コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-troubleshooting-IPsec

IPsec VPN とフェールオーバーグループのトラブルシューティング

サイト間 IPsec VPN 接続およびフェールオーバーグループのトラブルシューティングを実行するには、ログ、IPsec プロファイル、および接続プロパティを確認します。

ログと構成の確認

ログ

ファイアウォールは、IPsec イベントの追跡に、/log 内のファイルを使用します。

  • strongswan.log: IPsec VPN Service ログ
  • charon.log: IPsec VPN charon (IKE デーモン) ログ
  • strongswan-monitor.log: IPsec デーモン監視ログ
  • dgd.log: デッドゲートウェイ検出 (DGD) および VPN フェールオーバーのログ

このページでは、以下のエラーメッセージが表示されたときのトラブルシューティングについて説明します: IPsec connection could not be established

以下のログファイルを開いてください: /log/strongswan.log

IPsec 接続

フェールオーバーグループのトラブルシューティングを実行するには、グループの IPsec 接続とその IPsec プロファイルの追加プロパティを確認します。

  1. IPsec 接続の追加プロパティを表示するには、「サイト間 VPN」 > 「IPsec」を選択します。

  2. IPsec 接続」の下で、名前列の上にある「追加のプロパティを表示」をクリックし、IPsec 接続リストに表示するプロパティを選択します。

    IPsec 接続の追加プロパティ。

IPsec プロファイル

  1. 接続で使用される IPsec プロファイルの追加プロパティを表示するには、「プロファイル」 > 「IPsec プロファイル」を選択します。

  2. 「名前」列の上にある「追加のプロパティを表示」をクリックし、表示させたい追加のプロパティを選択します。

    IPsec プロファイルの追加プロパティ。

IPsec 接続とフェールオーバーグループのトラブルシューティング

以下の問題と、その解決方法を参照してください。

リモートピアがフェーズ 1 のプロポーザルを拒否する

strongSwan ログに表示されるエラーメッセージ: Remote peer is refusing our Phase 1 proposals

原因: 2つのピア間で、フェーズ 1 のプロポーザルが一致していません。

  1. 両方のファイアウォールで、VPN の以下の設定が同じであることを確認します。

    • フェーズ 1: 暗号化、認証、DH グループ。
    • ゲートウェイのアドレス: ローカルファイアウォールで指定したピアゲートウェイのアドレスが、リモートファイアウォールで設定したリスニングインターフェースと一致していることを確認してください。
    • その他の設定: ローカルとリモートの ID。

  2. これらの設定がすべて一致している場合は、リモート側が接続を拒否していることに基づき、リモートファイアウォールの管理者が設定を確認してください。

リモートピアが認証されない

strongSwan ログに表示されるメッセージ:

We have successfully exchanged Encryption and Authentication algorithms, we are now negotiating the Phase 1 SA encryption (hashing) key

Remote peer reports we failed to authenticate

原因: ID の種類が一致していないため、リモートファイアウォールがローカルリクエストを認証できません。例: ローカルファイアウォール側の IPsec 接続の設定で、ローカル ID に IP アドレスを指定しているのに対し、リモートファイアウォール側で、DNS 名を要求するように設定している場合があります。

  1. リモートファイアウォールのログをチェックして、ID の種類の不一致によってエラーが発生したことを確認します。
  2. ローカルとリモートの ID の種類および ID が一致するよう、設定を変更します。

暗号化エラー

ログに表示されるエラーメッセージ:

Error on decryption of the exchange

Information field of the IKE request is malformed or not readable

原因: 双方のファイアウォールで、事前共有鍵が一致していない可能性があります。

まれに、ISP またはアップストリームアプライアンス (ルーターや別のファイアウォールなど) がパケットを破損している場合があります。

  1. 双方のファイアウォールの VPN 設定で事前共有鍵が一致しているかどうかを確認します。
  2. 事前共有鍵が一致している場合は、ISP またはアップストリームデバイスがパケットを破損しているかどうかを確認します。
  3. WAN インターフェースの MTU および MSS の設定が、ISP 指定の値と一致しているかどうかを確認します。

リモートピア側で、受け付けたプロポーザルにおける不一致が記録される

strongSwan ログに表示されるメッセージ:

Phase 1 is up

Initiating establishment of Phase 2 SA

Remote peer reports no match on the acceptable proposals

リモートファイアウォールに、以下のエラーメッセージが表示されます: NO_PROPOSAL_CHOSEN

原因: フェーズ 2 のプロポーザルが一致していません。

  1. 双方のファイアウォールのフェーズ 2 の設定 (暗号化アルゴリズム、認証アルゴリズム、DH グループ) が一致しているかどうかを確認します。
  2. 一致している場合は、リモートファイアウォール側のログを参照して原因を調べます。

無効な ID

strongSwan ログに表示されるメッセージ:

Phase 1 is up

Remote peer reports INVALID_ID_INFORMATION

原因:

  1. CLI にサインインし、「5」の「Device management」をクリックし、続けて「3」の「Advanced shell」をクリックします。

  2. 以下のコマンドを入力します: ipsec statusall

    SA (セキュリティアソシエーション) が表示されていないことがわかります。以下に例を示します。

    セキュリティアソシエーションエラー。

  3. 以下のコマンドを入力します: ip xfrm policy

    フェーズ 2 の SA は表示されません。ファイアウォールで指定したローカルおよびリモートサブネットが、フェーズ 2 のネゴシエーションにおいて一致しませんでした。たとえば、リモートのファイアウォールが 192.168.0.0/24 を、ローカルのファイアウォールが 192.168.1.0/24 を使用してネゴシエーションを行っています。

  4. 双方のファイアウォールで、指定したサブネットが一致していることを確認します。

  5. 一致している場合は、リモート側の管理者がリモートファイアウォールのログを確認します。

IPsec 接続が確立されたが、後からトラフィックが停止した

Sophos Firewall とサードパーティファイアウォールとの間では、1 つ以上の IPsec 接続が確立されます。しばらく経過した後、トラフィックの流れが停止した場合は、以下の手順を実行します。

  1. CLI コンソールにサインインします。詳細は、コマンドラインコンソールへのアクセスを参照してください。
  2. 5 と入力して Device Managementを選択し、3 と入力して Advanced Shellを選択します。

  3. 以下のコマンドを入力します: ipsec statusall

    IPSec SA が確立されていることを確認します。

  4. 任意: ルートベース VPN の場合は、次のコマンド ip xfrm state を入力します。

    VPN のトランスフォームセットが存在すること、つまり、SA が一致していることを確認します。

  5. 次の考えられる原因と解決策を 1 つ以上確認してください。

    原因: サードパーティのリモートファイアウォールがトラフィックベースの鍵の再生成を使用している。

    解決策:Sophos Firewall では、時間ベースの鍵更新のみを使用できます。サードパーティ製のリモートファイアウォールで、トラフィックベースの鍵更新を設定している場合は、時間ベースに変更してください。

    原因: 2 つ以上の IPsec 接続に同じローカルサブネットとリモートサブネット (Any-Any 構成を含む) があるが、同じフェールオーバーグループに属していない。

    解決策:同じローカルサブネットとリモートサブネットが割り当てられた複数の IPsec 接続 (Any-Any 構成を含む) は、IPsec 接続が同じフェールオーバーグループに属する場合にのみ機能します。この問題を解決するには、以下の手順を実行します。

    1. サイト間 VPN > IPsec」に移動します。
    2. IPsec 接続」で「追加プロパティの表示」をクリックします。
    3. ローカルサブネット」と「リモートサブネット」を選択します。

    4. OK」をクリックします。

      ローカルサブネット」列と「リモートサブネット」列が表示されます。ローカルサブネットとリモートサブネットの構成が類似している IPsec 接続を確認します。

      例:

      サイト間 IPsec のローカルサブネットとリモートサブネット。

    5. 同じフェールオーバーグループ内で、同様のローカルサブネットとリモートサブネットの構成になるように IPsec 接続を構成します。詳細は、フェールオーバーグループの追加を参照してください。

    6. 同じフェールオーバーグループで構成したくない場合は、IPsec 接続のローカルサブネットとリモートサブネットの構成を変更し、それらが類似していないことを確認する必要があります。

    原因: ルートベース VPN で、2 つ以上の XFRM インターフェイスが同じネットワークアドレスに属する IP アドレスで設定されているか、サブネットが重複している。

    解決策:各 XFRM インターフェイスは一意のネットワークアドレス内になければならず、サブネットが重複することはできません。

    たとえば、xfrm1192.168.0.1/24 で構成され、xfrm2192.168.0.6/24で構成されている場合、これらは同じネットワークアドレスにあるため、ルーティングの問題が発生します。別の例として、xfrm1192.168.0.1/16 で構成され、xfrm2192.168.0.6/24で構成されている場合、サブネットが重複するため、ルーティングの問題が発生します。

    この問題を解決するには、「ネットワーク」 > 「インターフェイス」を選択し、同じネットワーク内にあるか、サブネットが重複している XFRM インターフェイスの IP アドレス構成を変更します。詳細は、XFRM インターフェイスの編集を参照してください。

    原因: ポリシーベース VPN で、アイドルタイムアウトがリモートファイアウォールで設定されている。

    解決策:リモートファイアウォールのアイドルタイムアウトをオフにします。

    原因: 鍵交換の競合。

    解決策:鍵交換の競合を防止するには、次の手順を実行します。

    1. イニシエータのフェーズ 1 およびフェーズ 2 の鍵の有効期間を、応答側の値よりも小さく設定します。

    2. 両方のファイアウォールで、フェーズ 2 の鍵の有効期間をフェーズ 1 の値よりも小さく設定します。

      例:

      鍵の有効期間 Firewall 1 Firewall 2
      フェーズ 1 12600秒 10800秒
      フェーズ 2 5400秒 3600秒

関連付けられたインターフェイスがオフになっているため、IPsec 接続が切断されました。

サイト間 IPsec 接続が切断される場合は、関連付けられているインターフェイスがオフかどうかを確認します。

関連付けられたインターフェースをオフにしている場合:

  • サイト間 IPsec 接続イニシエータが接続をただちに切断します。
  • サイト間 IPsec 接続レスポンダおよびリモートアクセス接続は、処理がない期間またはデッドピア検出 (DPD) タイムアウトが発生すると、接続を切断します。