DPDによってダウンしたIKEv1 IPsec VPNトンネルのトラブルシューティング方法
10970
Created On 07/15/24 21:32 PM - Last Modified 12/08/25 19:39 PM
Objective
- IPsec VPN トンネルの両方のエンドポイントで Dead Peer Detection(DPD)設定を確認します。
- DPD ダウン イベントのタイムスタンプを使用して、VPN ピア間の接続に影響を与える可能性のある他のイベントと関連付けます。
- IPsec VPN 接続のトラブルシューティングを行います。
- デバッグ パケット キャプチャを収集して、ファイアウォールが DPD パケットを送受信しているかどうかを確認します。
Environment
- IPsec VPNトンネル
- IKEv1 (IKEv1)
- デッドピア検出(DPD
Procedure
- IPsec VPN トンネルの両方のエンドポイントで Dead Peer Detection DPD 設定を確認します。 NGFW の場合は、[ネットワーク] > [ネットワーク プロファイル] > [IKE ゲートウェイ] > [詳細オプション] に移動します。 デッドピア検出が有効になっており、DPD 間隔と再試行がトンネルのもう一方の端の設定と一致していることを確認します。
- DPD が原因で IPsec トンネルがダウンすると、次のログ メッセージがシステム ログに表示されます。
> show log system direction equal backward 2021/01/14 21:05:02 IKE phase-1 SA is down determined by DPD. 2021/01/13 21:17:24 IKE phase-1 SA is down determined by DPD. 2021/01/12 20:41:32 IKE phase-1 SA is down determined by DPD.
また、以下のメッセージが ikemgr ログに表示されます。> less mp-log ikemgr.log 2021-01-14 11:25:12 2021-01-14 21:05:02.001 +0200 [INFO]: { 14: 219}: DPD down, rekey vpn tunnel <NIDA_VPN_MACH:ProxyID15>DPD パケットを送信するデフォルトの間隔は、SA がアイドル状態のときに 5 秒ごとです。 接続が失われると、ファイアウォールは 5 回の DPD 再試行を行い、最大再試行回数に達すると、ファイアウォールはフェーズ 1 とフェーズ 2 の SA を切断します。 上記のメッセージを探し、タイムスタンプをメモして、DPD障害の根本原因を見つけるのに役立つ他のイベントを関連付けるために使用できます。 - DPD が原因で IPsec トンネルがダウンした場合は、IPsec VPN ピア間に接続の問題があることを示しています。 修復方法の詳細については、「IPSec VPN 接続の問題をトラブルシューティングする方法」を参照してください。
- DPD で進行中の問題の場合、DPD チェックを無効にすることで問題が解決され、ファイアウォールが空の情報パケットである DPD パケットを受信または送信しているかどうかが疑わしい場合。 debug ikemgr パケット キャプチャを収集するためのメンテナンス ウィンドウを設定します。 DPDは「永続的ではない」ため、フェーズ2のキー再生成によってのみトリガーされるため、DPD機能をテストおよび確認するには、以下のテストコマンドを使用してフェーズ2のキー再生成を手動でトリガーする必要があります。 :
debug ike pcap on test vpn ipsec-sa tunnel <name of the tunnel> debug ike pcap off view-pcap no-dns-lookup yes no-port-lookup yes debug-pcap ikemgr.pcap scp export debug-pcap from ikemgr.pcap to username@host:path
- ノート: 上記のコマンドには注意してください: オレンジ色で強調表示されているコマンドはリソースを大量に消費するコマンドになる可能性があるため、メンテナンスウィンドウ中に発行することをお勧めします。そうしないと、上記の 3 番目のコマンドを使用して pcap をオフにする前に、pcap が短時間オンになっていることを確認してください。
- ファイアウォールが空の情報DPDパケットを送受信している場合、パケットキャプチャは次のようになります。
- 次のコマンドを使用して、影響を受けるゲートウェイのデバッグを有効にします。
debug ike gateway <name of the gateway> on debug
The ikemg logs in this case will show the below messages:The ikemg logs in this case will show the below messages:2024-07-15 16:11:24.016 -0700 [DEBG]: { 2: }: DPD monitoring.... ip 0 0 2024-07-15 16:11:24.016 -0700 [DEBG]: { 2: }: compute IV for phase2 2024-07-15 16:11:24.016 -0700 [DEBG]: { 2: }: phase1 last IV: 2024-07-15 16:11:24.016 -0700 [DEBG]: { 2: }: encryption(aes) 2024-07-15 16:11:24.016 -0700 [DEBG]: { 2: }: phase2 IV computed: 2024-07-15 16:11:24.016 -0700 [DEBG]: { 2: }: HASH with: 2024-07-15 16:11:24.016 -0700 [DEBG]: { 2: }: hmac(hmac_sha1) 2024-07-15 16:11:24.016 -0700 [DEBG]: { 2: }: HASH computed: 2024-07-15 16:11:24.017 -0700 [DEBG]: { 2: }: begin encryption. 2024-07-15 16:11:24.017 -0700 [DEBG]: { 2: }: encryption(aes) 2024-07-15 16:11:24.017 -0700 [DEBG]: { 2: }: pad length = 8 2024-07-15 16:11:24.017 -0700 [DEBG]: { 2: }: encryption(aes) 2024-07-15 16:11:24.017 -0700 [DEBG]: { 2: }: with key: 2024-07-15 16:11:24.017 -0700 [DEBG]: { 2: }: encrypted payload by IV: 2024-07-15 16:11:24.017 -0700 [DEBG]: { 2: }: save IV for next: 2024-07-15 16:11:24.017 -0700 [DEBG]: { 2: }: encrypted. 2024-07-15 16:11:24.017 -0700 [DEBG]: { 2: }: 92 bytes from 10.46.36.241[500] to 10.46.36.240[500] 2024-07-15 16:11:24.017 -0700 [DEBG]: { 2: }: sendto Information notify. 2024-07-15 16:11:24.017 -0700 [DEBG]: { 2: }: DPD R-U-There sent (0) 2024-07-15 16:11:24.017 -0700 [DEBG]: { 2: }: rescheduling send_r_u (5). 2024-07-15 16:11:24.019 -0700 [DEBG]: { 2: }: receive Information. 2024-07-15 16:11:24.019 -0700 [DEBG]: { 2: }: compute IV for phase2 2024-07-15 16:11:24.019 -0700 [DEBG]: { 2: }: phase1 last IV: 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: encryption(aes) 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: phase2 IV computed: 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: begin decryption. 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: encryption(aes) 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: IV was saved for next processing: 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: encryption(aes) 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: with key: 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: decrypted payload by IV: 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: decrypted payload, but not trimed. 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: padding len=8 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: decrypted. 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: HASH with: 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: hmac(hmac_sha1) 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: HASH computed: 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: hash validated. 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: begin. 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: seen nptype=8(hash) 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: seen nptype=11(notify) 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: succeed. 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: DPD R-U-There-Ack received 2024-07-15 16:11:24.020 -0700 [DEBG]: { 2: }: received an R-U-THERE-ACK 2024-07-15 16:11:24.020 -0700 [PNTF]: { 2: }: notification message 36137:R-U-THERE-ACK, doi=1 proto_id=1 spi=30712ff29eddaded 8256275ddba5a1c2 (size=16). 2024-07-15 16:11:46.016 -0700 [DEBG]: { 2: }: del packet d0f81e2a:20 size 44, rcp 0 - トンネルの 2 つのピア間で収集されたパケット キャプチャに基づいて、問題の解決には、DPD タイムアウト値の調整、両方のエンドポイントの DPD 間隔と再試行値の増加による DPD チェックの厳密さの低下が含まれる場合があります。 その他の解決策としては、誤って設定されたポリシーの修正、適切なルート エントリの設定、またはリモート ピアの到達可能性に影響を与える潜在的なネットワークの問題に対処することが含まれる場合があります。
- ファイアウォールが空の情報DPDパケットを送受信している場合、パケットキャプチャは次のようになります。
Additional Information
確認するその他の参照先:
Palo Alto Networks ファイアウォールと Cisco Router 間のサイト間 IPSec VPN が不安定または断続的です。
IPSec トンネル全体のデッド ピア検出とトンネル監視とは何ですか?