Řešení problémů s IPSec VPN tunely

Vytisknout

Hodnocení uživatelů: 5 / 5

Podrobnosti: Kategorie: VPN; Aktualizováno: 17. 5. 2012 15:55; Zobrazení: 9660

Tato pomůcka Vám má pomoci řešit problémy s IPSec VPN. Níže jsou popsány některé typické možné problémy a jejich analýza. Stačí jednoduše porovnat Vaše logy, získané pomocí nástroje Syslog, který je ke stažení zde. Pokyny pro používání syslog-Tools lze prohlédnout zde. Kliknutím na ikonu ve sloupečku ´Strana Klienta´ a ´Strana Serveru´ získáte detailní popis, kde můžete porovnat vaše nastavení s vzory nastavení konfigurace.

Základní model IPSec tunelu:

Fáze	Strana Klienta	Syslog	Strana serveru	Možná chyba
1		Dialing Node1 (Profilname) : 10.10.10.20		Špatná IP adresa serveru a to jak na Dial-Out tak na Dial-In Odlišné Local/Peer-ID Špatný PSK-Klíč Různé šifrování
		Initiating IKE Main Mode to 10.10.10.20
		Responding to Main Mode from 10.10.10.10
		NAT-Traversal: Using RFC 3947, no NAT detected
2		ISAKMP SA established with 10.10.10.20
2		sent MR3, ISAKMP SA established with 10.10.10.10
3		Start IKE Quick Mode to 10.10.10.20		Nesprávná LAN-síť
		Cleint L2L remote network setting is 192.168.2.0/24
		Reveive cleint L2L remote network setting is 192.168.2.0/24
		Responding to Quick Mode from 10.10.10.10
2		IKE ==>, Next Payload=ISAKMP_NEXT_HASH
		IKE <==, Next Payload=ISAKMP_NEXT_HASH
		IKE ==>, Next Payload=ISAKMP_NEXT_SA
		IKE <==, Next Payload=ISAKMP_NEXT_SA
		IKE ==>, Next Payload=ISAKMP_NEXT_KE
		IKE <==, Next Payload=ISAKMP_NEXT_KE
		IKE ==>, Next Payload=ISAKMP_NEXT_ID
		IKE <==, Next Payload=ISAKMP_NEXT_ID
4		sent QI2, IPsec SA established with 10.10.10.20
4		IPsec SA established with 10.10.10.10
5		Drop VPN: Dial-out Profile Index = 1, Name = Profilname
		IKE_RELEASE VPN: Dial-out Profile Index = 1, Name = Profilname
		IKE_RELEASE VPN: Dial-out Profile Index = 1, Name = Profilname

Fáze 1 = Fáze zápisu
Fáze 2 = Fáze sestavení a výměny klíčů
Fáze 3 = Fáze výměny identity
Fáze 4 = Fáze výměny dat
Fáze 5 = Fáze odhlášení