アップしているがトラフィックを通過しない VPN のトラブルシューティング
点
説明
VPN はアップしていますが、1 方向または両方向にトラフィックを通過する必要はありません。
このトピックでは、アクティブな VPN トンネルを通過するトラフィックを防止する可能性がある問題のトラブルシューティングに役立ちます。
環境
VPN
ソリューション
VPN SA(セキュリティ アソシエーション)がアクティブかどうかを確認します。 show security ipsec security-associations
user@CORPORATE> show security ipsec security-associations total configured sa: 1 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0 >32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0
VPN ゲートウェイが表示された場合は、トンネルが確立され、アップされます。出力には、各 VPN トンネルに 2 つの行が表示され、トラフィックの各方向の SPI 情報が表示されます。
この
MONフィールドは VPN 監視によってトンネルのステータスを表示するために使用され、以下のいずれかの値があります。- (ハイフン): VPN トンネルはアクティブで、VPN 監視オプション機能は設定されていません。
U (アップ): VPN トンネルはアクティブで、リンク(VPN モニターを介して検出)がアップしています。
D (下): VPN トンネルはアクティブで、リンク(VPN モニターを介して検出)はダウンしています。
Yes: IPsec SAの状態はアクティブまたはアップです。ステップに進 2 みます。
No: IPsec SAの状態はダウンしています。ダウン している、またはアクティブではない VPN トンネルをトラブルシューティングする方法 を参照してください。
VPN が外部インターフェイスとしてループバック インターフェイス lo0 を使用するかどうかを確認します。 show configuration security ike
root> show configuration security ike policy ike_pol { proposal-set compatible; pre-shared-key ascii-text "$9$tMwDuIESreWX7yr4aGDkqIEhcvWbs2"; } gateway gate1 { ike-policy ike_pol; address 10.10.10.2; external-interface lo0.0; }VPN 外部インターフェイスとして使用されるエグレス インターフェイス(物理インターフェイス)と lo0 が同じインターフェイス内にあるセキュリティ ゾーン。
Yes: ステップに進 4 みます。
No: VPN 外部セキュリティ ゾーンエグレス インターフェイスの両方が同じインターフェイス内に接続されている設定を更新セキュリティ ゾーン。ループバック インターフェイスで終端処理IPSec VPN時のトラフィック 損失 を参照してください。
VPN がルートベース VPN の場合は、 ステップ に進みます 5 。ポリシーベースの 8 VPN の場合は、手順に進みます。「 ポリシーベース VPN とルートベース VPN の違い」を参照してください。
st0インターフェイスを介して、リモートネットワークにルートが割り当てられているかどうかを確認します。 show route remote network
root@siteA > show route 192.168.20.10 inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.168.2.0/24 *[Static/5] 00:00:53 > via st0.0 <----------Yes: ステップに進 6 みます。
No: st0インターフェイスを介してリモートネットワークにルートを割り当てる。「 ルートベースVPNはアップしているが、トラフィックを通過していない」を参照してください。ルートが欠落していますか? .
注:デバイスやデバイスなどの動的ルーティング プロトコルを使用BGPはOSPFプロトコルを確認します。
ステップ 1 のリモート ネットワークに割り当てられたルートに基づき、VPN が正しい st0 インターフェイスを指 5 していることを確認します。show security ike および show security ipsec
まず、 コマンドを使用してIKEゲートウェイを確認 show security ike します。
root@siteA # show security ike ... gateway gw-siteB { <--------- ike-policy ike-phase1-policy; address 2.2.2.2; external-interface ge-0/0/3.0; }コマンドを使用してゲートウェイがIKE IPsec VPN を確認し、出力でインターフェースを指 show security ipsec
bind-interfaceしている場合は確認st0します。この例では、VPN
ike-vpn-siteBがインターフェイスを指st0.0しています。root@siteA # show security ipsec ... vpn ike-vpn-siteB { bind-interface st0.0; ike { gateway gw-siteB; <--------- proxy-identity { local 192.168.2.0/24; remote 192.168.1.0/24; service any; } ipsec-policy ipsec-phase2-policy; } establish-tunnels immediately; }
Yes: ステップに進 7 みます。
No: VPNが正しいst0インターフェイスを指していない。現在のルートを削除し、正しい st0 インターフェイスにルートを追加します。「 ルートベースVPNはアップしているが、トラフィックを通過していない」を参照してください。ルートが欠落していますか? .
内部ゾーンからst0へのトラフィックを許可するセキュリティ ポリシーセキュリティ ゾーン。 show security policies
Yes: ステップに進 8 みます。
No: 適切なセキュリティ ポリシーを作成し、VPN を再度テストします。ルート ベースVPNのポリシーを設定する方法 を参照してください。
トラフィックを許可する VPN トンネル セキュリティ ポリシーが含されているかどうかを確認します。 show security policies
root@siteA# show security policies ... from-zone trust to-zone untrust { policy vpn_egress { match { source-address local-net; destination-address remote-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } } from-zone untrust to-zone trust { policy vpn_ingress { match { source-address remote-net; destination-address local-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } }Yes: ステップに進 9 みます。
No: ポリシーベース VPN 設定を検証します。ポリシー ベースのサイト間 VPN を参照してください 。
ステップまたはステップで識別されたポリシーでトラフィックが一致するかどうかを 7 確認します 8 。 show security flow session source prefix source address destination prefix destination address
root@siteA> show security flow session source-prefix 192.168.2.0/24 destination-prefix 192.168.1.0/24 Session ID: 5801, Policy name: AtoB/2, Timeout: 1790, Valid In: 192.168.2.222/1 --> 192.168.1.13/23053;icmp, If: fe-0/0/2.0, Pkts: 59878, Bytes: 4602292 Out: 192.168.1.13/23053 --> 192.168.2.222/1;icmp, If: st0.0, Pkts: 52505, Bytes: 4189289
Yes: ステップに進 10 みます。
No: セキュリティ ポリシーの順序を検証します。show security match policies。セキュリティー ポリシーの順序について を参照してください。
順序が正しい場合は、 データを渡していないセキュリティ ポリシー をトラブルシューティングする方法 を参照してください。
注:セッションのアウト方向のカウンターだけが増加している場合は、トラフィックが受信されている
pktsVPNピアを使用して検証します。これは、このトンネルが形成されている VPN ピア上のパケット カウンターをチェックして、もう一方のエンドがパケットを受信しているかどうかを確認します。
ログとフロー トレース オプションを収集し、データ センター サポート チームジュニパーネットワークスを開きます。
「データ収集チェックリスト - トラブルシューティングのために収集するログ/データ」の IPsec VPN ポリシーベースまたはルートベース VPN のセクションを参照してください。
フロー トレース オプションについては、「 フロー traceoptions」および「セキュリティ datapath-debug」を使用する方法 を参照してください。
ジュニパーネットワークス サポート チームと JTAC のサポート ケースをhttps://www.juniper.net/documentation/en_US/release-independent/junos/topics/task/operational/data-collection-for-jtac.htmlオープンするには、 JTAC のケースを開始する前に、トラブルシューティングで役立つデータを収集してトラブルシューティングする必要があるデータの収集 をご覧ください。