IPsec VPN トンネルが不安定になったら、NSX Data Center for vSphere 製品のログを収集し、基本的なトラブルシューティングを開始します。トンネルが不安定になる原因を特定するには、データ パスにパケット キャプチャ セッションを設定し、NSX Edge CLI コマンドを実行します。

IPsec VPN トンネルが不安定になる原因をトラブルシューティングするには、次の手順に従います。

前提条件

データ パスにパケット キャプチャ セッションを設定する前に、次の要件を満たしていることを確認します。
  • UDP ポート 500 と 4500 でパケットの送受信が可能である。
  • ファイアウォール ルールがポート 500 と 4500 を通過するデータ トラフィックを許可する。
  • ファイアウォール ルールが ESP (Encapsulating Security Payload) パケットを許可する。
  • IPsec インターフェイス経由でのローカル サブネット ルーティングが正しく設定されている。
  • トンネル終端の IP アドレスに、サイズの小さい ping ペイロードを送信し、次にサイズの大きい ping ペイロードを送信して、MTU 設定で断片化の問題があるかどうか確認します。

手順

  1. 両方のサイトからサポート ログを収集します。
    • NSX Data Center for vSphere の診断情報を収集するには、VMware ナレッジベースの記事 http://kb.vmware.com/kb/2074678 を参照してください。
    • NSX Edge の診断情報を収集するには、VMware ナレッジベースの記事 http://kb.vmware.com/kb/2079380 を参照してください。
    重要: NSX Edge アプライアンスのディスク容量に制限があるため、ログを Syslog サーバにリダイレクトする必要があります。詳細については、『 NSX Data Center for vSphere 管理ガイド』の「リモート Syslog サーバの構成」を参照してください。
  2. SonicWall、Watchguard などのサードパーティのハードウェア VPN ファイアウォール ソリューションと連携するように、NSX Edge の IPsec VPN サービスが正しく設定されていることを確認します。必要であれば、特定の設定情報を VPN ベンダーに問い合わせてください。
  3. NSX Edge とサードパーティのファイアウォールの間に、IKE パケットまたは ESP パケットのパケット キャプチャを設定します。
  4. NSX Edge で、問題発生時の状態をリアルタイムに記録します。次のコマンドを実行して結果を記録します。
    コマンド 目的
    show service ipsec IPsec VPN サービスのステータスを確認します。
    show service ipsec sp セキュリティ ポリシーのステータスを確認します。
    show service ipsec sa Security Association (SA) のステータスを確認します。
  5. 問題の発生中にサードパーティ VPN ソリューションの IPsec 関連のログと出力をキャプチャします。
  6. IPsec 関連のログと出力を確認し、問題を特定します。IPsec VPN サービスを実行し、セキュリティ ポリシーを作成して、デバイス間でセキュリティ上の連携を設定していることを確認します。
    ログから確認できる一般的な問題は次のとおりです。
    • ID が無効: INVALID_ID_INFORMATION または PAYLOAD_MALFORMED
    • 信頼された認証局 (CA) がない: INVALID_KEY_INFORMATION または他の特定のエラー。たとえば、no RSA public key known for 'C=CN, ST=BJ, O=VMWare, OU=CINS, CN=left‘, or PAYLOAD_MALFORMED
    • 指定したプロキシ ID が見つからない: INVALID_ID_INFORMATION または PAYLOAD_MALFORMED。
    • DPD: ピアからの応答がない。たとえば、DPD: No response from peer - declaring peer dead
  7. vSphere Web Client または NSX Edge CLI を使用するか、NSX Data Center for vSphere REST API を実行して、トンネル エラー メッセージを確認します。
    たとえば、 vSphere Web Client でエラー メッセージを確認するには、 NSX Edge をダブルクリックして [IPsec VPN] ページに移動し、次の手順を実行します。
    1. [IPsec 統計の表示 (Show IPSec Statistics)] をクリックします。
    2. 停止している IPsec チャネルを選択します。
    3. 選択したチャネルで停止(無効)状態のトンネルを選択して、トンネルの失敗の詳細を表示します。
      • NSX 6.4.6 以降では、[トンネルの状態] 列で [無効] をクリックします。
      • NSX 6.4.5 以前では、[トンネルの状態] 列で [詳細の表示] をクリックします。

    次の表は、IPsec トンネル接続の問題で考えられる原因と、それぞれに関連するエラー メッセージを示したものです。

    原因 エラー メッセージ
    IKEv1 ピアに到達できない。 Version-IKEv1 Retransmitting IKE Message as no response from Peer.
    IKEv1 フェーズ 1 プロポーザルが一致しない。 Version-IKEv1 No Proposal Chosen.Check configured Encryption/Authentication/DH/IKE-Version.
    次のいずれかが一致しない。
    • IKEv1 PSK
    • IKEv1 ID
    • IKEv1 証明書
    Version-IKEv1 Authentication Failed.Check the configured secret or local/peer ID configuration.
    IKEv1 フェーズ 2 プロポーザルが一致しない。 IPSec-SA Proposals or Traffic Selectors did not match.
    IKEv2 ピアに到達できない。 Version-IKEv2 Retransmitting IKE Message as no response from Peer.
    IKEv2 IKE SA プロポーザルが一致しない。 Version-IKEv2 No Proposal Chosen.Check configured Encrypt/Authentication/DH/IKEversion.
    IKEv2 IPsec SA プロポーザルが一致しない。 IPSec-SA Proposals or Traffic Selectors did not match.
    IKEv2 IPsec SA トラフィック セレクタが一致しない。 Traffic selectors did not match.Check left/right subnet configuration.
    次のいずれかが一致しない。
    • IKEv2 PSK
    • IKEv2 ID
    • IKEv2 証明書
    Version-IKEv2 Authentication Failed.Check the configured secret or local/peer ID configuration.
  8. 問題が解決しない場合は、ランタイムの状態、トラフィックの状態、データ パス全体のパケット キャプチャ セッションをキャプチャします。
    問題のあるトラフィックを特定するため、IPsec トンネルの片側のプライベート サブネットから反対側のプライベート サブネットに ping を実行します。
    1. 次の図に示すように、ポイント 1、2、3、4 にパケット キャプチャを設定します。
    2. 仮想マシン 1 からホスト 2 に ping を実行します。
    3. ホスト 2 から仮想マシン 1 に ping を実行します。
    4. パケットの転送に失敗したポイントまたはパケットがドロップしたポイントを確認します。
    図 1. データ パスのさまざまなポイントでのパケット キャプチャ

    この図は、ポイント 1、2、3、4 にパケット キャプチャが設定されています。