VPN(IPsec)接続ができない

管理番号:YMHRT-3715

このトラブルシューティングの対応機種は、RTX1300RTX1220RTX1210RTX1200RTX830RTX810NVR700Wです。

設定例はこちら

インデックス

症状     切り分け手順     状態確認方法     トラブル原因と対処方法

症状:VPN(IPsec)接続ができない

ここでは、ルーターの基本的な設定が終了し、VPN(IPsec)接続ができないケースでのトラブルシューティングを提供します。

下記の前提で説明します。
・設定例の拠点1を対象としていますので、拠点2の場合はIPアドレスを置き換えてください。
・RTX1210の設定値や出力結果をベースに説明します。

拠点1 ルーターLAN1 IPアドレス 192.168.1.1
拠点1 ルーターWAN(PP[01]) IPアドレス
(ネットボランチDNSホスト名)
203.0.113.1
(kyoten1.xxx.netvolante.jp)
拠点2 ルーターLAN1 IPアドレス 192.168.2.1
拠点2 ルーターWAN(PP[01]) IPアドレス
(ネットボランチDNSホスト名)
203.0.113.2
(kyoten2.xxx.netvolante.jp)

切り分け手順:通信状況を以下の手順で確認し、問題の切り分け作業を行います。

1-1 から順に確認してください。

1-1

ルーターからインターネット上のping.netvolante.jpへのpingは応答がありますか?
入力コマンド [ ping ping.netvolante.jp ]

応答がない場合は
インターネット接続に失敗していますので、こちらを参考に設定を確認してください。

1-2

ルーターから対向側ルーターのネットボランチDNSホスト名へのpingは応答がありますか?
入力コマンド [ ping kyoten2.xxx.netvolante.jp ]

応答がない場合は
ネットボランチDNSへの登録ができているかを確認してください。
ネットボランチDNSのFAQ

1-3

ルーターから対向側ルーターのLAN1側へのpingは応答がありますか?
入力コマンド [ ping 192.168.2.1 ]

応答がない場合は
ルーターの状態を確認するため状態確認方法へ進んでください。

1-1から1-3に当てはまらない場合は、正常に動作しています。

状態確認方法

この項目ではコマンドによる状態確認方法を紹介します。表示例は正常接続時のものです。
トラブル発生時の状態と比較することで、問題解決の助けとなります。

2-1 プロバイダーとの接続状態を確認する

ルーターの"show status pp 1"コマンドを実行し、内容を確認します。

[正常時]
# show status pp 1
PP[01]:
説明: provider1
PPPoEセッションは接続されています
接続相手:
通信時間: 1分27秒
受信: 154 パケット [16328 オクテット]  負荷: 0.0%
送信: 162 パケット [22667 オクテット]  負荷: 0.0%
PPPオプション
  LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
  IPCP Local: IP-Address Primary-DNS(203.0.113.31) Secondary-DNS(203.0.113.32), Remote: IP-Address
  PP IP Address Local: 203.0.113.1, Remote: 203.0.113.10
  IPV6CP Local: Interface-ID, Remote: Interface-ID
  PP Interface-ID Local: 02a0defffeae6789, Remote: 02a0defffe37b50a
  CCP: None

[解説]
接続に成功し"PPPoEセッションは接続されています"と表示されています。

2-2 NATディスクリプタの状態を確認する

ルーターの"show nat descriptor address"コマンドを実行し、内容を確認します。

[正常時]
# show nat descriptor address
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 1000, 適用インタフェース : PP[01](1)
Masqueradeテーブル
    外側アドレス: ipcp/203.0.113.1
    ポート範囲: 60000-64095, 49152-59999, 44096-49151   38 セッション
プロトコル      内側アドレス                  宛先   マスカレード    種別
   UDP      192.168.1.1.4500             *.*.*.*.*         4500       static
   ESP         192.168.1.1.*             *.*.*.*.*            *       static---(1)
   UDP       192.168.1.1.500             *.*.*.*.*          500       static---(2)
  -*-    -*-    -*-    -*-    -*-    -*-    -*-    -*-    -*-    -*-    -*-
      No.       内側アドレス    セッション数  ホスト毎制限数         種別
       1         192.168.1.1              36           65534         dynamic
---------------------
有効なNATディスクリプタテーブルが1個ありました

[解説]
(1)ESPをLAN1側に通すための静的IPマスカレードです。
(2)UDP 500番ポートをLAN1側に通すための静的IPマスカレードです。

2-3 経路情報を確認する

ルーターの"show ip route"コマンドを実行し、経路情報を確認します。

[正常時]
# show ip route
宛先ネットワーク    ゲートウェイ     インタフェース  種別  付加情報
default             -                    PP[01]      static---(1)
192.168.1.0/24      192.168.1.1            LAN1      implicit
192.168.2.0/24      -                 TUNNEL[1]      static---(2)
203.0.113.31/32      -                   PP[01]      temporary
203.0.113.32/32      -                   PP[01]      temporary
203.0.113.10/32     -                    PP[01]      temporary

[解説]
(1)"default"は"ip route default gateway pp 1"コマンドで設定された静的経路です。
インターネットに接続するためには、"default"経路が必要です。
(2)"ip route 192.168.2.0/24 gateway tunnel 1"コマンドで設定された、対向拠点のLAN1側への静的経路です。

2-4 デバッグログを確認する

あらかじめルーターに"syslog debug on"を設定しておきます。
その後、ルーターで"show log"コマンドを実行すると以下のようなログが表示されます。

[VPN接続成功時ログの例]
2015/04/17 14:41:29: [IKE] initiate ISAKMP phase to 203.0.113.2 (local address 192.168.1.1)
2015/04/17 14:41:29: [IKE] allocated chunk(kind:4 size:319519bytes total:1)
2015/04/17 14:41:29: [IKE] add ISAKMP context [1] 7b0751adf23ce605 00000000
2015/04/17 14:41:30: [IKE] allocated chunk(kind:2 size:253983bytes total:1)
2015/04/17 14:41:30: [IKE] add ISAKMP SA[1] (gateway[1])
2015/04/17 14:41:30: [IKE] activate ISAKMP socket[1]
2015/04/17 14:41:31: [IKE] initiate IPsec phase to 203.0.113.2
2015/04/17 14:41:31: [IKE] add IPsec context [2] 7b0751adf23ce605 0ef71990
2015/04/17 14:41:32: [IKE] setup IPsec SAs (gateway[1], ISAKMP SA[1])
2015/04/17 14:41:32: [IKE] add IPsec SA[2]
2015/04/17 14:41:32: [IKE] add IPsec SA[3]
2015/04/17 14:41:32: [IKE] allocated chunk(kind:3 size:4127bytes total:1)
2015/04/17 14:41:32: [IKE] activate IPsec socket[tunnel:1](inbound)
2015/04/17 14:41:32: [IKE] activate IPsec socket[tunnel:1](outbound)
2015/04/17 14:41:32: IP Tunnel[1] Up

[解説]
"IP Tunnel[1] Up"が表示され、VPN接続が成功していることが分かります。

2-5 SA情報を確認する

ルーターの"show ipsec sa"コマンドと"show ipsec sa gateway 1 detail"コマンドを実行し、SA情報を確認します。

[正常時]
# show ipsec sa
Total: isakmp:1 send:1 recv:1

sa   sgw isakmp connection   dir  life[s] remote-id
-----------------------------------------------------------------------------
1     1    -    isakmp       -    27532   203.0.113.2
2     1    1    tun[001]esp  send 27534   203.0.113.2
3     1    1    tun[001]esp  recv 27534   203.0.113.2


# show ipsec sa gateway 1 detail
SA[1] 寿命: 27524秒
自分側の識別子: 192.168.1.1
相手側の識別子: 203.0.113.2
プロトコル: IKE
アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit
SPI: 7b 07 51 ad f2 3c e6 05 05 33 ba cd af f4 f1 35
鍵 : ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[2] 寿命: 27526秒
自分側の識別子: 192.168.1.1
相手側の識別子: 203.0.113.2
送受信方向: 送信
プロトコル: ESP (モード: tunnel)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: 28 18 cf 28
鍵 : ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[3] 寿命: 27526秒
自分側の識別子: 192.168.1.1
相手側の識別子: 203.0.113.2
送受信方向: 受信
プロトコル: ESP (モード: tunnel)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: af b8 a3 f8
鍵 : ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------

トラブル原因と対処方法

この項目では各トラブル発生時の状態と、原因およびその解決方法を紹介します。
正常時の状態と比較することで、問題解決の助けとなります。

3-1 PP1フィルターの設定間違いによるVPN接続失敗

このケースは、静的フィルターの設定間違いによるVPN接続失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

ログの確認
※ ログ採取の前にルーターに"syslog notice on"を設定しておきます。

以下ログが表示されました。

2015/04/17 16:13:36: PP[01] Rejected at OUT(default) filter: UDP 192.168.1.1:10395 >
 203.0.113.31:53 (DNS Query [kyoten2.xxx.netvolante.jp] from 127.0.0.1)
2015/04/17 16:13:36: PP[01] Rejected at OUT(default) filter: UDP 192.168.1.1:10753 >
 203.0.113.31:53 (DNS Query [kyoten2.xxx.netvolante.jp] from 127.0.0.1)
2015/04/17 16:13:36: PP[01] Rejected at OUT(default) filter: UDP 192.168.1.1:10152 >
 203.0.113.31:53 (DNS Query [kyoten2.xxx.netvolante.jp] from 127.0.0.1)
2015/04/17 16:13:36: PP[01] Rejected at OUT(default) filter: UDP 192.168.1.1:10647 >
 203.0.113.31:53 (DNS Query [kyoten2.xxx.netvolante.jp] from 127.0.0.1)

[解説]
名前解決するためのDNSサーバー宛てのパケットがPP1 OUT方向の静的フィルター(default)で破棄されています。
たとえば、このような原因としては以下が考えられます。
 
・PP1のOUT方向にDNSパケットを通す静的フィルター(200099番)が設定されていない。

※ 設定例では、PP1のOUT方向に静的フィルターの200099番ですべてのパケットを通しています。この設定がないとVPN接続ができません。

対処方法
静的フィルターを正しく設定してください。

pp select 1
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099
dynamic 200080 200081 200082 200083 200084 200085 200098 200099

3-2 NATディスクリプタの設定間違いによるVPN接続失敗

このケースは、NATディスクリプタの設定間違いによるVPN接続失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

ケース1 NATディスクリプタのアドレスマップ確認
# show nat descriptor address detail
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 1000, 適用インタフェース : PP[01](1)
Masqueradeテーブル
    外側アドレス: ipcp/203.0.113.1
    ポート範囲: 60000-64095, 49152-59999, 44096-49151   3 セッション
プロトコル      内側アドレス                  宛先   マスカレード    TTL(秒)
   UDP      192.168.1.1.4500             *.*.*.*.*         4500       static
   UDP     192.168.1.1.10348         203.0.113.21.53        60011            8
   UDP       192.168.1.1.500         203.0.113.2.500        60002          889---(1)
   UDP     192.168.1.1.10428         203.0.113.21.53        60001          893
---------------------
有効なNATディスクリプタテーブルが1個ありました

[解説]
(1)VPN接続するための静的IPマスカレードが設定されていません。
UDP 500番ポートのパケットが動的変換されています。
参考:正常時状態

対処方法
以下のように、静的IPマスカレードが設定されているか確認してください。

nat descriptor masquerade static 1000 1 192.168.1.1 udp 500
nat descriptor masquerade static 1000 2 192.168.1.1 esp

ケース2 ログの確認
※ ログ採取の前にルーターに"syslog notice on"を設定しておきます。
2015/04/17 18:52:27: PP[01] Rejected at IN(default) filter: UDP 203.0.113.2:500 > 203.0.113.1:500 

[解説]
NATディスクリプタが有効になっていないため、自分側のグローバルIPアドレス宛てのパケットが静的フィルターで破棄されています。

対処方法
以下のように、静的IPマスカレードが設定されているか確認してください。

pp select 1
ip pp nat descriptor 1000
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.1.1 udp 500
nat descriptor masquerade static 1000 2 192.168.1.1 esp

3-3 VPN接続は成功しているが、通信ができない

このケースは、経路情報の設定間違いによるVPN接続失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

経路情報の確認
# show ip route
宛先ネットワーク    ゲートウェイ     インタフェース  種別  付加情報
default             -                    PP[01]      static
192.168.1.0/24      192.168.1.1            LAN1      implicit
203.0.113.31/32      -                   PP[01]      temporary
203.0.113.32/32      -                   PP[01]      temporary
203.0.113.10/32     -                    PP[01]      temporary

[解説]
ログには"IP Tunnel[1] Up"が表示され、"show ipsec sa"では鍵が作られていることを確認できますが、VPN経由の通信ができません。
"show ip route"コマンドで経路情報を確認すると、上記のように、トンネル宛ての経路が表示されていません。
参考:正常時状態

対処方法
以下のように、経路を正しく設定してください。
ip route 192.168.2.0/24 gateway tunnel 1

それでも問題が解決しない場合は、サポート窓口までご相談ください。

メール

ご相談・お問い合わせ