IPSecトンネルが失敗する原因は、多くの異なる要因があります。例えば、設定の間違い、ルーティングの誤設定、またはハードウェアの問題の可能性があります。 この記事では、トンネル接続の問題の根本原因を調査し発見するために使用できるさまざまなツールと、それらを是正する方法について説明します。
サイトのIPsecセクションには、サイトの接続性問題をトラブルシューティングするために使用できるツールが含まれています。これには以下が含まれます:
- タイムライン接続ログ
- トラフィックキャプチャ (PCAP)
- 接続ステータス
- トンネルをリセット
これらのツールはIPSecサイトタイプ(IKEv1, IKEv2)で利用可能で、プライマリおよびセカンダリのトンネルに使用できます。
注意: トラブルシューティングツールはIPSec IKEv1 FW-initには対応していません。
IPsecセクションを表示するには、サイト設定 > IPSec に移動します。
タイムライン接続ログは最近のイベントの記録であり、トンネルの状態の「履歴」を最終ユーザーに提供します。これは調査の際に役立つ場合があります。
タイムラインをダウンロードすると、IPSecネゴシエーションの変更に関する時系列ログが含まれた(アクティブおよびアーカイブ)の2つのCSVファイルが提供されます。
この読みやすい形式により、変更が発生した時期とその原因を簡単に特定できます。
注意: タイムラインログは使いやすさのためにUTCタイムゾーンで表示されます。
タイムラインログをダウンロードするには、IPsecサイトのプライマリまたはセカンダリセクションを展開し、タイムラインをクリックします。
パケットキャプチャはトンネル上で起こっていることの低レベルな分析を提供します。 これは深い調査のために役立ちます。 Cato管理アプリケーションを使用して、IPsec接続に使用される関連するCato PoPからPCAPをダウンロードできます。
2つのPCAPファイル(アクティブおよびアーカイブPCAP)がダウンロードされます。 ファイルにはトンネルを通過する各パケットに関する説明が含まれており、プロトコル、ポート、メッセージタイプなども記載されています。
接続ステータスツールは、IPSecサイトの状態概要を表示します。 接続ステータスボタンをクリックすると、最後の利用可能なデータスナップショットが取得され、画面に表示されます。
サイトが切断されている場合、接続ステータスは取得されません。
The connection status includes the following summary fields for each IPSec tunnel:
- サイト名
- アカウント名
- ローカルアドレス
- ピアアドレス
- 最後にIKE SAが確立された
- 最後にESP SAが確立された
- Initメッセージパラメータ(プロトコル、DHグループ、暗号化アルゴリズム、暗号化キー長、PRFアルゴリズム、整合性アルゴリズム)
- Authメッセージパラメータ(プロトコル、DHグループ、暗号化アルゴリズム、暗号化キー長、整合性アルゴリズム)
- 接続IKE SAs(SPIイニシエータ、SPIレスポンダー、ローカルポート、ピアポート、現在のステージ、タイムスタンプ)
- IKE接続のアルゴリズム(DH長、PRFアルゴリズム、整合性アルゴリズム、暗号アルゴリズム、GCM暗号化)
- フラグ
- 接続ESP SAs(SPIイニシエータ、SPIレスポンダー、タイムスタンプ、IKE SPIデータ、受信および送信データパケット)
- ESP接続アルゴリズム(DH長、整合性アルゴリズム、暗号アルゴリズム、GCM暗号化)
- フラグ
接続済みPoPをトリガーして、リモートピアアドレスでIPSecトンネルをリセットできる。 トンネルをリセットすると、サイトの接続を再確立するのに役立つことがあります。
IPsecトンネルをリセットするには、IPsecサイトのプライマリまたはセカンダリセクションを展開して、トンネルをリセットをクリックします。
次のセクションでは、IPSecトンネルの問題を調査するときに考慮すべき一般的なステップを含んでいます。
注意:これらのステップは、パケット損失の問題とは関係ありません。
-
最近のステータスページのヘルス変更を確認する - PoPに問題が発生すると、IPSecトンネルに影響を与える可能性があります(各トンネルは1つのCato PoPロケーションに接続されています)。 Cato PoPの健全性をステータスページで監視できます。
リモートピアがAzureやAWSのようなクラウドベンダーである場合、彼らのステータスページも確認できます。
-
リモートIPSecファイアウォールの設定を収集します。
- トンネルの開始を設定されているのは誰ですか?
- リモートファイアウォールのIPSec設定がCato管理アプリケーションのIPSec設定と一致していますか? (IEKメッセージパラメーターが一致するか)
- Cato管理アプリケーションで接続ステータスを確認します。
- リモートIPSecファイアウォールでNAT-Tが有効になっているか?
-
リモートIPSecファイアウォールとCato管理アプリケーションでログとPCAPを収集します。
- 不正のためにログを確認し、リモートファイアウォールのタイムスタンプがCatoからダウンロードしたイベントとタイムラインログに関連しているかを確認しますか?
- パケット単位の通信のためにPCAPを確認します。
- トラフィックセレクターを確認する - トンネルはポリシーベースまたはルートベースですか?
-
Cato管理アプリケーションで一般的なサイト設定を確認してください:
- これは高可用性のセットアップですか? はいの場合、BGPステータスはどうですか?
- PSKの不一致がありますか? (事前共有キーは最大64文字までサポートされています)
- Cato管理アプリケーションでトンネルをリセットします。
- アカウント担当者に連絡するか、Catoサポートにチケットを開いてください。
このセクションには、IPSecタイムラインログにおける失敗メッセージのリストが含まれています。
IKEv1:
| 「サポートされているp1変換がありません」 |
| 「選択されたP1変換はXXXです。現在の設定と一致しません」 - p1の不一致 |
| 「サポートされているp2変換がありません」 |
| 「選択されたフェーズ2変換はXXXです。現在の設定と一致しません」 |
| 「選択されたフェーズ2変換はXXXであり、現在のAWS設定テンプレートと一致しません」 - AWSを使用している場合 |
| 「この接続に適したピアを見つけることができません - ランダム使用、エラーを期待」 |
| 「設定の不一致: FWがローカルサブネットなしで接続しようとしていますが、サイトはサブネットで設定されています」 |
| 「FWがローカルサブネット<>でCato初期サイトに接続しようとしていますが、サイトの<site_id>ローカルは0.0.0.0/0です」 |
| 「ローカルサブネット" <サブネット詳細> "はサイトで設定されていません」 |
IKEv2:
| IKEV2_CONN_CLOSE_REASON__UNKNOWN = 0 |
| IKEV2_CONN_CLOSE_REASON__TIMEOUT = 1 |
| IKEV2_CONN_CLOSE_REASON__CONFIG_MISMATCH = 2 |
| IKEV2_CONN_CLOSE_REASON__CONFIG_CHANGED = 3 |
| IKEV2_CONN_CLOSE_REASON__SITE_REMOVED = 4 |
| IKEV2_CONN_CLOSE_REASON__NO_PEER_PROPOSAL_SELECTED = 5 |
| IKEV2_CONN_CLOSE_REASON__USER_REQUEST = 6 |
| IKEV2_CONN_CLOSE_REASON__TUNNEL_CREATION_FAILURE = 7 |
0件のコメント
サインインしてコメントを残してください。