コンテンツにスキップ

サイト間 IPsec VPN のトラブルシューティング

Sophos Firewall デバイスでサイト間 IPsec VPN 接続を確立できない原因として、よくある設定ミスについて説明します。

ログと IPsec プロパティを確認する方法

ログと IPsec プロファイルを確認すると、問題を特定し、プロパティを確認することができます。

ログ

ファイアウォールは、IPsec イベントの追跡に、/log 内のファイルを使用します。

  • strongswan.log: IPsec VPN Service ログ
  • charon.log: IPsec VPN charon (IKE デーモン) ログ
  • strongswan-monitor.log: IPsec デーモン監視ログ
  • dgd.log: デッドゲートウェイ検出 (DGD) および VPN フェールオーバーのログ

このページでは、以下のエラーメッセージが表示されたときのトラブルシューティングについて説明します: IPsec connection could not be established

以下のログファイルを開いてください: /log/strongswan.log

フェールオーバーグループ

  1. サイト間 VPN > IPsec 接続」に移動して、トンネルのプロパティを確認します。
  2. 「名前」列の上にある「追加のプロパティを表示」をクリックし、表示させたいプロパティを選択します。

    IPsec 接続の追加プロパティ。

  3. 接続で使用されている IPsec プロファイルのプロパティを確認します。

IPsec プロファイル

  1. プロファイル > IPsec プロファイル」に移動して、トンネルのプロパティを確認します。
  2. 「名前」列の上にある「追加のプロパティを表示」をクリックし、表示させたい追加のプロパティを選択します。

    IPsec プロファイルの追加プロパティ。

トラブルシューティング

以下の問題と、その解決方法を参照してください。

リモートピアがフェーズ 1 のプロポーザルを拒否する

strongSwan ログに表示されるエラーメッセージ: Remote peer is refusing our Phase 1 proposals

原因: 2つのピア間で、フェーズ 1 のプロポーザルが一致していません。

  1. 両方のファイアウォールで、VPN の以下の設定が同じであることを確認します。

    • フェーズ 1: 暗号化、認証、DH グループ。
    • ゲートウェイのアドレス: ローカルファイアウォールで指定したピアゲートウェイのアドレスが、リモートファイアウォールで設定したリスニングインターフェースと一致していることを確認してください。
    • その他の設定: ローカルとリモートの ID。
  2. これらの設定がすべて一致している場合は、リモート側が接続を拒否していることに基づき、リモートファイアウォールの管理者が設定を確認してください。

リモートピアが認証されない

strongSwan ログに表示されるメッセージ:

We have successfully exchanged Encryption and Authentication algorithms, we are now negotiating the Phase 1 SA encryption (hashing) key

Remote peer reports we failed to authenticate

原因: ID の種類が一致していないため、リモートファイアウォールがローカルリクエストを認証できません。例: ローカルファイアウォール側の IPsec 接続の設定で、ローカル ID に IP アドレスを指定しているのに対し、リモートファイアウォール側で、DNS 名を要求するように設定している場合があります。

  1. リモートファイアウォールのログをチェックして、ID の種類の不一致によってエラーが発生したことを確認します。
  2. ローカルとリモートの ID の種類および ID が一致するよう、設定を変更します。

暗号化エラー

ログに表示されるエラーメッセージ:

Error on decryption of the exchange

Information field of the IKE request is malformed or not readable

原因: 双方のファイアウォールで、事前共有鍵が一致していない可能性があります。

まれに、ISP またはアップストリームアプライアンス (ルーターや別のファイアウォールなど) がパケットを破損している場合があります。

  1. 双方のファイアウォールの VPN 設定で事前共有鍵が一致しているかどうかを確認します。
  2. 事前共有鍵が一致している場合は、ISP またはアップストリームデバイスがパケットを破損しているかどうかを確認します。
  3. WAN インターフェースの MTU および MSS の設定が、ISP 指定の値と一致しているかどうかを確認します。

リモートピア側で、受け付けたプロポーザルにおける不一致が記録される

strongSwan ログに表示されるメッセージ:

Phase 1 is up

Initiating establishment of Phase 2 SA

Remote peer reports no match on the acceptable proposals

リモートファイアウォールに、以下のエラーメッセージが表示されます: NO_PROPOSAL_CHOSEN

原因: フェーズ 2 のプロポーザルが一致していません。

  1. 双方のファイアウォールのフェーズ 2 の設定 (暗号化アルゴリズム、認証アルゴリズム、DH グループ) が一致しているかどうかを確認します。
  2. 一致している場合は、リモートファイアウォール側のログを参照して原因を調べます。

無効な ID

strongSwan ログに表示されるメッセージ:

Phase 1 is up

Remote peer reports INVALID_ID_INFORMATION

原因:

  1. CLI にサインインし、「5」の「Device management」をクリックし、続けて「3」の「Advanced shell」をクリックします。
  2. 以下のコマンドを入力します: ipsec statusall

    SA (セキュリティアソシエーション) が表示されていないことがわかります。以下に例を示します。

    セキュリティアソシエーションエラー。

  3. 以下のコマンドを入力します: ip xfrm policy

    フェーズ 2 の SA は表示されません。ファイアウォールで指定したローカルおよびリモートサブネットが、フェーズ 2 のネゴシエーションにおいて一致しませんでした。たとえば、リモートのファイアウォールが 192.168.0.0/24 を、ローカルのファイアウォールが 192.168.1.0/24 を使用してネゴシエーションを行っています。

  4. 双方のファイアウォールで、指定したサブネットが一致していることを確認します。

  5. 一致している場合は、リモート側の管理者がリモートファイアウォールのログを確認します。

トンネルが確立されたが、その後、トラフィックが停止した

Sophos Firewall とサードパーティ製ファイアウォールの間で IPsec 接続を確立し、しばらく経過した後、トラフィックの流れが停止した場合は、以下の手順を実行します。

  1. CLI にサインインし、「5」の「Device management」をクリックし、続けて「3」の「Advanced shell」をクリックします。
  2. 以下のコマンドを入力します: ipsec statusall

    IPSec SA が確立されていることを確認します。

  3. 以下のコマンドを入力します: ip xfrm state

    VPN のトランスフォームセットが存在すること、つまり、SA が一致していることを確認します。

  4. 鍵交換における競合を防止するため、次の注意事項に従ってください。

    • イニシエータのフェーズ 1 およびフェーズ 2 の鍵の有効期間を、応答側の値よりも小さく設定します。
    • 両方のファイアウォールで、フェーズ 2 の鍵の有効期間をフェーズ 1 の値よりも小さく設定します。

    以下のような値があります。

    鍵の有効期間 Firewall 1 Firewall 2
    フェーズ 1 12600秒 10800秒
    フェーズ 2 5400秒 3600秒
  5. Sophos Firewall では、時間ベースの鍵更新のみを使用できます。サードパーティ製のリモートファイアウォールで、トラフィックベースの鍵更新を設定した場合は、時間ベースの鍵更新に変更してください。

関連付けられているインターフェースがオフになっているため、トンネルが切断される

サイト間 IPsec トンネルが切断される場合は、関連付けられているインターフェイスをオフにしているかどうかを確認します。

関連付けられたインターフェースをオフにしている場合:

  • サイト間 IPsec トンネルイニシエータは、トンネルをただちに切断します。
  • サイト間 IPsec トンネルレスポンダおよびリモートアクセス接続は、操作の行なわれない期間またはデッドピア検出 (DPD) タイムアウトが発生すると、トンネルを切断します。