ダウンしている VPN トンネルのトラブルシューティング
問題:IPsec VPN はアクティブではなく、データを渡しません。
どのタイプのVPNトンネルでお困りですか?
サイトツーサイト(LAN-to-LAN)VPN:
手順 2 に進みます。
リモートアクセスIPsec VPNまたはクライアントからLANへVPN:
支社向けSRXシリーズについては、 KB17220をご覧ください。
ハイエンドSRXシリーズの場合は、ステップ2に進んでください。
VPNトンネルのSA(セキュリティアソシエーション)はアクティブですか?
show security ipsec security-associationsコマンドを実行し、VPN のゲートウェイ アドレスを見つけます。リモートゲートウェイが表示されていない場合、VPN SAはアクティブではありません。SA の詳細については、「 KB10090」を参照してください。user@host> show security ipsec security-associations total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0 >32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0 total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32786 3.3.3.3 500 ESP:3des/sha1 5c13215d 28782/unlim U 0 >32786 3.3.3.3 500 ESP:3des/sha1 18f67b48 28782/unlim U 0
SA が出力に表示されない場合は、ステップ 3 に進みます。
-
SAが表示されている場合(フェーズ2が稼働している場合)、トラフィックが通過しない場合は、 稼働しているのにトラフィックを通過させないVPNのトラブルシューティングを参照してください。
-
SA がアクティブ状態と非アクティブ状態の間で変動する場合は、 フラッピング VPN トンネルのトラブルシューティングを参照してください。
IKEフェーズ1は終了していますか?
show security ike security-associationsコマンドを実行します。VPNのリモートアドレスが表示され、Stateフィールドの値がUPであることを確認します。user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 1 2.2.2.2 UP 744a594d957dd513 1e1307db82f58387 Main 2 3.3.3.3 UP 744a594d957dd513 1e1307db82f58387 Main
リモートアドレスがリストされていない場合、または
Stateフィールドの値がDOWN場合は、レスポンダのIKEフェーズ1メッセージを分析して解決策を見つけます。KB10101を参照してください。状態が
UPの場合は、レスポンダの IKE フェーズ 2 メッセージを分析して解決策を探します。KB10101を参照してください。
それでも問題が解決しない場合は、開始側の VPN デバイスで VPN トンネルのフェーズ 1 またはフェーズ 2 のログを分析します。開始側のログでソリューションが見つからない場合は、手順 4 に進みます。
ログ、フロートレースオプション、IKEトレースオプションを収集し、テクニカルサポート担当者とケースをオープンします。詳細については、以下を参照してください。
ログの収集については、 カスタマー・サポート向けのデータ収集を参照してください。
-
フロートレースオプションについては、 KB16233を参照してください。
IKE トレース オプションについては、「 KB19943」を参照してください。