7.2. IPsec経由でアクセスできない

7.2.1. Aggressiveモードでの確認手順

Aggressiveモード時は、以下の順に確認してください。
Mainモードと比較してパラメータ数が多いため注意が必要です。

7.2.1.1. SIMの契約について

SIMの契約に問題が無い場合は次項に進んでください。

注意

両拠点のSIMがプライベートアドレス契約でないか通信事業者に確認してください。
どちらかの拠点がグローバルアドレスが付与されるSIMを使用する必要があります。
キャリアグレードNATが存在する場合、WAルータに付与されるアドレスはプライベートアドレスとなります。

注意

レスポンダ拠点のSIMがプライベートアドレス契約でないか通信事業者に確認してください。
どちらかがプライベートアドレスの場合、レスポンダ拠点をグローバルアドレス、イニシエータ拠点を
プライベートアドレスとする必要があります。

ヒント

イニシエータ、レスポンダの見分け方

show running-config コマンドを実行し、ipsec profileに設定されているpeerアドレスが、
peer anyの場合がレスポンダ、peer xxx.xxx.xxx.xxx または peer [FQDN]の場合が
イニシエータです。

7.2.1.2. MobileEthernet0.0へのアドレス付与

アドレスが付与されている場合は次項に進んでください。

show ip address コマンドでIPアドレスを確認します。

正常時 :
Interface MobileEthernet0.0 is up
IP address
xxx.xxx.xxx.xxx/xx

異常時 :
Interface MobileEthernet0.0 is administratively down

原因 : MobileEther0.0インターフェースがshutdown状態となっている
対処 : 以下のコマンドを実行します。
interface MobileEthernet0.0
no shutdown

IPsec接続時の注意点はこちらから

7.2.1.3. IKE SA、IPsec SAが正常か

IKE SA、IPsec SAは以下の手順で確認してください。

show ike sa コマンドを実行し、以下のような表示が行われるか確認してください。
何も表示されない場合にはIKEの設定等に問題があります。
IKE/IPsecの設定確認方法(IPsec/IKEの設定確認方法)に従って確認をしてください。

remote: xxx.xxx.xxx.xxx (UDP [4500])
local: yyy.yyy.yyy.yyy (UDP [4500])
index:zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
Direction is initiator
Exchange type is Aggressive mode
IKE PH1 established
authentication method:pre-shared key
encrypt:AES-CBC 256 bits
hash:SHA256
dh_group:768-bit MODP group
Remaining lifetime is 620 seconds
phase2 count=0
show ipsec sa コマンドを実行し、以下のような表示が行われるか確認してください。
何も表示されない場合にはIPsecの設定等に問題があります。
IKE/IPsecの設定確認方法(IPsec/IKEの設定確認方法)に従って確認をしてください。

IPsec SA - 1 configured, 2 created
Interface IPsec0
Outbound:
xxx.xxx.xxx.xxx(UDP [4500]) -> yyy.yyy.yyy.yyy(UDP [4500])
mode: tunnel
satype: esp spi=1542672232(0x5bf34f68)
enc algorithm: aes-cbc
key length: 256
auth algorithm: hmac-sha2-256
replay window size is 0 bits
SA status is established
Remaining lifetime is 25846 seconds
Remaining lifebytes is - bytes
0 [packets] 0 [bytes] last:
Inbound:
yyy.yyy.yyy.yyy(UDP [4500]) -> xxx.xxx.xxx.xxx(UDP [4500])
mode: tunnel
satype: esp spi=248917891(0x0ed62f83)
enc algorithm: aes-cbc
key length: 256
auth algorithm: hmac-sha2-256
replay window size is 0 bits
SA status is established
Remaining lifetime is 25846 seconds
Remaining lifebytes is - bytes
0 [packets] 0 [bytes] last:
IPsec設定の基本的な階層構造
IPsec設定の基本的な階層構造は以下のようになっています。
各ブロックには、配下のブロックの名前を登録して関連付けを実行しています。
blockdiag IPsec_Interface IPsec_Profile IPsec_Policy IKE_Policy IPsec_Proposal IKE_Proposal

7.2.1.4. IPsec/IKEの設定確認方法

show ipsec profile コマンドを実行すると、一番下に「IPsec Profile名 : 結果」の形式で
IKE SA 及び IPsec SAの問題点が表示されます。
正常な場合は「IPsec Profile名 : config check ok」と表示されます。
確認項目
備考
1) MobileEthernet0.0がshutdown状態の場合
表示 : sourced I/F don't have valid address [MobileEthernet0.0]
対処 : 以下のコマンドを実行します。
interface MobileEthernet0.0
no shutdown
モバイル網の電波が届かない場合や、SIMが差さっていない場合も同様の表示になります。
2)IPsecインターフェースがshutdown状態の場合
表示 : mapped I/F is down [IPsec0]
対処 : 以下のコマンドを実行します。
interface IPsec0
no shutdown

IPsecインターフェースが定義されていない場合も同様の表示になります。
3) IPsecインターフェースにIPsec profileがマッピングされていない場合
表示 : no mapped [IPsec Profile名]
対処 : 以下のコマンドを実行します。
interface IPsec0
ipsec map [IPsec Profile名]


4) IPsec Profile内のIPsec policy名の指定が誤っている場合
表示 : ipsec policy not exist [IPsec Policy名]
対処 : 以下のコマンドを実行します。
ipsec profile [IPsec profile名]
ipsec policy [正しいIPsec policy名]

5) IPsec Profile内のIKE policy名の指定が誤っている場合
表示 : ike policy not exist [IKE Policy名]
対処 : 以下のコマンドを実行します。
ipsec profile [IPsec profile名]
ike policy [正しいIKE policy名]

6) IPsec policy内のIPsec proposal名の指定が誤っている場合
表示 : IPsec Profile名 : ike proposal not exist [IPsec Proposal名]
対処 : 以下のコマンドを実行します。
ipsec policy [IPsec policy名]
proposal [正しいIPsec proposal名]

7) IKE policy内のIKE Proposal名の指定が誤っている場合
表示 :
対処 : 以下のコマンドを実行します。
ike policy [IKE policy名]
proposal [正しいIKE policy名]

その他のケース1
対向ルータとのパラメータが不整合となっている
確認項目
対処方法
イニシエータとレスポンダのkey-idが異なる
(Aggressiveモードのみ)
ike policy設定について、イニシエータのlocal-idとレスポンダのremote-idが
同一か確認してください。
(Aggressiveモードのみ)
イニシエータとレスポンダのIKE remote-id、IKE local-idが逆になっている
(Aggressiveモードのみ)
ike policy設定について、イニシエータはlocal-id、レスポンダはremote-idを設定します。
(イニシエータとレスポンダの設定が逆の場合、接続に失敗します)
IPsec policyのlocal-id、remote-idの値が不整合
(Aggressiveモードのみ)
イニシエータのlocal-idが192.168.1.0/24、remote-idが192.168.2.0/24の場合、
レスポンダのlocal-idが192.168.2.0/24、remote-idが192.168.1.0/24となります。
IKE Proposal / IPsec Proposalのパラメータが対向ルータと異なっている
他社機対向の場合、デフォルトパラメータが異なっている場合があるため、
明示的にパラメータの指定することを推奨します。
その他のケース2
対向ルータとの疎通ができない状態
確認項目
対処方法
レスポンダ側がプライベートアドレス(キャリアグレードNATあり)
(Aggressiveモードのみ)
レスポンダ側はグローバルアドレス必須、イニシエータ側はプライベートまたは
グローバルアドレスとする必要があります。
対向ルータが一時的にダウンしている
対向ルータのWANネットワークが正常に稼働しているか確認してください。
その他のケース3
- イニシエータ側がプライベートアドレス(キャリアグレードNATあり)の場合
確認項目
対処方法
NAT-Traversal設定が行われていないためIPsec接続できない
(Aggressiveモードのみ)
イニシエータ、レスポンダ共に、IKE policyにNAT-Traversal設定を行う必要があります。

7.2.2. Mainモードでの確認手順

Mainモード時は、以下の順に確認してください。
Aggresiveモードと比較してパラメータ数は少ないため、設定自体は比較的容易です。

7.2.2.1. SIMの契約について

SIMの契約に問題が無い場合は次項に進んでください。

注意

各拠点のSIMがプライベートアドレス契約ではないか通信事業者に確認してください。
キャリアグレードNATが存在する場合、WAルータに付与されるアドレスはプライベートアドレスとなります。

注意

両拠点が固定グローバルアドレス契約か通信事業者に確認してください。
メインモードでは、両拠点が固定グローバルアドレスの場合のみ接続が可能です。

7.2.2.2. MobileEthernet0.0へのアドレス付与

アドレスが付与されている場合は次項に進んでください。

確認方法は、以下を参照してください。

MobileEthernet0.0へのアドレス付与

7.2.2.3. IKE SA、IPsec SAが正常か

確認方法は、以下を参照してください。

IKE SA、IPsec SAが正常か