Solucionar problemas de una VPN que está activa pero que no pasa tráfico
Problema
Description
La VPN está activa, pero no hay tráfico de paso en una o ambas direcciones.
Este tema ayuda a solucionar los problemas que podrían impedir que el tráfico pase a través de un túnel VPN activo.
Entorno
VPN
Solución
Compruebe si la asociación de seguridad (SA) VPN está activa: show security ipsec security-associations
user@CORPORATE> show security ipsec security-associations total configured sa: 1 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0 >32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0
Si la puerta de enlace VPN aparece en la lista, el túnel se establece y está activo. El resultado muestra dos líneas para cada túnel VPN y muestra la información SPI para cada dirección del tráfico.
La supervisión de VPN utiliza el
MONcampo para mostrar el estado del túnel y tiene uno de los siguientes valores:- (guión): El túnel VPN está activo y la característica opcional del monitor VPN no está configurada.
U (arriba): El túnel VPN está activo y el vínculo (detectado a través del monitor VPN) está activo.
D (abajo): El túnel VPN está activo y el vínculo (detectado a través del monitor VPN) está inactivo.
Yes: El estado de SA de IPsec está activo o activo. Continúe con el paso 2.
No: El estado de SA IPsec está inactivo. Consulte Cómo solucionar problemas de un túnel VPN que está inactivo o que no está activo.
Compruebe si la VPN está utilizando la interfaz de circuito cerrado lo0 como interfaz externa: show configuration security ike
root> show configuration security ike policy ike_pol { proposal-set compatible; pre-shared-key ascii-text "$9$tMwDuIESreWX7yr4aGDkqIEhcvWbs2"; } gateway gate1 { ike-policy ike_pol; address 10.10.10.2; external-interface lo0.0; }Compruebe si la interfaz de salida (interfaz física) y lo0 utilizados como interfaz externa VPN se encuentran en la misma zona de seguridad.
Yes: Continúe con el paso 4.
No: Actualice las asignaciones de zonas de seguridad para que tanto la interfaz externa VPN como la interfaz de salida física estén en la misma zona de seguridad. Consulte Pérdida de tráfico cuando se termina VPN IPSec en la interfaz de circuito cerrado.
Si su VPN es una VPN basada en rutas, vaya al Paso 5. Continúe con Paso 8 si se trata de una VPN basada en políticas. Consulte ¿Cuál es la diferencia entre una VPN basada en políticas y una VPN basada en rutas?
Compruebe si se asigna una ruta a la red remota a través de la interfaz st0: show route remote network
root@siteA > show route 192.168.20.10 inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.168.2.0/24 *[ARI-TS/5] 00:00:53 > via st0.0 <----------Yes: Continúe con el paso 6.
No: Asigne una ruta a la red remota a través de la interfaz st0. Consulte La VPN basada en rutas está activa, pero no pasa tráfico. ¿Falta una ruta?.
Nota:Si utiliza un protocolo de enrutamiento dinámico, como BGP u OSPF, compruebe el protocolo de enrutamiento.
En función de la ruta asignada a la red remota en Paso 5, compruebe si la VPN apunta a la interfaz st0 correcta: show security ike y show security ipsec
En primer lugar, compruebe la puerta de enlace de IKE mediante el show security ike comando.
root@siteA # show security ike ... gateway gw-siteB { <--------- ike-policy ike-phase1-policy; address 2.2.2.2; external-interface ge-0/0/3.0; }Compruebe la VPN IPsec para esa puerta de enlace IKE mediante el show security ipsec comando y, en la salida, compruebe si
bind-interfaceapunta a last0interfaz.En este ejemplo, la VPN
ike-vpn-siteBapunta a last0.0interfaz.root@siteA # show security ipsec ... vpn ike-vpn-siteB { bind-interface st0.0; ike { gateway gw-siteB; <--------- proxy-identity { local 192.168.2.0/24; remote 192.168.1.0/24; service any; } ipsec-policy ipsec-phase2-policy; } establish-tunnels immediately; }
Yes: Continúe con el paso 7.
No: VPN no apunta a la interfaz st0 correcta. Elimine la ruta actual y agréguela a la interfaz st0 correcta. Consulte La VPN basada en rutas está activa, pero no pasa tráfico. ¿Falta una ruta?.
Compruebe si existe una política de seguridad que permita el tráfico desde la zona interna a la zona de seguridad st0: show security policies
Yes: Continúe con el paso 8.
No: Cree la política de seguridad adecuada y vuelva a probar la VPN. Consulte Cómo configurar una directiva para una VPN basada en rutas.
Compruebe si existe una política de seguridad de túnel VPN que permita el tráfico: show security policies
root@siteA# show security policies ... from-zone trust to-zone untrust { policy vpn_egress { match { source-address local-net; destination-address remote-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } } from-zone untrust to-zone trust { policy vpn_ingress { match { source-address remote-net; destination-address local-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } }Yes: Continúe con el paso 9.
No: Compruebe la configuración de VPN basada en políticas. Consulte VPN de sitio a sitio basada en políticas .
Compruebe si el tráfico coincide con las políticas identificadas en 7 paso o paso 8: show security flow session source prefix source address destination prefix destination address
root@siteA> show security flow session source-prefix 192.168.2.0/24 destination-prefix 192.168.1.0/24 Session ID: 5801, Policy name: AtoB/2, Timeout: 1790, Valid In: 192.168.2.222/1 --> 192.168.1.13/23053;icmp, If: fe-0/0/2.0, Pkts: 59878, Bytes: 4602292 Out: 192.168.1.13/23053 --> 192.168.2.222/1;icmp, If: st0.0, Pkts: 52505, Bytes: 4189289
Yes: Continúe con el paso 10.
No: Compruebe el orden de las políticas de seguridad: show security match policies. Consulte Descripción del orden de las políticas de seguridad.
Si el orden es correcto, consulte Cómo solucionar problemas de una directiva de seguridad que no pasa datos.
Nota:Si solo se incrementa el
pktscontador en la dirección de salida de la sesión, valide con el par VPN que se está recibiendo el tráfico.Esto es para comprobar los contadores de paquetes en el par VPN con el que se forma este túnel para ver si el otro extremo está recibiendo los paquetes.
Recopile registros y opciones de seguimiento de flujo y abra un caso con el equipo de soporte de Juniper Networks:
Consulte las secciones VPN IPsec basadas en políticas o VPN basadas en rutas en Lista de comprobación de recopilación de datos: registros y datos que se deben recopilar para la solución de problemas.
Para obtener información acerca de las opciones de seguimiento de flujo, consulte Cómo usar 'flow traceoptions' y 'security datapath-debug'.
Para abrir un caso del JTAC con el equipo de soporte de Juniper Networks, consulte Recopilación de datos para atención al cliente para conocer los datos que debe recopilar para ayudar en la solución de problemas antes de abrir un caso del JTAC.