Cuando una sesión o un túnel de VPN de IPsec están inactivos, se activa la alarma Inactivo y se muestra el motivo en el panel de control Alarmas o en la página de la VPN en la interfaz de usuario de NSX Manager.

Solución

Utilice las siguientes tablas para localizar el mensaje Motivo que se muestra en la interfaz de usuario de NSX Manager y revise la posible causa de la alarma Inactivo. Para resolver la alarma, realice las acciones necesarias que se indican en el mensaje Motivo y las posibles causas de la alarma Inactivo.

Tabla 1. Causas y las soluciones de una alarma Inactivo de una sesión de VPN de IPsec
Motivo de la alarma Inactivo de la sesión de VPN de IPsec Causa posible Acciones necesarias para resolver la alarma
Se produjo un error en la autenticación Se produjo un error en el establecimiento de la SA de IKE entre las puertas de enlace de VPN debido a un error de autenticación. La autenticación de la SA de IKE depende de los valores de la clave compartida previamente, el identificador local y el identificador remoto.
  • Compruebe los valores de Local ID y Remote ID. El valor del identificador local debe establecerse como el valor del identificador remoto en la puerta de enlace de VPN del mismo nivel.
  • Compruebe el valor de Pre-shared Key. Debe coincidir exactamente en las dos puertas de enlace de VPN.
Ninguna propuesta seleccionada La configuración de la transformación de IKE en el archivo de configuración local y del mismo nivel es incoherente. Asegúrese de que las siguientes propiedades estén configuradas igual en las dos puertas de enlace.
  • DH groups
  • Digest and encryption algorithms
Elemento del mismo nivel envió eliminar La puerta de enlace del mismo nivel inició un caso de eliminación. Se recibió una carga útil DELETE para la SA de IKE. Para determinar por qué la puerta de enlace del mismo nivel envió una carga útil DELETE, examine los syslogs en NSX Edge y en el lado de la puerta de enlace del mismo nivel.
Elemento del mismo nivel no responde Se agotó el tiempo de espera de la negociación de la SA de IKE.
  • Compruebe que la puerta de enlace remota esté activa.
  • Compruebe la conectividad con la puerta de enlace remota.
Sintaxis no válida
  • Las propuestas o las transformaciones de IKE no se han formado correctamente.
  • Hay cargas útiles de IKE con formato incorrecto.
Para depurar la sintaxis no válida, analice los syslogs de Edge.
SPI no válido Se recibió un valor de SPI no válido en la carga útil de IKE. Para depurar el valor de SPI no válido, analice los syslogs de Edge.
Error al configurar Se produjo un error en la realización de la configuración de la sesión en NSX Edge debido a algunas restricciones o a ciertos criterios. El motivo se muestra en el volcado de sesión en Session_Config_Fail_Reason. Resuelva el error usando el motivo que se muestra en el volcado de sesión en Session_Config_Fail_Reason.
Negociación no iniciada No se inició la negociación de la SA de IKE.
  • Compruebe que la propiedad Connection Initiation Mode de la configuración de la sesión esté establecida en Respond Only.
  • Compruebe la configuración de VPN de ambas puertas de enlace. Al menos una de las puertas de enlace se debe establecer en Initiator.
El servicio de IPsec no está habilitado El estado del servicio de VPN utilizado para la sesión no está activo. Compruebe si el estado de administración en la configuración del servicio de VPN de IPsec no está habilitado.
Sesión no habilitada El administrador no habilitó la sesión. Habilite la sesión para resolver este error.
El estado de SR no está activo SR está en estado de espera. Compruebe que la sesión de VPN en el nodo de NSX Edge en el que está el par de alta disponibilidad esté en estado Activo.
Tabla 2. Causas y las soluciones de una alarma Inactivo de un túnel de VPN de IPsec
Motivo de la alarma Inactivo del túnel de VPN de IPsec Causa posible Acciones necesarias para resolver la alarma
Elemento del mismo nivel envió eliminar La puerta de enlace del mismo nivel envió una carga útil DELETE para la SA de IPSEC. Para comprender por qué la puerta de enlace del mismo nivel envió una carga útil DELETE, debe comprobar los syslogs en NSX Edge y en el lado de la puerta de enlace del mismo nivel.
Ninguna propuesta seleccionada La configuración de la transformación ESP no es coherente en las configuraciones de las puertas de enlace local y del mismo nivel. Asegúrese de que las siguientes propiedades estén configuradas igual en las dos puertas de enlace.
  • DH groups
  • Digest and encryption algorithms
  • PFS está activado o no.
TS no aceptable Se produjo un error en la configuración de SA de IPsec por la falta de coincidencia en la definición de reglas de directiva entre las puertas de enlace para la configuración del túnel. Compruebe la configuración de red local y remota en ambas puertas de enlace.
SA de IKE inactiva La sesión de SA de IKE está inactiva. En primer lugar, compruebe el motivo de la inactividad de la sesión en los syslogs de Edge. Consulte la columna Acciones necesarias de la tabla anterior para resolver los errores de sesión inactiva y, a continuación, compruebe si el motivo de la inactividad del túnel persiste.
Sintaxis no válida
  • Las propuestas o las transformaciones no se han formado correctamente.
  • Hay cargas útiles con formato incorrecto.
Para depurar la sintaxis no válida, analice los syslogs de Edge.
SPI no válido Se recibió un valor de SPI no válido en la carga útil de ESP. Para depurar el valor de SPI no válido, analice los syslogs de Edge.
Ningún elemento del mismo nivel de IKE Todos los elementos del mismo nivel de IKE están inactivos. No quedan puertas de enlace del mismo nivel con las que intentar establecer una conexión.
  • Compruebe si la puerta de enlace remota está activa.
  • Compruebe la conectividad con las puertas de enlace del mismo nivel configuradas.
Negociación de IPsec no iniciada No se inició la negociación de SA de IPsec. La SA de IKE aún no está activa. Compruebe el motivo de inactividad de la sesión que aparece en los syslogs de Edge y resuelva los errores.