Solucione problemas de uma VPN que está ativa, mas não transmitindo tráfego
Problema
Descrição
A VPN está ativa, mas não há tráfego de passagem em uma ou em ambas as direções.
Esse tópico ajuda a solucionar problemas que podem impedir a passagem de tráfego por um túnel VPN ativo.
Ambiente
VPN
Solução
Verifique se a associação de segurança de VPN (SA) está ativa: show security ipsec security-associations
user@CORPORATE> show security ipsec security-associations total configured sa: 1 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0 >32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0
Se o gateway VPN estiver listado, o túnel está estabelecido e está funcionando. A saída exibe duas linhas para cada túnel VPN que exibe as informações de SPI para cada direção de tráfego.
O
MONcampo é usado pelo monitoramento vpn para mostrar o status do túnel e tem um dos seguintes valores:- (hífen): O túnel VPN está ativo, e o recurso opcional do monitor VPN não está configurado.
U (up): O túnel VPN está ativo, e o link (detectado pelo monitor VPN) está ativo.
D (para baixo): O túnel VPN está ativo e o link (detectado pelo monitor VPN) está desativado.
Yes: O estado de SA IPsec está ativo ou ativo. Prossiga para a etapa 2.
No: O estado de SA IPsec está desativado. Veja como solucionar problemas de um túnel VPN que está desativado ou não.
Verifique se a VPN está usando a interface de loopback lo0 como interface externa: show configuration security ike
root> show configuration security ike policy ike_pol { proposal-set compatible; pre-shared-key ascii-text "$9$tMwDuIESreWX7yr4aGDkqIEhcvWbs2"; } gateway gate1 { ike-policy ike_pol; address 10.10.10.2; external-interface lo0.0; }Verifique se a interface de saída (interface física) e o lo0 usados como interface externa de VPN estão na mesma zona de segurança.
Yes: Prossiga para a etapa 4.
No: Atualize as atribuições da zona de segurança para que tanto a interface externa de VPN quanto a interface de saída física estejam na mesma zona de segurança. Veja perda de tráfego quando a VPN IPSec for terminada na interface de loopback.
Se sua VPN for uma VPN baseada em rotas, siga para a etapa 5. Prossiga para a etapa 8 se for uma VPN baseada em políticas. Veja Qual é a diferença entre uma VPN baseada em políticas e uma VPN baseada em rotas?
Verifique se uma rota é atribuída à rede remota por meio da interface st0: show route remote network
root@siteA > show route 192.168.20.10 inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.168.2.0/24 *[ARI-TS/5] 00:00:53 > via st0.0 <----------Yes: Prossiga para a etapa 6.
No: Atribua uma rota à rede remota por meio da interface st0. Veja que a VPN baseada em rota está ativa, mas não transmitindo tráfego. Falta uma rota?.
Nota:Se você estiver usando um protocolo de roteamento dinâmico, como BGP ou OSPF, verifique o protocolo de roteamento.
Com base na rota atribuída à rede remota em etapa 5, verifique se a VPN está apontando para a interface st0 correta: show security ike e show security ipsec
Primeiro, verifique o gateway IKE usando o show security ike comando.
root@siteA # show security ike ... gateway gw-siteB { <--------- ike-policy ike-phase1-policy; address 2.2.2.2; external-interface ge-0/0/3.0; }Verifique a VPN IPsec nesse gateway IKE usando o show security ipsec comando e na saída verifique se
bind-interfaceestá apontando para ast0interface.Neste exemplo, a VPN
ike-vpn-siteBestá apontando para ast0.0interface.root@siteA # show security ipsec ... vpn ike-vpn-siteB { bind-interface st0.0; ike { gateway gw-siteB; <--------- proxy-identity { local 192.168.2.0/24; remote 192.168.1.0/24; service any; } ipsec-policy ipsec-phase2-policy; } establish-tunnels immediately; }
Yes: Prossiga para a etapa 7.
No: VPN não está apontando para a interface st0 correta. Exclua a rota atual e adicione a rota à interface st0 correta. Veja que a VPN baseada em rota está ativa, mas não transmitindo tráfego. Falta uma rota?.
Verifique se existe uma política de segurança que permita o tráfego da zona interna até a zona de segurança st0: show security policies
Yes: Prossiga para a etapa 8.
No: Crie a política de segurança apropriada e teste novamente a VPN. Veja como configurar uma política para uma VPN baseada em rota.
Verifique se existe uma política de segurança de túnel VPN para permitir o tráfego: show security policies
root@siteA# show security policies ... from-zone trust to-zone untrust { policy vpn_egress { match { source-address local-net; destination-address remote-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } } from-zone untrust to-zone trust { policy vpn_ingress { match { source-address remote-net; destination-address local-net; application any; } then { permit { tunnel { <---------- ipsec-vpn ike-vpn-siteC; <---------- } } } } }Yes: Prossiga para a etapa 9.
No: Verifique a configuração de VPN baseada em políticas. Veja VPN de site para site baseada em políticas .
Verifique se o tráfego está correspondente nas políticas identificadas em etapa 7 ou etapa 8: show security flow session source prefix source address destination prefix destination address
root@siteA> show security flow session source-prefix 192.168.2.0/24 destination-prefix 192.168.1.0/24 Session ID: 5801, Policy name: AtoB/2, Timeout: 1790, Valid In: 192.168.2.222/1 --> 192.168.1.13/23053;icmp, If: fe-0/0/2.0, Pkts: 59878, Bytes: 4602292 Out: 192.168.1.13/23053 --> 192.168.2.222/1;icmp, If: st0.0, Pkts: 52505, Bytes: 4189289
Yes: Prossiga para a etapa 10.
No: Verifique a ordem das políticas de segurança: show security match policies. Veja como entender a ordenação de políticas de segurança.
Se a ordem estiver correta, veja como solucionar problemas de uma política de segurança que não está passando dados.
Nota:Se apenas o
pktscontador na direção de fora da sessão estiver aumentando, então valide com o peer VPN que o tráfego está sendo recebido.Isso é para verificar os contadores de pacotes no peer VPN com o qual este túnel é formado para ver se a outra extremidade está recebendo os pacotes.
Colete logs e opções de rastreamento de fluxo e abra um caso com a equipe de suporte da Juniper Networks:
Consulte as seções de VPN baseadas em políticas IPsec ou baseadas em rota na lista de verificação de coleta de dados — logs/dados a serem coletados para resolução de problemas.
Para obter informações sobre opções de rastreamento de fluxo, veja Como usar "traceoptions de fluxo" e o "datapath-debug de segurança".
Para abrir um caso da JTAC com a equipe de suporte da Juniper Networks, consulte a coleta de dados para suporte ao cliente para os dados que você deve coletar para ajudar na solução de problemas antes de abrir um caso da JTAC.