Wenn ein VPN mit der Meldung „Peer reagiert nicht“ ausfällt, kann die Hauptursache von einem Netzwerkausfall bis hin zu einer fehlenden oder falsch konfigurierten Firewallregel reichen.
Problem
Ein neues VPN kann nach seiner Erstellung nicht angezeigt werden, oder ein funktionierendes VPN schlägt fehl, nachdem einer der Endpoints aktualisiert oder neu konfiguriert oder eine Routentabelle geändert wurde.
Ursache
Anders als bei anderen Endpoints, deren Erreichbarkeit mit Befehlen wie ping überprüft werden kann, können Sie die VPN-Konnektivität außerhalb des VPN selbst nicht wirklich überprüfen. IPsec verwendet UDP, sodass Sie entweder eine Antwort vom Peer erhalten oder nicht. Die Ping-Erreichbarkeit hängt davon ab, ob der Peer Ping aktiviert hat. Bei vielen ist dies nicht der Fall.
Lösung
- Stellen Sie sicher, dass die im VPN konfigurierte Remote-IP-Adresse mit der vom Peer überwachten IP übereinstimmt.
- Stellen Sie sicher, dass alle Firewalls auf der Remote-Site (lokal) so konfiguriert sind, dass sie Datenverkehr zum UDP-Port 500 zulassen. Wenn der Remote-Endpoint per NAT übersetzt wird, müssen die Firewalls auf der Remote-Site Datenverkehr zum UDP-Port 4500 zulassen.
- IPsec-VPN-Datenverkehr verwendet mehrere Protokolle, die alle durch die Firewall zugelassen werden müssen.
Hierzu gehören:
- ESP (Encapsulating Security Payload) – IP-Protokoll 50
- AH (Authenticating Header) – IP-Protokoll 51
- ISAKMP (Internet Security Association and Key Management Protocol), das seinerseits IKE und IKEv2 (Internet Key Exchange) verwendet
- Stellen Sie sicher, dass für beide Endpoints dieselbe IKE-Version konfiguriert ist.
- Stellen Sie sicher, dass das Routing für beide Seiten eingerichtet ist, damit sie sich gegenseitig erreichen können.
Diese Validierung kann mithilfe von Traceroute durchgeführt werden, aber die End-to-End-Pfadvalidierung ist nicht immer möglich, da viele Endpoints nicht auf standardmäßige ICMP Echo (Ping)- oder Traceroute-Anforderungen reagieren. Wenn Sie die
Lokale IP-Adresse des SDDC-VPN konfigurieren, wird der VPN-Datenverkehr immer über das SDDC-Internet-Gateway geleitet. Andernfalls (wenn die
Lokale IP-Adresse des VPN privat ist), wird der VPN-Datenverkehr über den
Intranet-Uplink des SDDC geleitet. Stellen Sie sicher, dass die Remoteseite des VPN den Antwortdatenverkehr über denselben Pfad sendet.