本文档旨在帮助解决 IPSec VPN 连接问题。它分为两部分,分别为每个阶段的 IPSec VPN。
第 1 阶段
- 要排除 ISP 有关的问题,请尝试执行 ping 命令从巴勒斯坦权力机构外部接口的同行 IP。确保对等方的外部接口上启用 ping 命令。
- 如果 ping 命令已被封锁每安全要求,看到另一个对等回应主要激进模式的消息或量子化学。检查"?你有消息从同行中的系统日志或 ikemgr 日志监视器选项卡下的反应。
- 检查正确配置了该 IKE 身份。
- 检查政策到位,以允许 IKE 和 IPSec 的应用程序。通常如果没有清理规则配置在框中,则不需要这项政策。如果清理规则进行配置,配置策略通常从外部区域到外部的区域。
- 检查建议正确。如果不正确,可以找到不匹配的日志下的系统日志,或通过使用以下 CLI 命令:
>>少 mp 日志 ikemgr.log
- 检查该预共享的密钥正确。如果不正确,可以找到不匹配的日志下的系统日志,或通过使用以下 CLI 命令:
>>少 mp 日志 ikemgr.log
- 带数据包捕获分析交通。使用筛选器来捕获通信的范围缩窄。
- 有用的 CLI 命令:
>> 显示 vpn ike 网关<name>
> 测试 vpn ike-sa 网关<name>
> 调试 ike 统计</name></name>
先进的 CLI 命令:
>> 调试 ike 全局在调试
>> 少 mp 日志 ikemgr.log
- 若要查看主/侵略性和快速模式协商,就可以打开 pcaps 用于捕获这些谈判。5 和 6 起在主模式和快速模式中的所有数据包的消息已加密的数据有效负载:
>> 调试 ike pcap 在
>> 查看-pcap 无 dns 查找是无端口查找是调试-pcap ikemgr. pcap
>> 调试 ike pcap 关闭
配置数据包筛选器和捕获限制 pcaps 只对 IKE pcap 上的显示所有 VPN 通讯的 pcaps 的一个工作,调试。
要检查是否启用了 NAT T,数据包将在端口 4500 而不是从第 5 和第 6 次邮件 500 的主要模式。
检查是否对等方的供应商 id 支持在帕洛阿尔托网络设备,反之亦然。
第二阶段
- 检查是否防火墙正在谈判的隧道,并确保 2 单向 Spi 存在:
>> 显示 vpn ipsec-sa
> 显示 vpn ipsec-sa 隧道<tunnel.name></tunnel.name>
- 检查是否是正确的建议。如果不正确,可以下系统日志下监视器选项卡,或通过使用以下命令找到不匹配的日志:
>>少 mp 日志 ikemgr.log
- 检查是否在两端启用 pfs。如果不正确,可以根据系统日志下监视器选项卡,或通过使用命令找到不匹配的日志:
>> 少 mp 日志 ikemgr.log
- 请检查代理服务器 id 配置。当隧道位于两个帕洛阿尔托网络防火墙之间时, 通常不需要这样做, 但当对等方来自其他供应商时, 通常需要配置 IDs。在
系统日志下或使用命令时将显示不匹配:
> 少 mp 日志 ikemgr.log
>> 显示 vpn 流名<tunnel.id unnel.name="">
> 显示 vpn 流名<tunnel.id unnel.name="">| 匹配字节</tunnel.id></tunnel.id>
- 检查是否越来越多的封装和解封装的字节。如果防火墙过往的车辆,那么应该增加这两个值。
>> 显示 vpn 流名<tunnel.id unnel.name="">| 匹配字节</tunnel.id>
如果越来越多的封装字节和开封是恒定的然后发送防火墙的值,但将不接收数据包。
- 请检查如果政策丢弃的通信量,或者翻译可能会丢弃 ESP 数据包的泛在设备的端口。
>> 显示 vpn 流名<tunnel.id unnel.name="">| 匹配字节</tunnel.id>
如果越来越多的开封字节和封装是恒定的然后接收防火墙的值,但将不传送数据包。
>> 测试路由的谎言-查找虚拟路由器默认 ip <destination ip="">
--------------------------------------------------
运行时路由查找
--------------------------------------------------
虚拟路由器: 默认
目标: 10.5.1.1
结果: 接口隧道 1
>>显示路由路线
> 测试 vpn ipsec-sa 隧道<name></name> </destination>
高级 CLI 命令:
>> 调试 ike 全局在调试
>> 少 mp-日志 ikemgr.log
>> 调试 ike pcap
>> 查看-pcap 无 dns 查找是无端口查找是调试-pcap ikemgr. pcap
> 调试 ike pcap 关闭
如果隧道上升但是交通不穿过隧道:
- 检查安全策略和路由。
- 检查有任何设备上游执行端口和地址翻译。因为 ESP 是第 3 层协议,ESP 数据包没有端口号。当 ESP 数据包接收此类设备时,还有可能性很高,他们可能会丢弃他们,因为他们看不到的端口号来翻译。
- 应用调试数据包筛选器、捕获或日志,如果有必要,隔离摔倒的交通问题。
所有者: kprakash