接続問題を IPSec VPN のトラブルシューティングする方法

接続問題を IPSec VPN のトラブルシューティングする方法

984188
Created On 09/25/18 20:36 PM - Last Modified 08/31/23 05:56 AM


Resolution


このドキュメントは、IPSec VPN 接続に関する問題のトラブルシューティングを支援するものです。それは、IPSec VPN の各フェーズの 1 つ 2 つの部分に分かれています。

 

フェーズ 1

  • ISP に関連する問題を排除、PA の外部インターフェイスからピア ip アドレスを使って ping を実行します。ピアの外部インターフェイスに ping が有効であることを確認します。
  • Ping は、セキュリティ要件ごとにブロックされている場合、は、他のピアがメイン/アグレッシブ モード メッセージ、または、DPDs に応答している場合を参照してください。「あなたはありますか"メッセージの [モニター] タブまたは [ikemgr ログ システム ログにピアから応答を確認します。
  • IKE の id が正しく構成されていることを確認します。
  • ポリシーは IKE および IPSec アプリケーションを許可する場所を確認します。通常ボックスで構成のクリーンアップ ルールがない場合、このポリシーは必要ではありません。クリーンアップ ルールが構成されている場合、ポリシーが構成されている通常外部ゾーンから外部ゾーンに。
  • 提案が正しいことを確認します。間違った場合は、次の CLI コマンドを使用して、[システム ログの不一致についてログを見つけることができます。
    >より少ない mp-ログ ikemgr
  • 事前共有キーが正しいことを確認してください。間違った場合は、次の CLI コマンドを使用して、[システム ログの不一致についてログを見つけることができます。
    >より少ない mp-ログ ikemgr
  • トラフィックを分析するパケット キャプチャを取る。フィルターを使用して、キャプチャされたトラフィックのスコープを絞り込みます。

  • 便利な CLI コマンド:
> vpn ike-sa ゲートウェイの表示<name> 
> vpn ike sa ゲートウェイのテスト<name>
> ike stat のデバッグ</name></name>

高度な CLI コマンド:

  • 詳細なログ出力をデバッグするには、ログ レベルをオンに。
> [デバッグ] の [ike グローバルのデバッグ]
> [mp-ログ ikemgr の少ないログ]
  • メイン/積極的かつクイック モード ネゴシエーションを表示するには、pcaps これらの交渉をキャプチャするために有効にすることが可能です。メッセージ 5 と 6 以降メイン モード、クイック モードでのすべてのパケットのデータ ペイロードは、暗号化があります。
> ike pcap のデバッグ
> 表示-pcap の dns ルックアップはいいいえ-ポート-ルックアップはいデバッグ-pcap ikemgr pcap
  • デバッグをオフにします。
> ike pcap のデバッグをオフにする 

パケット フィルターとキャプチャの構成に IKE pcap pcaps すべての VPN トラフィックを示しています 1 つの働いたとデバッグにのみ pcaps を制限します。

 

NAT-T が有効な場合を確認するには、メイン モードの第 5 回と第 6 回メッセージから 500 ではなくポート 4500 のパケットになります。

ピアのベンダー id はパロ ・ アルトのネットワーク デバイスと逆でサポートされてかどうかを確認します。

 

フェーズ 2

  • ファイアウォールが、トンネルを交渉しているを確認し、2 方向 Spi が存在することを確認します。
> vpn ipsec を表示する-sa
> vpn の ipsec- <tunnel.name></tunnel.name> sa トンネルを表示する
  • 提案が正しいかチェックしてください。間違った場合は、[モニター] タブで、次のコマンドを使用してシステム ログの下の不一致についてログを見つけることができます。
>より少ない mp-ログ ikemgr
  • 両端で pfs が有効かを確認します。間違った場合は、[モニター] タブで、またはコマンドを使用してシステム ログの下の不一致についてログを見つけることができます。
> より少ない mp-ログ ikemgr
  • プロキシ id の構成を確認します。これは通常、トンネルが2つのパロアルトネットワークファイアウォールの間にあるときには必要ありませんが、ピアが別のベンダからのものである場合、通常は id を構成する必要があります。
    不一致は、システムログの下、またはコマンドを使用して示されます。
> 少ない mp ログ ikemgr.log
  • 便利な CLI コマンド:
> vpn フロー名の表示<tunnel.id unnel.name=""> 
> vpn フロー名の表示<tunnel.id unnel.name="">| バイトの一致</tunnel.id></tunnel.id>
  • カプセル化およびカプセル化解除のバイトが増加しているかどうかを確認します。ファイアウォールは、トラフィックを通過は、両方の値を増加する必要があります。
> vpn フロー名を表示する<tunnel.id unnel.name="">| バイトの一致</tunnel.id>

カプセル化バイトが増加しており、カプセル化解除が一定場合、ファイアウォールが送信がパケットを受信していません。

  • ポリシーは、トラフィックをドロップしている場合、または ESP パケットをドロップすることがパンの前にデバイスの変換ポートを確認します。
> vpn フロー名を表示する<tunnel.id unnel.name="">| バイトの一致</tunnel.id>

 

カプセル化解除バイトが増加しており、カプセル化は一定場合、ファイアウォールは受信しますが、パケットを送信しません。

  • ポリシーはトラフィックをドロップしているかどうかを確認します。
> テストルーティング fib ルックアップ仮想ルーターの既定の ip <destination ip=""> 
 --------------------------------------------------
ランタイムルートルックアップ
--------------------------------------------------
仮想ルーター: 既定の
宛先: 10.5.1.1
結果: インターフェイストンネル. 1

>ルーティングルートを表示する
> vpn ipsec をテスト<name></name>する-sa トンネル       </destination>

高度な CLI コマンド: > [デバッグ]
の [ike グローバルのデバッグ]
> [以下の mp-ログ ikemgr] > [
ike pcap のデバッグ]
> [表示-pcap なし-dns-ルックアップはいいいえ-ポート-ルックアップはいデバッグ-pcap ikemgr
> デバッグ ike pcap オフ

トンネルがトラフィックは、トンネルを通過しない: 場合

  • セキュリティ ポリシーとルーティングを確認します。
  • 上流ポートとアドレス変換を実行する任意のデバイスを確認します。ESP はレイヤー 3 プロトコルで、ESP パケットにはポート番号はありません。このようなデバイスは、ESP パケットを受信、彼らを翻訳するポート番号が表示されないために彼らは静かにそれらを落とすことがあります可能性が高いがあります。
  • 必要に応じて、トラフィックはドロップを得る問題を特定するデバッグ パケット フィルター、キャプチャまたはログを適用します。

 

所有者: kprakash
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClivCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language