EN ESTA PÁGINA
Solucionar problemas de un túnel VPN que aletea
Problema
Description
Túnel VPN de sitio a sitio o aleteo de túnel VPN IPsec remoto (es decir, subir y bajar en rápida sucesión).
Diagnóstico
¿El problema afecta solo a una VPN?
Sí: Compruebe los registros del sistema y continúe con el paso 2. Use el
show log messagescomando para ver los registros. Debe habilitar el registro a nivel de información para que los mensajes se notifiquen correctamente.user@host # set system syslog file messages any infoEstos son algunos ejemplos de registros del sistema que informan de un túnel VPN que oscila:
VPN up/down events:
Jul 9 21:07:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2 is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:08:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2 is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:09:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2 is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:10:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2 is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4
Unstable VPN behavior (VPN constantly rebuilding):
Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0xfd91b643, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0xbdec9669, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:44:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0x69b34ae4, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:44:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0x6f55d8ea, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:45:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0x6fa6b0b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:45:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0xa66ac906, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
-
No: Si el problema está en todas las VPN configuradas, investigue los errores asociados con la conexión a Internet y en las interfaces de firewall y conmutador de la serie SRX. Para comprobar si hay errores en la interfaz del firewall de la serie SRX, ejecute el
show interfaces extensivecomando.
-
Compruebe que el Monitor VPN está habilitado para esta VPN mediante el
show configuration security ipsec vpn vpn-namecomando.¿Está habilitado VPN Monitor?
-
Sí: Continúe con el paso 3.
-
No: Continúe con el paso 5.
-
-
Desactive VPN Monitor y compruebe la VPN.
user@host# deactivate security ipsec vpn vpn-name vpn-monitoruser@host# commit¿La VPN es estable?
-
Sí: La inestabilidad está relacionada con la configuración del Monitor VPN. Continúe con el paso 4.
-
No: Continúe con el paso 5.
-
-
¿Está configurada la conexión VPN remota para bloquear las solicitudes de eco ICMP?
-
Sí: Vuelva a habilitar y reconfigurar VPN Monitor para usar la interfaz de origen y las opciones de IP de destino. Véase KB10119.
-
No: Continúe con el paso 5.
-
-
¿El dispositivo remoto que está conectado al firewall de la serie SRX no es un dispositivo de Juniper?
-
Sí: Compruebe el proxy-id valor en el firewall de la serie SRX y en el dispositivo VPN del mismo nivel.
-
No: Continúe con el paso 6.
-
-
¿La VPN fue estable durante un período de tiempo y luego comenzó a subir y bajar?
-
Sí: Investigue si hay cambios en la red o del dispositivo, o si se ha agregado algún equipo de red nuevo al entorno.
-
No: Recopile registros de sitio a sitio de los dispositivos VPN en ambos extremos y abra un caso con su representante de soporte técnico. Consulte Recopilación de datos para atención al cliente.
-