DPDによってダウンしたIKEv2 IPsec VPNトンネルのトラブルシューティング方法
12867
Created On 07/15/24 21:31 PM - Last Modified 08/14/24 01:48 AM
Objective
- IPsec VPN トンネルの両方のエンドポイントで活性チェックの設定を確認します。
- DPD ダウン イベントのタイムスタンプを使用して、VPN ピア間の接続に影響を与える可能性のある他のイベントと関連付けます。
- IPsec VPN 接続のトラブルシューティングを行います。
- デバッグ パケット キャプチャを収集して、ファイアウォールが Liveness Check パケットを送受信しているかどうかを確認します。
Environment
- IPsec VPNトンネル
- IKEv2 (英語)
- DPD/活性チェック
Procedure
- IPsec VPN トンネルの両方のエンドポイントで活性チェックの設定を確認します。 NGFW の場合は、[ネットワーク] > [ネットワーク プロファイル] > [IKE ゲートウェイ] > [詳細オプション] に移動します。 Liveness Check が有効になっていて、間隔がトンネルのもう一方の端の設定と一致していることを確認します。
- IKEv2 は、活性チェック (IKEv1 の Dead Peer Detection(DPD) と同様) を使用して、ピアがまだ使用可能かどうかを判断します。 活性チェックオプションはデフォルトで有効になっています。
- DPD が原因で IPsec トンネルがダウンすると、次のログ メッセージがシステム ログに表示されます。
> show log system direction equal backward 2019/03/06 18:24:04 low vpn seapa- ikev2-n 0 IKEv2 IKE SA is down determined by DPD. 2019/03/06 17:26:27 low vpn seapa- ikev2-n 0 IKEv2 IKE SA is down determined by DPD.
また、以下のメッセージが ikemgr ログに表示されます。> less mp-log ikemgr.log 2019-03-06 17:26:28.000 -0800 [INFO]: \{ 1: 1}: DPD down, rekey vpn tunnel <awsseapa-to-azeapa>, SA state ESTABLISHED 2019-03-06 18:24:05.000 -0800 [INFO]: \{ 1: 1}: DPD down, rekey vpn tunnel <awsseapa-to-azeapa>, SA state ESTABLISHEDライブチェックの既定の間隔は、SA がアイドル状態のときの5秒ごとです。 接続が失われると、ファイアウォールは 10 回のライブ再試行を行います。 最大再試行回数に達すると、ファイアウォールはフェーズ 1 とフェーズ 2 の SA を破棄します。 上記のメッセージを探し、タイムスタンプをメモしておけば、他の関連イベントを関連付けるために使用できます。これにより、liveness check の失敗の根本原因を突き止めることができます。 - DPD が原因で IPsec トンネルがダウンした場合は、IPsec VPN ピア間に接続の問題があることを示しています。 修復方法の詳細については、「IPSec VPN 接続の問題をトラブルシューティングする方法」を参照してください。
- DPDによるトンネルダウンの継続的な問題、およびファイアウォールが空の情報パケットであるlivenessチェックパケットを受信または送信しているかどうか疑わしい場合。 debug ikemgr パケット キャプチャを収集するためのメンテナンス ウィンドウを設定します。
debug ike pcap on view-pcap no-dns-lookup yes no-port-lookup yes debug-pcap ikemgr.pcap scp export debug-pcap from ikemgr.pcap to username@host:path debug ike pcap off注:上記のコマンド、特にオレンジ色で強調表示されているコマンドでは、リソースを大量に消費する可能性があるため、メンテナンス期間中に発行することをお勧めします。- ファイアウォールが空の情報活性チェックパケットを送受信している場合、パケットキャプチャは次のようになります。
- 同様に、次の図に示すように、パケット フィルタの送信元と宛先をエンドポイントの IP アドレスに設定することで、トンネルの 2 つのエンドポイント間でデータプレーン パケット キャプチャを実行できます。
- 次のコマンドを使用して、影響を受けるゲートウェイのデバッグを有効にします。
debug ike gateway <name of the gateway> on debug
この場合のikemgログには、次のメッセージが表示されます。2024-07-15 10:55:41.005 -0700 [DEBG]: 10.46.36.241[500] - 10.46.36.240[500]:(nil) 1 times of 76 bytes message will be sent over socket 1024 2024-07-15 10:55:41.007 -0700 [DEBG]: processing isakmp packet 2024-07-15 10:55:41.007 -0700 [DEBG]: === 2024-07-15 10:55:41.007 -0700 [DEBG]: 76 bytes message received from 10.46.36.240 2024-07-15 10:55:41.007 -0700 [DEBG]: { 2: }: [IKE Initiator] response message_id 704 expected 704 2024-07-15 10:55:41.013 -0700 [DEBG]: { 2: }: response exch type 37 2024-07-15 10:55:41.013 -0700 [DEBG]: { 2: }: update response message_id 0x2c0 2024-07-15 10:55:46.005 -0700 [DEBG]: 10.46.36.241[500] - 10.46.36.240[500]:(nil) 1 times of 76 bytes message will be sent over socket 1024 2024-07-15 10:55:46.006 -0700 [DEBG]: processing isakmp packet 2024-07-15 10:55:46.006 -0700 [DEBG]: === 2024-07-15 10:55:46.006 -0700 [DEBG]: 76 bytes message received from 10.46.36.240 2024-07-15 10:55:46.006 -0700 [DEBG]: { 2: }: [IKE Initiator] response message_id 705 expected 705 2024-07-15 10:55:46.014 -0700 [DEBG]: { 2: }: response exch type 37 2024-07-15 10:55:46.014 -0700 [DEBG]: { 2: }: update response message_id 0x2c1 - 次のコマンドを使用してデバッグを無効にします。
debug ike gateway <name of the gateway> off
- ファイアウォールが空の情報活性チェックパケットを送受信している場合、パケットキャプチャは次のようになります。
- IKEv2 活性チェックの動作に関する重要な注意点:
- DPD(IKEv2 の場合の活性チェック)は常にオンです。 空の情報パケット以外のすべての IKEv2 パケットは、活性チェックの目的を果たします。
- 活性チェックパケット(情報)は、IKE SA と子 SA を介してdpd_intervalした後、アクティビティがない場合にのみ送信されます。
- 有効: はいに設定すると、非アクティブ (IKE) がしばらく続いた後に空の情報メッセージが送信されます。 この待機時間は dpd_interval によって定義されます。
- 活性チェックに失敗した場合、IKE SA とその IKE SA を介してセットアップされたすべての子 SA は削除されます。 IKE ゲートウェイは、新しいIKE_SA_INIT交換を開始します。
- トンネルの 2 つのピア間で収集されたパケット キャプチャに基づいて、問題の解決には、両方のエンドポイントで活性チェック間隔の値を大きくしてチェックの厳密性を下げることで、活性チェック間隔の値を調整することが含まれる場合があります。 その他の解決策としては、誤って設定されたポリシーの修正、適切なルート エントリの設定、またはリモート ピアの到達可能性に影響を与える潜在的なネットワークの問題に対処することが含まれる場合があります。
Additional Information
活性チェック:IKE SA に関連付けられたすべての SA で送信トラフィックのみが発生した場合は、ブラック ホールを回避するために、他のエンドポイントの活性を確認することが不可欠です。 IKEv2 ゲートウェイは、デッド ピアにメッセージを送信しないように、ライブネス チェックを実行できます。 暗号で保護された新しいメッセージを IKE SA またはその子 SA で受信すると、IKE SA とそのすべての子 SA の活性が確保されます。