管理番号:YMHRT-3715
このトラブルシューティングの対応機種は、RTX1300、RTX1220、RTX1210、RTX1200、RTX830、RTX810、NVR700Wです。
ここでは、ルーターの基本的な設定が終了し、VPN(IPsec)接続ができないケースでのトラブルシューティングを提供します。
下記の前提で説明します。
・設定例の拠点1を対象としていますので、拠点2の場合はIPアドレスを置き換えてください。
・RTX1210の設定値や出力結果をベースに説明します。
拠点1 ルーターLAN1 IPアドレス | 192.168.1.1 |
拠点1 ルーターWAN(PP[01]) IPアドレス (ネットボランチDNSホスト名) |
203.0.113.1 (kyoten1.xxx.netvolante.jp) |
拠点2 ルーターLAN1 IPアドレス | 192.168.2.1 |
拠点2 ルーターWAN(PP[01]) IPアドレス (ネットボランチDNSホスト名) |
203.0.113.2 (kyoten2.xxx.netvolante.jp) |
1-1 から順に確認してください。
この項目ではコマンドによる状態確認方法を紹介します。表示例は正常接続時のものです。
トラブル発生時の状態と比較することで、問題解決の助けとなります。
ルーターの"show status pp 1"コマンドを実行し、内容を確認します。
[正常時]
# show status pp 1 PP[01]: 説明: provider1 PPPoEセッションは接続されています 接続相手: 通信時間: 1分27秒 受信: 154 パケット [16328 オクテット] 負荷: 0.0% 送信: 162 パケット [22667 オクテット] 負荷: 0.0% PPPオプション LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU IPCP Local: IP-Address Primary-DNS(203.0.113.31) Secondary-DNS(203.0.113.32), Remote: IP-Address PP IP Address Local: 203.0.113.1, Remote: 203.0.113.10 IPV6CP Local: Interface-ID, Remote: Interface-ID PP Interface-ID Local: 02a0defffeae6789, Remote: 02a0defffe37b50a CCP: None |
[解説] |
ルーターの"show nat descriptor address"コマンドを実行し、内容を確認します。
[正常時]
# show nat descriptor address NAT/IPマスカレード 動作タイプ : 2 参照NATディスクリプタ : 1000, 適用インタフェース : PP[01](1) Masqueradeテーブル 外側アドレス: ipcp/203.0.113.1 ポート範囲: 60000-64095, 49152-59999, 44096-49151 38 セッション プロトコル 内側アドレス 宛先 マスカレード 種別 UDP 192.168.1.1.4500 *.*.*.*.* 4500 static ESP 192.168.1.1.* *.*.*.*.* * static---(1) UDP 192.168.1.1.500 *.*.*.*.* 500 static---(2) -*- -*- -*- -*- -*- -*- -*- -*- -*- -*- -*- No. 内側アドレス セッション数 ホスト毎制限数 種別 1 192.168.1.1 36 65534 dynamic --------------------- 有効なNATディスクリプタテーブルが1個ありました |
[解説] |
ルーターの"show ip route"コマンドを実行し、経路情報を確認します。
[正常時]
# show ip route 宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報 default - PP[01] static---(1) 192.168.1.0/24 192.168.1.1 LAN1 implicit 192.168.2.0/24 - TUNNEL[1] static---(2) 203.0.113.31/32 - PP[01] temporary 203.0.113.32/32 - PP[01] temporary 203.0.113.10/32 - PP[01] temporary |
[解説] |
あらかじめルーターに"syslog debug on"を設定しておきます。
その後、ルーターで"show log"コマンドを実行すると以下のようなログが表示されます。
2015/04/17 14:41:29: [IKE] initiate ISAKMP phase to 203.0.113.2 (local address 192.168.1.1) 2015/04/17 14:41:29: [IKE] allocated chunk(kind:4 size:319519bytes total:1) 2015/04/17 14:41:29: [IKE] add ISAKMP context [1] 7b0751adf23ce605 00000000 2015/04/17 14:41:30: [IKE] allocated chunk(kind:2 size:253983bytes total:1) 2015/04/17 14:41:30: [IKE] add ISAKMP SA[1] (gateway[1]) 2015/04/17 14:41:30: [IKE] activate ISAKMP socket[1] 2015/04/17 14:41:31: [IKE] initiate IPsec phase to 203.0.113.2 2015/04/17 14:41:31: [IKE] add IPsec context [2] 7b0751adf23ce605 0ef71990 2015/04/17 14:41:32: [IKE] setup IPsec SAs (gateway[1], ISAKMP SA[1]) 2015/04/17 14:41:32: [IKE] add IPsec SA[2] 2015/04/17 14:41:32: [IKE] add IPsec SA[3] 2015/04/17 14:41:32: [IKE] allocated chunk(kind:3 size:4127bytes total:1) 2015/04/17 14:41:32: [IKE] activate IPsec socket[tunnel:1](inbound) 2015/04/17 14:41:32: [IKE] activate IPsec socket[tunnel:1](outbound) 2015/04/17 14:41:32: IP Tunnel[1] Up |
[解説] |
ルーターの"show ipsec sa"コマンドと"show ipsec sa gateway 1 detail"コマンドを実行し、SA情報を確認します。
[正常時]
# show ipsec sa Total: isakmp:1 send:1 recv:1 sa sgw isakmp connection dir life[s] remote-id ----------------------------------------------------------------------------- 1 1 - isakmp - 27532 203.0.113.2 2 1 1 tun[001]esp send 27534 203.0.113.2 3 1 1 tun[001]esp recv 27534 203.0.113.2 # show ipsec sa gateway 1 detail SA[1] 寿命: 27524秒 自分側の識別子: 192.168.1.1 相手側の識別子: 203.0.113.2 プロトコル: IKE アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit SPI: 7b 07 51 ad f2 3c e6 05 05 33 ba cd af f4 f1 35 鍵 : ** ** ** ** ** (confidential) ** ** ** ** ** ---------------------------------------------------- SA[2] 寿命: 27526秒 自分側の識別子: 192.168.1.1 相手側の識別子: 203.0.113.2 送受信方向: 送信 プロトコル: ESP (モード: tunnel) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: 28 18 cf 28 鍵 : ** ** ** ** ** (confidential) ** ** ** ** ** ---------------------------------------------------- SA[3] 寿命: 27526秒 自分側の識別子: 192.168.1.1 相手側の識別子: 203.0.113.2 送受信方向: 受信 プロトコル: ESP (モード: tunnel) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: af b8 a3 f8 鍵 : ** ** ** ** ** (confidential) ** ** ** ** ** ---------------------------------------------------- |
この項目では各トラブル発生時の状態と、原因およびその解決方法を紹介します。
正常時の状態と比較することで、問題解決の助けとなります。
3-2 NATディスクリプタの設定間違いによるVPN接続失敗
このケースは、静的フィルターの設定間違いによるVPN接続失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。
以下ログが表示されました。 2015/04/17 16:13:36: PP[01] Rejected at OUT(default) filter: UDP 192.168.1.1:10395 > 203.0.113.31:53 (DNS Query [kyoten2.xxx.netvolante.jp] from 127.0.0.1) 2015/04/17 16:13:36: PP[01] Rejected at OUT(default) filter: UDP 192.168.1.1:10753 > 203.0.113.31:53 (DNS Query [kyoten2.xxx.netvolante.jp] from 127.0.0.1) 2015/04/17 16:13:36: PP[01] Rejected at OUT(default) filter: UDP 192.168.1.1:10152 > 203.0.113.31:53 (DNS Query [kyoten2.xxx.netvolante.jp] from 127.0.0.1) 2015/04/17 16:13:36: PP[01] Rejected at OUT(default) filter: UDP 192.168.1.1:10647 > 203.0.113.31:53 (DNS Query [kyoten2.xxx.netvolante.jp] from 127.0.0.1) |
[解説] ※ 設定例では、PP1のOUT方向に静的フィルターの200099番ですべてのパケットを通しています。この設定がないとVPN接続ができません。 |
pp select 1 |
このケースは、NATディスクリプタの設定間違いによるVPN接続失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。
# show nat descriptor address detail NAT/IPマスカレード 動作タイプ : 2 参照NATディスクリプタ : 1000, 適用インタフェース : PP[01](1) Masqueradeテーブル 外側アドレス: ipcp/203.0.113.1 ポート範囲: 60000-64095, 49152-59999, 44096-49151 3 セッション プロトコル 内側アドレス 宛先 マスカレード TTL(秒) UDP 192.168.1.1.4500 *.*.*.*.* 4500 static UDP 192.168.1.1.10348 203.0.113.21.53 60011 8 UDP 192.168.1.1.500 203.0.113.2.500 60002 889---(1) UDP 192.168.1.1.10428 203.0.113.21.53 60001 893 --------------------- 有効なNATディスクリプタテーブルが1個ありました |
[解説] |
nat descriptor masquerade static 1000 1 192.168.1.1 udp 500 |
2015/04/17 18:52:27: PP[01] Rejected at IN(default) filter: UDP 203.0.113.2:500 > 203.0.113.1:500 |
[解説] |
pp select 1 |
このケースは、経路情報の設定間違いによるVPN接続失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。
# show ip route 宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報 default - PP[01] static 192.168.1.0/24 192.168.1.1 LAN1 implicit 203.0.113.31/32 - PP[01] temporary 203.0.113.32/32 - PP[01] temporary 203.0.113.10/32 - PP[01] temporary |
[解説] |
ip route 192.168.2.0/24 gateway tunnel 1 |
ご相談・お問い合わせ