稼働しているのにトラフィックを通過させないVPNのトラブルシューティング
問題点
説明
VPNは稼働していますが、一方向または両方向に通過するトラフィックはありません。
このトピックは、トラフィックがアクティブな VPN トンネルを通過するのを妨げる可能性がある問題のトラブルシューティングに役立ちます。
環境
VPN
ソリューション
VPN セキュリティ アソシエーション(SA)がアクティブかどうかを確認します。 show security ipsec security-associations
user@CORPORATE> show security ipsec security-associations total configured sa: 1 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0 >32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0
VPN ゲートウェイが表示されている場合は、トンネルが確立されて稼働しています。出力には、トラフィックの各方向のSPI情報を表示する各VPNトンネルの2行が表示されます。
このフィールド は、VPN 監視によってトンネルのステータスを表示するために使用され、次のいずれかの値になります。
MON- (ハイフン): VPN トンネルはアクティブで、VPN モニターのオプション機能が構成されていません。
U (上へ): VPN トンネルがアクティブで、(VPN モニターで検出された)リンクがアップしています。
D (ダウン): VPN トンネルはアクティブで、リンク(VPN モニターで検出)がダウンしています。
Yes: IPsec SA の状態は、アクティブまたはアップです。手順 に進みます。2
No: IPsec SA の状態はダウンしています。「ダウンまたは非アクティブなVPNトンネルのトラブルシューティング方法」を参照してください。https://kb.juniper.net/InfoCenter/index?page=content&id=kb10100&actp=METADATA
VPN が外部インターフェイスとしてループバック インターフェイス lo0 を使用しているかどうかを確認します。 show configuration security ike
root> show configuration security ike policy ike_pol { proposal-set compatible; pre-shared-key ascii-text "$9$tMwDuIESreWX7yr4aGDkqIEhcvWbs2"; } gateway gate1 { ike-policy ike_pol; address 10.10.10.2; external-interface lo0.0; }VPN外部インターフェイスとして使用しているエグレスインターフェイス(物理インターフェイス)とlo0が同じセキュリティゾーンにあるか確認してください。
Yes: 手順 に進みます。4
No: VPN外部インターフェイスと物理エグレスインターフェイスの両方が同じセキュリティゾーンに存在するように、セキュリティゾーンの割り当てを更新します。「IPSec VPN がループバック インターフェイスで終端された場合のトラフィック損失」を参照してください。https://kb.juniper.net/InfoCenter/index?page=content&id=KB22129&actp=METADATA
VPN がルートベース VPN の場合は、ステップ に進みます。5ポリシーベースのVPNの場合は、手順 に進みます。8「ポリシーベースVPNとルートベースVPNの違い」を参照してください。https://kb.juniper.net/InfoCenter/index?page=content&id=kb10105&actp=METADATA
ルートがst0インターフェイスを介してリモートネットワークに割り当てられているかどうかを確認します。 show route remote network
root@siteA > show route 192.168.20.10 inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.168.2.0/24 *[ARI-TS/5] 00:00:53 > via st0.0 <----------Yes: 手順 に進みます。6
No: st0インターフェイスを介してリモートネットワークにルートを割り当てます。「ルートベースVPNは稼働しているが、トラフィックが通過していない」を参照してください 。ルートがありませんか?.
注:BGPやOSPFなどの動的ルーティングプロトコルを使用している場合は、ルーティングプロトコルを確認してください。
ステップ でリモートネットワークに割り当てられたルートに基づいて、VPNが正しいst0インターフェイスを指しているかどうかを確認します。5show security ikeとshow security ipsec
まず、 コマンドを使用してIKEゲートウェイ を確認します。show security ike
root@siteA # show security ike ... gateway gw-siteB { <--------- ike-policy ike-phase1-policy; address 2.2.2.2; external-interface ge-0/0/3.0; }コマンドを使用してそのIKEゲートウェイのIPsec VPNを確認し、出力で がインターフェイスを指しているかどうかを確認します。show security ipsec
bind-interfacest0この例では、VPN はインターフェイスを指し ています。
ike-vpn-siteBst0.0root@siteA # show security ipsec ... vpn ike-vpn-siteB { bind-interface st0.0; ike { gateway gw-siteB; <--------- proxy-identity { local 192.168.2.0/24; remote 192.168.1.0/24; service any; } ipsec-policy ipsec-phase2-policy; } establish-tunnels immediately; }
Yes: 手順 に進みます。7
No: VPN が正しい st0 インターフェイスを指していません。現在のルートを削除し、正しいst0インターフェイスにルートを追加します。「ルートベースVPNは稼働しているが、トラフィックが通過していない」を参照してください 。ルートがありませんか?.
内部ゾーンからst0セキュリティゾーンへのトラフィックを許可するセキュリティポリシーがあるかどうかを確認します。 show security policies
Yes: 手順 に進みます。8
No: 適切なセキュリティポリシーを作成し、VPNを再度テストします。「ルートベースVPNのポリシーを構成する方法」を参照してください。https://kb.juniper.net/InfoCenter/index?page=content&id=KB9514
トラフィックを許可するVPNトンネルセキュリティポリシーがあるかどうかを確認します。 show security policies
root@siteA# show security policies ... from-zone trust to-zone untrust { policy vpn_egress { match { source-address local-net; destination-address remote-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } } from-zone untrust to-zone trust { policy vpn_ingress { match { source-address remote-net; destination-address local-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } }Yes: 手順 に進みます。9
No: ポリシーベースのVPN構成を確認します。ポリシーベースのサイト間VPNを参照してください。https://kb.juniper.net/InfoCenter/index?page=content&id=TN107&actp=METADATA
トラフィックがステップまたはステップで特定されたポリシーで一致しているかどうかを確認します。78 show security flow session source prefix source address destination prefix destination address
root@siteA> show security flow session source-prefix 192.168.2.0/24 destination-prefix 192.168.1.0/24 Session ID: 5801, Policy name: AtoB/2, Timeout: 1790, Valid In: 192.168.2.222/1 --> 192.168.1.13/23053;icmp, If: fe-0/0/2.0, Pkts: 59878, Bytes: 4602292 Out: 192.168.1.13/23053 --> 192.168.2.222/1;icmp, If: st0.0, Pkts: 52505, Bytes: 4189289
Yes: 手順 に進みます。10
No: セキュリティ ポリシーの順序を確認します。show security match policies. 「セキュリティ ポリシーの順序付けについて」を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/topic-map/security-reordering-policies.html#id-understanding-security-policy-ordering
順序が正しい場合は、「 データを渡さないセキュリティ ポリシーのトラブルシューティング方法」を参照してください。https://kb.juniper.net/InfoCenter/index?page=content&id=kb10113&actp=METADATA
注:セッションのout方向のカウンタのみ が増加している場合は、トラフィックが受信されていることをVPNピアで検証します。
pktsこれは、このトンネルが形成されるVPNピアのパケットカウンターをチェックして、もう一方の端がパケットを受信しているかどうかを確認するためのものです。
ログとフロートレースオプションを収集し、ジュニパーネットワークスのサポートチームでケースをオープンします。
データ収集チェックリスト - トラブルシューティングのために収集するログ/データのIPsec VPNポリシーベースまたはルートベースVPNのセクションを参照してください。https://kb.juniper.net/InfoCenter/index?page=content&id=kb21781#IpsecRouteBased
フロートレースオプションについては、「 フロートレースオプション」と「セキュリティデータパスデバッグ」の使用方法を参照してください。https://kb.juniper.net/InfoCenter/index?page=content&id=kb16233&actp=METADATA&act=login
ジュニパーネットワークスのサポートチームでJTACケースをオープンするには、 カスタマーサポートのためのデータ収集 で、JTACケースをオープンする前にトラブルシューティングに役立つように収集する必要があるデータを確認してください。https://www.juniper.net/documentation/en_US/release-independent/junos/topics/task/operational/data-collection-for-jtac.html