VPN接続ができない

2つのオフィス間でつながる(3)

ソリューションページはこちら

インデックス

 症状    切り分け手順    状態確認方法    トラブル原因と対処方法

症状:VPN接続ができない

ここでは、RTX1200の基本的な設定が終了し、VPN接続ができないケースでのトラブルシューティングを提供します。

切り分け手順:通信状況を以下の手順で確認し、問題の切り分け作業を行います。

1-1

RTX1200からインターネット上のnetvolante.jpへのpingは応答がありますか?

YES/NO
インターネット接続に失敗していますので、こちらを参考に設定を確認してください。

1-2

RTX1200から対向側RTX1200のネットボランチDNSに登録された名前に対するpingは応答がありますか?

YES/NO
ネットボランチDNSへの登録ができているかを確認してください。
Open in new window ネットボランチDNSのFAQ

1-3

RTX1200から対向側RTX1200のLAN1アドレスへのpingは応答がありますか?

YES/NO
RTX1200の状態を確認するため状態確認方法へ進んでください。

正常に動作しています。

状態確認方法

この項目ではコマンドによる状態確認方法を紹介します。表示例は正常接続時のものです。
トラブル発生時の状態と比較することで、問題解決の助けとなります。

※ 解説は[2つのオフィス間でつながる(3)]のRTX1200(1)を対象としていますので、RTX1200(2)の場合はIPアドレスを置き換えて考えます。

2-1 プロバイダとの接続状態を確認する。

2-2 NATディスクリプタの状態を確認する。

2-3 経路情報を確認する。

2-4 デバッグログを確認する。

2-5 SA情報を確認する。

2-1 プロバイダとの接続状態を確認する。

RTX1200"show status pp 1"コマンドを実行し、内容を確認します。

[正常時]

tunnel1# show status pp 1
PP[01]:
説明:
PPPoEセッションは接続されています
接続相手:
通信時間: 1分27秒
受信: 154 パケット [16328 オクテット] 負荷: 0.0%
送信: 162 パケット [22667 オクテット] 負荷: 0.0%
PPPオプション
 LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
 IPCP Local: IP-Address, Remote: IP-Address
 PP IP Address Local: 192.168.100.10, Remote: 192.168.100.1
 CCP: None

[解説]
接続に成功し"PPPoEセッションは接続されています"と表示されています。

2-2 NATディスクリプタの状態を確認する。

RTX1200"show nat descriptor address"コマンドを実行し、内容を確認します。

[正常時]

# show nat descriptor address
参照NATディスクリプタ : 1, 適用インタフェース : PP[01](1)
Masqueradeテーブル
 外側アドレス: ipcp/192.168.100.10
 ポート範囲: 60000-64095, 49152-59999, 44096-49151 6個使用中
プロトコル 内側アドレス 宛先 マスカレード 種別

ESP

192.168.1.1.*

*.*.*.*.*

*

static---(1)

UDP

192.168.1.1.500

*.*.*.*.*

500

static---(2)
No. 内側アドレス 使用中のポート数 制限数 種別

1

192.168.1.2

5

20000

dynamic

2

192.168.1.1

1

20000

dynamic
有効なNATディスクリプタテーブルが1個ありました
[解説]
(1)ESPを通すための静的IPマスカレードです。
(2)UDP 500番ポートを通すための静的IPマスカレードです。

2-3 経路情報を確認する。

RTX1200"show ip route"コマンドを実行し、経路情報を確認します。

[正常時]

# show ip route
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報

default

-

PP[01]

static

 

192.168.1.0/24

192.168.1.1

LAN1

implicit

 

192.168.2.0/24

-

TUNNEL[1]

static

 

192.168.100.1/32

-

PP[01]

temporary

 
[解説]
"default"は"ip route default gateway pp 1"コマンドで設定された静的経路です。
インターネットに接続するためには、"default"経路が必要です。

2-4 デバッグログを確認する。

あらかじめRTX1200に"syslog debug on"を設定しておきます。
その後、RTX1200で"show log"コマンドを実行すると以下のようなログが表示されます。

[VPN接続成功時ログの例]

2010/04/01 17:47:30: [IKE] initiate IPsec phase to 192.168.100.20
2010/04/01 17:47:30: [IKE] add IPsec context [4] 1c2f86ac471e1c5d 8b660575
2010/04/01 17:47:30: [IKE] add ISAKMP SA[2] (gateway[1])
2010/04/01 17:47:30: [IKE] ISAKMP socket[1] is active
2010/04/01 17:47:31: [IKE] setup IPsec SAs (gateway[1], ISAKMP SA[1])
2010/04/01 17:47:31: [IKE] add IPsec SA[3]
2010/04/01 17:47:31: [IKE] add IPsec SA[4]
2010/04/01 17:47:31: [IKE] activate IPsec socket[tunnel:1](inbound)
2010/04/01 17:47:31: [IKE] activate IPsec socket[tunnel:1](outbound)
2010/04/01 17:47:31: IP Tunnel[1] Up

[解説]
"IP Tunnel[1] Up"が表示され、VPN接続が成功していることが分かります。

2-5 SA情報を確認する。

RTX1200"show ipsec sa"コマンドと"show ipsec sa gateway 1 detail"コマンドを実行し、SA情報を確認します。

[正常時]

# show ipsec sa
Total: isakmp:2 send:2 recv:2
sa sgw isakmp connection dir life[s] remote-id

1

1

-

isakmp

-

28598

192.168.100.20

2

1

-

isakmp

-

28599

192.168.100.20

3

1

1

tun[001]esp

send

28600

192.168.100.20

4

1

1

tun[001]esp

recv

28600

192.168.100.20

5

1

1

tun[001]esp

send

28600

192.168.100.20

6

1

1

tun[001]esp

recv

28600

192.168.100.20

#
# show ipsec sa gateway 1 detail
SA[1] 寿命: 28584秒
自分側の識別子: 192.168.1.1
相手側の識別子: 192.168.100.20
プロトコル: IKE
アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit
SPI: 1c 2f 86 ac 47 1e 1c 5d 8f ed 68 cd 7c a0 c9 3a
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[2] 寿命: 28585秒
自分側の識別子: 192.168.1.1
相手側の識別子: 192.168.100.20
プロトコル: IKE
アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit
SPI: 79 97 4d 19 8f d7 ee 9f c3 c0 c5 86 0e 63 e2 28
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[3] 寿命: 28586秒
自分側の識別子: 192.168.1.1
相手側の識別子: 192.168.100.20
送受信方向: 送信
プロトコル: ESP (モード: tunnel)
アルゴリズム: 3DES-CBC (認証: HMAC-SHA)
SPI: 4c 50 81 9d
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[4] 寿命: 28586秒
自分側の識別子: 192.168.1.1
相手側の識別子: 192.168.100.20
送受信方向: 受信
プロトコル: ESP (モード: tunnel)
アルゴリズム: 3DES-CBC (認証: HMAC-SHA)
SPI: c3 25 19 df
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[5] 寿命: 28586秒
自分側の識別子: 192.168.1.1
相手側の識別子: 192.168.100.20
送受信方向: 送信
プロトコル: ESP (モード: tunnel)
アルゴリズム: 3DES-CBC (認証: HMAC-SHA)
SPI: e2 6c fc 4e
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[6] 寿命: 28586秒
自分側の識別子: 192.168.1.1
相手側の識別子: 192.168.100.20
送受信方向: 受信
プロトコル: ESP (モード: tunnel)
アルゴリズム: 3DES-CBC (認証: HMAC-SHA)
SPI: f9 87 db 3e
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------

トラブル原因と対処方法

この項目では各トラブル発生時の状態と、原因及びその解決方法を紹介します。
正常時の状態と比較することで、問題解決の助けとなります。

3-1 PP1フィルタの設定間違いによるVPN接続失敗。

3-2 NATディスクリプタの設定間違いによるVPN接続失敗。

3-3 VPN接続は成功しているが、通信ができない。

3-1 PP1フィルタの設定間違いによるVPN接続失敗

このケースは、フィルタの設定間違いによるVPN接続失敗事例です。
以下ではRTX1200の状態を確認し原因の究明を行います。

ログの確認
※ログ採取の前にRTX1200に"syslog notice on"を設定しておきます。

以下ログが表示されました。
2010/04/01 18:41:40: PP[01] Rejected at OUT(default) filter: UDP 192.168.1.1:10
585 > 192.168.100.1 (DNS Query [kyoten-b.xxx.netvolante.jp] from 127.0.0.1)
2010/04/01 18:41:40: PP[01] Rejected at OUT(default) filter: UDP 192.168.1.1:10
083 > 192.168.100.1 (DNS Query [kyoten-b.xxx.netvolante.jp] from 127.0.0.1)
2010/04/01 18:41:41: PP[01] Rejected at OUT(default) filter: UDP 192.168.1.1:10
411 > 192.168.100.1 (DNS Query [kyoten-b.xxx.netvolante.jp] from 127.0.0.1)
2010/04/01 18:41:41: PP[01] Rejected at OUT(default) filter: UDP 192.168.1.1:10
668 > 192.168.100.1 (DNS Query [kyoten-b.xxx.netvolante.jp] from 127.0.0.1)

[解説]
名前解決するためのDNSサーバ宛のパケットがPP1のOUT方向のフィルタのdefaultで破棄されています。
例えば、このような原因としては以下が考えられます。
 
・PP1のOUT方向に静的フィルタの3000番が設定されていない。
 
pp select 1
ip pp secure filter out 1010 1011 1012 1013 1014 1015 dynamic 100 101 102
103 104 105 106 107
※ 設定例では、PP1のOUT方向に静的フィルタの3000番で全てのパケットを通していますので、これが設定されていないとVPN接続ができません。

対処方法
フィルタを正しく設定してください。

pp select 1
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101
102 103 104 105 106 107

3-2 NATディスクリプタの設定間違いによるVPN接続失敗

このケースは、NATディスクリプタの設定間違いによるVPN接続失敗事例です。
以下ではRTX1200の状態を確認し原因の究明を行います。

ケース1

# show nat descriptor address detail
参照NATディスクリプタ : 1, 適用インタフェース : PP[01](1)
Masqueradeテーブル
 外側アドレス: ipcp/192.168.100.10
 ポート範囲: 60000-64095, 49152-59999, 44096-49151 4個使用中
プロトコル 内側アドレス 宛先 マスカレード TTL(秒)

UDP

192.168.1.1.500

192.168.100.20.500

60000

899

有効なNATディスクリプタテーブルが1個ありました
[解説]
VPN接続するための静的IPマスカレードが設定されていません。
参考:正常時状態

ケース2 ログの中に以下の表示が確認されました。

2010/04/02 11:31:09: PP[01] Rejected at IN(2000) filter: UDP 192.168.100.20:500 > 192.168.100.10:500

[解説]
NATディスクリプタが有効になっていないため、自分側のグローバルIPアドレス宛のパケットがフィルタで破棄されています。

対処方法
以下のように静的IPマスカレードが設定されているか確認してください。

nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 esp

3-3 VPN接続は成功しているが、通信ができない。

このケースは、経路情報の設定間違いによるVPN接続失敗事例です。
以下ではRTX1200の状態を確認し原因の究明を行います。

# show ip route
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報

default

-

PP[01]

static

 

192.168.100.1/32

-

PP[01]

temporary

 

192.168.1.0/24

192.168.1.1

LAN1

implicit

 
[解説]
ログには"IP Tunnel[1] Up"が表示され、"show ipsec sa"では鍵が作られていることを確認することができるが、VPN経由の通信ができない。
"show ip route"コマンドで経路情報を確認すると、上記のようにトンネル宛の経路が表示されない。
参考:正常時状態

対処方法
フィルタを正しく設定してください。

ip route 192.168.2.0/24 gateway tunnel 1

それでも問題が解決しない場合は、サポート窓口までご相談ください。

ページトップへ戻るReturn to Top