0 total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32786 3.3.3.3 500 ESP:3des/sha1 5c13215d 28782/unlim U 0 >32786 3.3.3.3 500 ESP:3des/sha1 18f67b48 28782/unlim U 0
SA が出力に表示されない場合は、ステップ 3 に進みます。
-
SAが表示されている場合(フェーズ2がアップしている場合)、トラフィックが通過しない場合は、を参照してください 。稼働しているのにトラフィックを通過させないVPNのトラブルシューティング
-
SA がアクティブ状態と非アクティブ状態の間で揺れ動く場合は、を参照してください 。フラッピング VPN トンネルのトラブルシューティング
IKEフェーズ1は終了していますか?
show security ike security-associations
コマンドを実行します。VPNのリモートアドレスが表示され、フィールドの値が UPであることを確認します。State
user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 1 2.2.2.2 UP 744a594d957dd513 1e1307db82f58387 Main 2 3.3.3.3 UP 744a594d957dd513 1e1307db82f58387 Main
リモートアドレスが表示されない場合、またはフィールドの値が の場合、レスポンダのIKEフェーズ1メッセージを分析して解決策を見つけます。
State
DOWN
KB10101を参照してください。https://kb.juniper.net/KB10101状態が の場合 、レスポンダ上のIKEフェーズ2メッセージを分析して解決策を探します。
UP
KB10101を参照してください。https://kb.juniper.net/KB10101
それでも問題が解決しない場合は、開始側の VPN デバイスで VPN トンネルのフェーズ 1 またはフェーズ 2 のログを分析します。開始側のログでソリューションが見つからない場合は、手順 4 に進みます。
ログ、フロートレースオプション、IKEトレースオプションを収集し、テクニカルサポート担当者とケースをオープンします。詳細については、以下を参照してください。
ログの収集については、 カスタマー・サポート向けのデータ収集を参照してください。https://www.juniper.net/documentation/en_US/release-independent/junos/topics/task/operational/data-collection-for-jtac.html
-
フロートレースオプションについては、 KB16233を参照してください。https://kb.juniper.net/KB16233
IKE トレース オプションについては、「 KB19943」を参照してください。https://kb.juniper.net/KB19943