Sie können Probleme mit der IPSec-VPN-Tunnel-Konnektivität beheben, indem Sie IPSec-Konfigurationsbefehle über die NSX Edge-Befehlszeilenschnittstelle (CLI) ausführen. Sie können auch die vSphere Web Client- und die NSX Data Center for vSphere-REST-APIs verwenden, um die Ursachen für Tunnel-Fehler zu ermitteln und die Tunnel-Fehlermeldungen anzuzeigen.

Verwenden Sie das folgende Verfahren, um Probleme mit der Tunnel-Erstellung und Konnektivitätsprobleme zu beheben.

Prozedur

  1. Sammeln Sie die Support-Protokolle von den beiden Sites.
    Wichtig: Aufgrund des beschränkten Speicherplatzes auf der NSX Edge-Appliance müssen Sie Protokolle an einen Syslog-Server umleiten. Weitere Informationen finden Sie im Abschnitt „Konfigurieren von Remote Syslog-Servern“ im NSX Data Center for vSphere-Administratorhandbuch.
  2. Erfassen Sie Protokolle von den VPN-Drittanbieterlösungen.
  3. Überprüfen Sie die IPSec-Konfiguration auf beiden Seiten des Edge, indem Sie den folgenden Befehl über die NSX Edge-CLI ausführen:
    show config ipsec
    Tipp:

    Möglicherweise ist es für Sie einfacher, die Ausgabe der NSX Edge-Befehle mithilfe von SSH zu überprüfen und zu erfassen. Weitere Informationen zum Aktivieren von SSH auf dem NSX Edge finden Sie unter dem Thema „An- und Abmelden bei bzw. von der Befehlszeilenschnittstelle“ im Referenzhandbuch für die NSX-Befehlszeilenschnittstelle.

  4. Notieren Sie den Echtzeitstatus auf dem NSX Edge, wenn das Problem auftritt. Führen Sie die folgenden Befehle aus und zeichnen Sie die Ergebnisse auf.
    Befehl Zweck
    show service ipsec Überprüfen Sie den Status des IPSec-VPN-Diensts.
    show service ipsec sp Überprüfen Sie den Status der Sicherheitsrichtlinie.
    show service ipsec sa Überprüfen Sie den Status der Sicherheitsverbindung (SA).
  5. Wenn das Problem weiterhin auftritt, erfassen Sie die IPSec-bezogenen Protokolle und die Ausgabe der Drittanbieter-VPN-Lösung.
  6. Überprüfen Sie die IPSec-bezogenen Protokolle und die Ausgabe, um Probleme zu ermitteln. Stellen Sie sicher, dass der IPSec-VPN-Dienst ausgeführt wird, dass Sicherheitsrichtlinien erstellt werden und dass Sicherheitsverbindungen zwischen den Geräten konfiguriert sind.
    Zu den allgemeinen Problemen, die Sie aus den Protokollen erkennen können, zählen folgende:
    • Ungültige ID: INVALID_ID_INFORMATION oder PAYLOAD_MALFORMED
    • Keine vertrauenswürdige Zertifizierungsstelle: INVALID_KEY_INFORMATION oder eine genauere Fehlermeldung Beispiel: kein öffentlicher RSA-Schlüssel bekannt für '=CN, ST=BJ, O=VMWare, OU=CINS, CN=left' oder PAYLOAD_MALFORMED
    • Vorgeschlagene Proxy-ID wurde nicht gefunden: INVALID_ID_INFORMATION oder PAYLOAD_MALFORMED.
    • DPD: Keine Antwort vom Peer. Beispiel: DPD: Keine Antwort vom Peer – Peer als ausgefallen deklarieren.
  7. Überprüfen Sie die Tunnel-Fehlermeldung in der vSphere Web Client- oder NSX Edge-Befehlszeilenschnittstelle (CLI) oder durch Ausführen der NSX Data Center for vSphere-REST-APIs.
    Wenn Sie beispielsweise die Fehlermeldung auf dem vSphere Web Clientanzeigen möchten, doppelklicken Sie auf den NSX Edge, navigieren Sie zu der Seite IPSec-VPN und führen Sie die folgenden Schritte aus:
    1. Klicken Sie auf IPSec-Statistik anzeigen (Show IPSec Statistics).
    2. Wählen Sie den IPSec-Kanal aus, der nicht verfügbar ist.
    3. Wählen Sie für den ausgewählten Kanal den inaktiven (deaktivierten) Tunnel aus und zeigen Sie die Details zum Tunnel-Fehler an.
      • Klicken Sie in NSX 6.4.6 und höher auf Deaktiviert in der Spalte Tunnelzustand.
      • Klicken Sie in NSX 6.4.5 und früher auf Details anzeigen in der Spalte Tunnelzustand.

    Die folgende Tabelle listet die möglichen Ursachen für die IPSec-Tunnel-Verbindungsprobleme und die Fehlermeldung auf, die mit den einzelnen Problemen verknüpft ist.

    Ursachen Fehlermeldung
    IKEv1-Peer ist nicht erreichbar. Version IKEv1: Erneute Übertragung der IKE-Meldung, da keine Antwort vom Peer empfangen wurde.
    Nichtübereinstimmung im Vorschlag für IKEv1-Phase 1 Version IKEv1: Kein Vorschlag ausgewählt. Überprüfen Sie die konfigurierte Verschlüsselung/Authentifizierung/DH/IKE-Version.
    Nichtübereinstimmung bei einem der folgenden Elemente:
    • IKEv1-PSK
    • IKEv1-ID
    • IKEv1-Zertifikat
    Version IKEv1: Authentifizierung fehlgeschlagen. Überprüfen Sie den konfigurierten geheimen Schlüssel oder die lokale/Peer-ID-Konfiguration.
    Nichtübereinstimmung im Vorschlag für IKEv1-Phase 2 IPSec SA-Vorschläge oder Datenverkehrauswahl stimmten nicht überein.
    IKEv2-Peer ist nicht erreichbar. Version IKEv2: Erneute Übertragung der IKE-Meldung, da keine Antwort vom Peer empfangen wurde.
    Nichtübereinstimmung im IKEv2 IKE SA-Vorschlag Version IKEv2: Kein Vorschlag ausgewählt. Überprüfen Sie die konfigurierte Verschlüsselung/Authentifizierung/DH/IKE-Version.
    Nichtübereinstimmung im IKEv2 IPSec SA-Vorschlag IPSec SA-Vorschläge oder Datenverkehrauswahl stimmten nicht überein.
    Nichtübereinstimmung bei der IKEv2 IPSec SA-Datenverkehrauswahl Datenverkehrauswahl stimmt nicht überein. Überprüfen Sie die Subnetzkonfiguration nach links/rechts.
    Nichtübereinstimmung bei einem der folgenden Elemente:
    • IKEv2-PSK
    • IKEv2-ID
    • IKEv2-Zertifikat
    Version IKEv2: Authentifizierung fehlgeschlagen. Überprüfen Sie den konfigurierten geheimen Schlüssel oder die lokale/Peer-ID-Konfiguration.
  8. Richten Sie die Paketerfassung auf dem NSX Edge für IKE-Pakete oder ESP-Pakete oder beides ein.
    Siehe folgende Abbildung. Ermitteln Sie, an welcher Stelle die Paketübertragung fehlgeschlagen ist oder gelöscht wurde:
    1. Richten Sie die Paketerfassung an den Punkten 1 und 2 ein.
    2. Pingen Sie von VM 1 an Host 2.
    3. Pingen Sie von Host 2 an VM 1.
    Abbildung 1. Paketerfassung an verschiedenen Punkten der Datenübertragung
    Das Diagramm zeigt die Punkte 1 und 2, an denen Sie Pakete erfassen können.

    Ein Beispiel für eine Paketerfassungssitzung zwischen einem NSX Edge und einem Cisco-Gerät finden Sie im Thema „Paketerfassung für eine erfolgreiche Aushandlung“ im Fehlerbehebungshandbuch zu NSX.

  9. Überprüfen Sie alle Daten und analysieren Sie sie. Mithilfe der Paketerfassungsdaten können Sie bestimmen, wo das Problem liegt.
    Sie können z. B. folgende Probleme ermitteln:
    • IKEv1-Kanal- und Tunnel-Fehler
    • IKEv2-Kanal- und Tunnel-Fehler
    • Fehler im Datenpfad
    • Fehler aufgrund eines nicht verfügbaren IPSec-VPN-Tunnels
    • die Richtung, in der der IPSec-VPN-Tunnel nicht verfügbar ist