Cómo analizar mensajes de estado VPN de fase 2 de IKE
Problema
Description
Revise y analice los mensajes de estado de VPN relacionados con problemas causados por un IKE inactivo Fase 2.
Síntomas
La fase 2 de IKE no está activa.
El show security ipsec security-associations resultado del comando no muestra la dirección remota de la VPN.
Solución
La mejor manera de solucionar los problemas de fase 2 de IKE es revisando los mensajes de estado de VPN del firewall del respondedor.
El firewall del respondedor es el lado receptor de la VPN que recibe las solicitudes de configuración del túnel. El firewall del iniciador es el lado iniciador de la VPN que envía las solicitudes iniciales de configuración del túnel.
Con la CLI, configure un archivo syslog, kmd-logs, para los registros de estado de VPN en el firewall del respondedor.
Consulte KB10097-Cómo configurar syslog para mostrar mensajes de estado VPN. Cuando aparece el túnel VPN, los mensajes se capturan en ldm-logs.
Con la CLI, compruebe si hay mensajes de error de fase 2: show log kmd-logs
Ejemplos de mensajes de salida:
Message: Jul 10 16:14:30 210-2 kmd[52472]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.10.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=10.10.10.0/24)] for local ip: 2.2.2.1, remote peer ip:2.2.2.2
Significado: la identidad de proxy del dispositivo par no coincide con la identidad de proxy local.
Acción: el ID de proxy debe ser exactamente inverso al ID de proxy configurado del par. Consulte KB10124 - Cómo corregir el error de fase 2: Error al hacer coincidir los ID de proxy par.
Message: Jul 16 21:14:20 kmd[1456]: IKE Phase-2 Failure: Quick mode - no proposal chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2] Jul 16 21:14:20 kmd[1456]: KMD_VPN_PV_PHASE2: IKE Phase-2 Failure: Quick mode - no proposal chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2] Jul 16 21:14:20 kmd[1456]: IKE Phase-2: Negotiations failed. Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2
Significado: el dispositivo que ejecuta Junos OS no aceptó ninguna de las propuestas de fase 2 de IKE que envió el par IKE especificado.
Acción: permite verificar los elementos de configuración de VPN de fase 2 local. Los elementos de la propuesta de la Fase 2 incluyen lo siguiente:
Algoritmo de autenticación
Algoritmo de cifrado
Kilobytes de por vida
Segundos de por vida
Protocolo
Confidencialidad directa perfecta
Puede cambiar la configuración local para aceptar al menos una de las propuestas de fase 2 del par remoto, o ponerse en contacto con el administrador del par remoto y organizar las configuraciones de IKE en ambos extremos del túnel para utilizar al menos una propuesta de fase 2 mutuamente aceptable.
Ejemplos de mensajes de salida:
IPsec proposal mismatch
Message: Sep 7 09:26:57 kmd[1393]: IKE negotiation failed with error: No proposal chosen. IKE Version: 1, VPN: vpn1 Gateway: ike-gw, Local: 10.10.10.1/500, Remote: 10.10.10.2/500, Local IKE-ID: 10.10.10.1, Remote IKE-ID: 10.10.10.2, VR-ID: 0
Nota:Si
Local IKE-IDyRemote IKE-IDse muestran comoNot-Available, entonces es un mensaje de error de fase 1. Consulte KB30548 - Mensajes de estado de VPN de fase 1 de IKE en 12.1X44 y versiones posteriores.Acción: permite verificar los elementos de configuración de VPN de fase 2 local. Los elementos de la propuesta de la Fase 2 incluyen lo siguiente:
Algoritmo de autenticación
Algoritmo de cifrado
Kilobytes de por vida
Segundos de por vida
Protocolo
Confidencialidad directa perfecta
Proxy-ID mismatch
Ejemplos de mensajes de salida:
Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local ip: 10.10.10.2, remote peer ip:10.10.10.1
Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local ip: 10.10.10.2, remote peer ip:10.10.10.1
Acción: el ID de proxy debe coincidir exactamente con el ID de proxy configurado del par. Consulte KB10124 - Cómo corregir el error de fase 2: Error al hacer coincidir los ID de proxy par.
Si la conexión VPN se establece correctamente, puede ver los siguientes mensajes en el syslog:
Sep 10 08:35:03 kmd[1334]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.2, Remote gateway: 10.10.10.1, Local ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Direction: inbound, SPI: 0x4b23e914, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Sep 10 08:35:03 kmd[1334]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.2, Remote gateway: 10.10.10.1, Local ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Direction: outbound, SPI: 0xa90982b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Sep 10 08:35:03 kmd[1334]: KMD_VPN_UP_ALARM_USER: VPN test_vpn from 10.10.10.1 is up. Local-ip: 10.10.10.2, gateway name: ike-gw, vpn name: vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: Not-Available, Local IKE-ID: 10.10.10.2, Remote IKE-ID: 10.10.10.1, XAUTH username: Not-Applicable, VR id: 0
Sep 9 06:57:34 kmd[1393]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.1, Remote gateway: 10.10.10.2, Local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Direction: inbound, SPI: 0xa90982b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic, Traffic-selector: Sep 9 06:57:34 kmd[1393]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.1, Remote gateway: 10.10.10.2, Local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Direction: outbound, SPI: 0x4b23e914, AUX-SPI: 0, Mode: Tunnel, Type: dynamic, Traffic-selector: Sep 9 06:57:34 kmd[1393]: KMD_VPN_UP_ALARM_USER: VPN test_vpn from 10.10.10.2 is up. Local-ip: 10.10.10.1, gateway name: ike-gw, vpn name: vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: Not-Available, Local IKE-ID: 10.10.10.1, Remote IKE-ID: 10.10.10.2, XAUTH username: Not-Applicable, VR id: 0, Traffic-selector: , Traffic-selector local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Traffic-selector remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24)ze: 12px;">IPsec Proposal mismatch
Si no pudo encontrar ningún mensaje de fase 2, continúe con Paso 4.
Con la CLI, revise las propuestas de fase 2 y confirme que la configuración coincida con las propuestas de fase 2 configuradas por el par: show security ipsec
show security ipsec proposal ipsec-phase2-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-128-cbc; } policy ipsec-phase2-policy { perfect-forward-secrecy { keys group2; } proposals ipsec-phase2-proposal; } vpn ike-vpn-srx1 { vpn-monitor; ike { gateway gw-srx1; ipsec-policy ipsec-phase2-policy; } }Si el problema persiste, para abrir un caso del JTAC con el equipo de soporte de Juniper Networks, consulte Recopilación de datos para el servicio de atención al cliente para conocer los datos que debe recopilar para ayudar en la solución de problemas antes de abrir un caso del JTAC.