작동 중이지만 트래픽을 전달하지 않는 VPN 문제 해결
문제
설명
VPN이 작동 중이지만 한 방향 또는 양방향으로 통과하는 트래픽이 없습니다.
이 주제는 트래픽이 활성 VPN 터널을 통과하지 못하게 할 수 있는 문제를 해결하는 데 도움이 됩니다.
환경
VPN
솔루션
VPN SA(보안 연결)가 활성 상태인지 확인합니다. show security ipsec security-associations
user@CORPORATE> show security ipsec security-associations total configured sa: 1 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0 >32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0
VPN 게이트웨이가 나열되면 터널이 설정되고 작동 중입니다. 출력은 각 VPN 터널에 대해 각 트래픽 방향에 대한 SPI 정보를 표시하는 두 개의 라인을 표시합니다.
이 필드는 VPN 모니터링에서 터널의 상태를 표시하는 데 사용되며 다음 값 중 하나를 갖습니다.
MON- (하이픈): VPN 터널이 활성 상태이며 VPN 모니터 옵션 기능이 구성되지 않았습니다.
U (위로): VPN 터널이 활성 상태이고 링크(VPN 모니터를 통해 탐지됨)가 작동 중입니다.
D (아래로): VPN 터널이 활성 상태이고 링크(VPN 모니터를 통해 탐지됨)가 중단되었습니다.
Yes: IPsec SA 상태는 활성 또는 작동 중입니다. 단계로 이동합니다.2
No: IPsec SA 상태가 다운입니다. 다운되었거나 활성화되지 않은 VPN 터널 문제를 해결하는 방법을 참조하세요.https://kb.juniper.net/InfoCenter/index?page=content&id=kb10100&actp=METADATA
VPN이 루프백 인터페이스 lo0을 외부 인터페이스로 사용하고 있는지 확인합니다. show configuration security ike
root> show configuration security ike policy ike_pol { proposal-set compatible; pre-shared-key ascii-text "$9$tMwDuIESreWX7yr4aGDkqIEhcvWbs2"; } gateway gate1 { ike-policy ike_pol; address 10.10.10.2; external-interface lo0.0; }송신 인터페이스(물리적 인터페이스)와 VPN 외부 인터페이스로 사용되는 lo0이 동일한 보안 영역에 있는지 확인합니다.
Yes: 단계로 이동합니다.4
No: VPN 외부 인터페이스와 물리적 송신 인터페이스가 모두 동일한 보안 영역에 있도록 보안 영역 할당을 업데이트합니다. 루프백 인터페이스에서 IPSec VPN이 종료될 때 트래픽 손실을 참조하십시오.https://kb.juniper.net/InfoCenter/index?page=content&id=KB22129&actp=METADATA
VPN이 경로 기반 VPN인 경우 단계로 진행합니다.5 정책 기반 VPN인 경우 단계로 진행합니다.8 정책 기반 VPN과 경로 기반 VPN의 차이점은 무엇입니까?를 참조하십시오.https://kb.juniper.net/InfoCenter/index?page=content&id=kb10105&actp=METADATA
경로가 st0 인터페이스를 통해 원격 네트워크에 할당되었는지 확인합니다. show route remote network
root@siteA > show route 192.168.20.10 inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.168.2.0/24 *[ARI-TS/5] 00:00:53 > via st0.0 <----------Yes: 단계로 이동합니다.6
No: st0 인터페이스를 통해 원격 네트워크에 경로를 할당합니다. 경로 기반 VPN이 작동 중이지만 트래픽을 전달하지 않음을 참조하세요 . 경로가 누락되었나요?.
주:BGP 또는 OSPF와 같은 동적 라우팅 프로토콜을 사용하는 경우 라우팅 프로토콜을 확인합니다.
단계 에서 원격 네트워크에 할당된 경로를 기반으로 VPN이 올바른 st0 인터페이스를 가리키고 있는지 확인합니다.5 show security ike 및 show security ipsec
먼저 명령을 사용하여 IKE 게이트웨이를 확인합니다.show security ike
root@siteA # show security ike ... gateway gw-siteB { <--------- ike-policy ike-phase1-policy; address 2.2.2.2; external-interface ge-0/0/3.0; }명령을 사용하여 해당 IKE 게이트웨이에 대한 IPsec VPN을 확인하고 출력에서 이(가) 인터페이스를 가리키는지 확인합니다.show security ipsec
bind-interfacest0이 예에서 VPN 은 인터페이스를 가리킵니다 .
ike-vpn-siteBst0.0root@siteA # show security ipsec ... vpn ike-vpn-siteB { bind-interface st0.0; ike { gateway gw-siteB; <--------- proxy-identity { local 192.168.2.0/24; remote 192.168.1.0/24; service any; } ipsec-policy ipsec-phase2-policy; } establish-tunnels immediately; }
Yes: 단계로 이동합니다.7
No: VPN이 올바른 st0 인터페이스를 가리키고 있지 않습니다. 현재 경로를 삭제하고 올바른 st0 인터페이스에 경로를 추가합니다. 경로 기반 VPN이 작동 중이지만 트래픽을 전달하지 않음을 참조하세요 . 경로가 누락되었나요?.
내부 영역에서 st0 보안 영역으로 트래픽을 허용하는 보안 정책이 있는지 확인합니다. show security policies
Yes: 단계로 이동합니다.8
No: 적절한 보안 정책을 만들고 VPN을 다시 테스트합니다. 경로 기반 VPN에 대한 정책을 구성하는 방법을 참조하세요.https://kb.juniper.net/InfoCenter/index?page=content&id=KB9514
트래픽을 허용하는 VPN 터널 보안 정책이 있는지 확인합니다. show security policies
root@siteA# show security policies ... from-zone trust to-zone untrust { policy vpn_egress { match { source-address local-net; destination-address remote-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } } from-zone untrust to-zone trust { policy vpn_ingress { match { source-address remote-net; destination-address local-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } }Yes: 단계로 이동합니다.9
No: 정책 기반 VPN 구성을 확인합니다. 정책 기반 사이트 간 VPN을 참조하십시오.https://kb.juniper.net/InfoCenter/index?page=content&id=TN107&actp=METADATA
트래픽이 단계 또는 단계에서 식별된 정책과 일치하는지 확인합니다.78 show security flow session source prefix source address destination prefix destination address
root@siteA> show security flow session source-prefix 192.168.2.0/24 destination-prefix 192.168.1.0/24 Session ID: 5801, Policy name: AtoB/2, Timeout: 1790, Valid In: 192.168.2.222/1 --> 192.168.1.13/23053;icmp, If: fe-0/0/2.0, Pkts: 59878, Bytes: 4602292 Out: 192.168.1.13/23053 --> 192.168.2.222/1;icmp, If: st0.0, Pkts: 52505, Bytes: 4189289
Yes: 단계로 이동합니다.10
No: 보안 정책의 순서를 확인합니다. show security match policies. 보안 정책 순서 이해를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/topics/topic-map/security-reordering-policies.html#id-understanding-security-policy-ordering
순서가 올바르면 데이터를 전달하지 않는 보안 정책 문제를 해결하는 방법을 참조하세요.https://kb.juniper.net/InfoCenter/index?page=content&id=kb10113&actp=METADATA
주:세션의 아웃 방향에 있는 카운터만 증가하는 경우 VPN 피어를 사용하여 트래픽이 수신되고 있는지 검증합니다.
pkts이는 이 터널이 형성된 VPN 피어의 패킷 카운터를 확인하여 다른 쪽 끝이 패킷을 수신하고 있는지 확인하기 위한 것입니다.
로그 및 플로우 추적 옵션을 수집하고 주니퍼 네트웍스 지원 팀에 문의해주십시오.
데이터 수집 검사 목록 - 문제 해결을 위해 수집할 로그/데이터에서 IPsec VPN 정책 기반 또는 경로 기반 VPN 섹션을 참조하십시오.https://kb.juniper.net/InfoCenter/index?page=content&id=kb21781#IpsecRouteBased
플로우 추적 옵션에 대한 자세한 내용은 ' 플로우 traceoptions' 및 'security datapath-debug' 사용 방법을 참조하세요.https://kb.juniper.net/InfoCenter/index?page=content&id=kb16233&actp=METADATA&act=login
주니퍼 네트웍스 지원 팀에 JTAC 케이스를 개설하려면 JTAC 케이스를 열기 전에 문제 해결을 지원하기 위해 수집해야 하는 데이터에 대한 고객 지원을 위한 데이터 수집을 참조하십시오 .https://www.juniper.net/documentation/en_US/release-independent/junos/topics/task/operational/data-collection-for-jtac.html