7.2. IPsec経由でアクセスできない
7.2.1. Aggressiveモードでの確認手順
Aggressiveモード時は、以下の順に確認してください。
Mainモードと比較してパラメータ数が多いため注意が必要です。
7.2.1.1. SIMの契約について
SIMの契約に問題が無い場合は次項に進んでください。
注意
両拠点のSIMがプライベートアドレス契約でないか通信事業者に確認してください。
どちらかの拠点がグローバルアドレスが付与されるSIMを使用する必要があります。
キャリアグレードNATが存在する場合、WAルータに付与されるアドレスはプライベートアドレスとなります。
注意
レスポンダ拠点のSIMがプライベートアドレス契約でないか通信事業者に確認してください。
どちらかがプライベートアドレスの場合、レスポンダ拠点をグローバルアドレス、イニシエータ拠点を
プライベートアドレスとする必要があります。
ヒント
イニシエータ、レスポンダの見分け方
show running-config コマンドを実行し、ipsec profileに設定されているpeerアドレスが、
peer anyの場合がレスポンダ、peer xxx.xxx.xxx.xxx または peer [FQDN]の場合が
イニシエータです。
7.2.1.2. MobileEthernet0.0へのアドレス付与
アドレスが付与されている場合は次項に進んでください。
show ip address コマンドでIPアドレスを確認します。
正常時 :
Interface MobileEthernet0.0 is up
IP address
xxx.xxx.xxx.xxx/xx
異常時 :
Interface MobileEthernet0.0 is administratively down
原因 : MobileEther0.0インターフェースがshutdown状態となっている
対処 : 以下のコマンドを実行します。
interface MobileEthernet0.0
no shutdown
|
7.2.1.3. IKE SA、IPsec SAが正常か
IKE SA、IPsec SAは以下の手順で確認してください。
show ike sa コマンドを実行し、以下のような表示が行われるか確認してください。
何も表示されない場合にはIKEの設定等に問題があります。
IKE/IPsecの設定確認方法(IPsec/IKEの設定確認方法)に従って確認をしてください。
remote: xxx.xxx.xxx.xxx (UDP [4500])
local: yyy.yyy.yyy.yyy (UDP [4500])
index:zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
Direction is initiator
Exchange type is Aggressive mode
IKE PH1 established
authentication method:pre-shared key
encrypt:AES-CBC 256 bits
hash:SHA256
dh_group:768-bit MODP group
Remaining lifetime is 620 seconds
phase2 count=0
|
show ipsec sa コマンドを実行し、以下のような表示が行われるか確認してください。
何も表示されない場合にはIPsecの設定等に問題があります。
IKE/IPsecの設定確認方法(IPsec/IKEの設定確認方法)に従って確認をしてください。
IPsec SA - 1 configured, 2 created
Interface IPsec0
Outbound:
xxx.xxx.xxx.xxx(UDP [4500]) -> yyy.yyy.yyy.yyy(UDP [4500])
mode: tunnel
satype: esp spi=1542672232(0x5bf34f68)
enc algorithm: aes-cbc
key length: 256
auth algorithm: hmac-sha2-256
replay window size is 0 bits
SA status is established
Remaining lifetime is 25846 seconds
Remaining lifebytes is - bytes
0 [packets] 0 [bytes] last:
Inbound:
yyy.yyy.yyy.yyy(UDP [4500]) -> xxx.xxx.xxx.xxx(UDP [4500])
mode: tunnel
satype: esp spi=248917891(0x0ed62f83)
enc algorithm: aes-cbc
key length: 256
auth algorithm: hmac-sha2-256
replay window size is 0 bits
SA status is established
Remaining lifetime is 25846 seconds
Remaining lifebytes is - bytes
0 [packets] 0 [bytes] last:
|
- IPsec設定の基本的な階層構造
- IPsec設定の基本的な階層構造は以下のようになっています。各ブロックには、配下のブロックの名前を登録して関連付けを実行しています。
7.2.1.4. IPsec/IKEの設定確認方法
show ipsec profile コマンドを実行すると、一番下に「IPsec Profile名 : 結果」の形式でIKE SA 及び IPsec SAの問題点が表示されます。正常な場合は「IPsec Profile名 : config check ok」と表示されます。
確認項目
|
備考
|
1) MobileEthernet0.0がshutdown状態の場合
表示 : sourced I/F don't have valid address [MobileEthernet0.0]
対処 : 以下のコマンドを実行します。
interface MobileEthernet0.0
no shutdown
|
モバイル網の電波が届かない場合や、SIMが差さっていない場合も同様の表示になります。
|
2)IPsecインターフェースがshutdown状態の場合
表示 : mapped I/F is down [IPsec0]
対処 : 以下のコマンドを実行します。
interface IPsec0
no shutdown
|
IPsecインターフェースが定義されていない場合も同様の表示になります。
|
3) IPsecインターフェースにIPsec profileがマッピングされていない場合
表示 : no mapped [IPsec Profile名]
対処 : 以下のコマンドを実行します。
interface IPsec0
ipsec map [IPsec Profile名]
|
|
4) IPsec Profile内のIPsec policy名の指定が誤っている場合
表示 : ipsec policy not exist [IPsec Policy名]
対処 : 以下のコマンドを実行します。
ipsec profile [IPsec profile名]
ipsec policy [正しいIPsec policy名]
|
|
5) IPsec Profile内のIKE policy名の指定が誤っている場合
表示 : ike policy not exist [IKE Policy名]
対処 : 以下のコマンドを実行します。
ipsec profile [IPsec profile名]
ike policy [正しいIKE policy名]
|
|
6) IPsec policy内のIPsec proposal名の指定が誤っている場合
表示 : IPsec Profile名 : ike proposal not exist [IPsec Proposal名]
対処 : 以下のコマンドを実行します。
ipsec policy [IPsec policy名]
proposal [正しいIPsec proposal名]
|
|
7) IKE policy内のIKE Proposal名の指定が誤っている場合
表示 :
対処 : 以下のコマンドを実行します。
ike policy [IKE policy名]
proposal [正しいIKE policy名]
|
- その他のケース1
- 対向ルータとのパラメータが不整合となっている
確認項目
|
対処方法
|
イニシエータとレスポンダのkey-idが異なる
(Aggressiveモードのみ)
|
ike policy設定について、イニシエータのlocal-idとレスポンダのremote-idが
同一か確認してください。
(Aggressiveモードのみ)
|
イニシエータとレスポンダのIKE remote-id、IKE local-idが逆になっている
(Aggressiveモードのみ)
|
ike policy設定について、イニシエータはlocal-id、レスポンダはremote-idを設定します。
(イニシエータとレスポンダの設定が逆の場合、接続に失敗します)
|
IPsec policyのlocal-id、remote-idの値が不整合
(Aggressiveモードのみ)
|
イニシエータのlocal-idが192.168.1.0/24、remote-idが192.168.2.0/24の場合、
レスポンダのlocal-idが192.168.2.0/24、remote-idが192.168.1.0/24となります。
|
IKE Proposal / IPsec Proposalのパラメータが対向ルータと異なっている
|
他社機対向の場合、デフォルトパラメータが異なっている場合があるため、
明示的にパラメータの指定することを推奨します。
|
- その他のケース2
- 対向ルータとの疎通ができない状態
確認項目
|
対処方法
|
レスポンダ側がプライベートアドレス(キャリアグレードNATあり)
(Aggressiveモードのみ)
|
レスポンダ側はグローバルアドレス必須、イニシエータ側はプライベートまたは
グローバルアドレスとする必要があります。
|
対向ルータが一時的にダウンしている
|
対向ルータのWANネットワークが正常に稼働しているか確認してください。
|
- その他のケース3
- - イニシエータ側がプライベートアドレス(キャリアグレードNATあり)の場合
確認項目
|
対処方法
|
NAT-Traversal設定が行われていないためIPsec接続できない
(Aggressiveモードのみ)
|
イニシエータ、レスポンダ共に、IKE policyにNAT-Traversal設定を行う必要があります。
|
7.2.2. Mainモードでの確認手順
Mainモード時は、以下の順に確認してください。
Aggresiveモードと比較してパラメータ数は少ないため、設定自体は比較的容易です。
7.2.2.1. SIMの契約について
SIMの契約に問題が無い場合は次項に進んでください。
注意
各拠点のSIMがプライベートアドレス契約ではないか通信事業者に確認してください。
キャリアグレードNATが存在する場合、WAルータに付与されるアドレスはプライベートアドレスとなります。
注意
両拠点が固定グローバルアドレス契約か通信事業者に確認してください。
メインモードでは、両拠点が固定グローバルアドレスの場合のみ接続が可能です。
7.2.2.2. MobileEthernet0.0へのアドレス付与
アドレスが付与されている場合は次項に進んでください。
確認方法は、以下を参照してください。
7.2.2.3. IKE SA、IPsec SAが正常か
確認方法は、以下を参照してください。