Quando una VPN diventa inattiva e viene visualizzato il messaggio di mancata risposta del peer, la causa della radice può essere un'interruzione della rete o una regola del firewall mancante o non configurata correttamente.

Problema

Mancata visualizzazione di una nuova VPN in seguito alla sua creazione, oppure errore di una VPN funzionante dopo che una delle estremità è stata aggiornata o riconfigurata oppure in seguito alla modifica di una tabella di route.

Causa

A differenza di altri endpoint, la cui raggiungibilità può essere verificata con comandi come ping, non è realmente possibile verificare la connettività VPN al di fuori della VPN stessa. IPsec utilizza UDP, pertanto si riceve una risposta dal peer oppure non la si riceve. La raggiungibilità del ping dipende dal fatto che il peer l'abbia abilitata, operazione che numerosi peer non sono soliti effettuare.

Soluzione

  1. Assicurarsi che l'indirizzo IP remoto configurato nella VPN corrisponda all'IP su cui è in ascolto il peer.
  2. Assicurarsi che tutti i firewall nel sito remoto (locale) siano configurati per consentire il traffico verso la porta UDP 500. Se l'endpoint remoto è NATted, i firewall nel sito remoto devono consentire il traffico verso la porta UDP 4500.
  3. Il traffico VPN IPsec utilizza più protocolli, i quali devono tutti essere autorizzati attraverso il firewall.
    I casi d'uso includono:
    • Protocollo IP 50 ESP (Encapsulating Security Payload)
    • Protocollo IP 51 AH (Authenticating Header)
    • ISAKMP (Internet Security Association and Key Management Protocol, che a sua volta utilizza IKE e IKE v2 (Internet Key Exchange)
  4. Assicurarsi che sia configurata la stessa versione IKE per entrambi gli endpoint.
  5. Assicurarsi che il routing sia attivo per consentire a ciascun lato di raggiungere l'altro.
    Questa operazione può essere convalidata utilizzando il tracciamento della route, ma la convalida del percorso end-to-end non è sempre possibile poiché molti endpoint non risponderanno alle richieste standard ICMP Echo (ping) o di tracciamento della route. Quando si configura la VPN dell'SDDC Indirizzo IP locale come Pubblico, il traffico VPN passa sempre attraverso il gateway Internet dell'SDDC. In caso contrario (quando l' indirizzo IP locale della VPN è Privato), il traffico VPN passa attraverso l'uplink Intranet dell'SDDC. Assicurarsi che il lato remoto della VPN invii il traffico di risposta sullo stesso percorso.