NSX Edge CLI から IPsec 設定コマンドを実行すると、IPsec VPN トンネル接続の問題をトラブルシューティングできます。vSphere Web ClientNSX Data Center for vSphere REST API でも、トンネル障害の原因を特定し、トンネル エラー メッセージを表示できます。

トンネルの作成と接続の問題をトラブルシューティングするには、次の手順に従います。

手順

  1. 両方のサイトからサポート ログを収集します。
    • NSX Data Center for vSphere の診断情報を収集するには、VMware ナレッジベースの記事 http://kb.vmware.com/kb/2074678 を参照してください。
    • NSX Edge の診断情報を収集するには、VMware ナレッジベースの記事 http://kb.vmware.com/kb/2079380 を参照してください。
    重要: NSX Edge アプライアンスのディスク容量に制限があるため、ログを Syslog サーバにリダイレクトする必要があります。詳細については、『 NSX Data Center for vSphere 管理ガイド』の「リモート Syslog サーバの構成」を参照してください。
  2. サードパーティ VPN ソリューションのログを収集します。
  3. NSX Edge CLI で次のコマンドを実行し、Edge の両側で IPsec の設定を確認します。
    show config ipsec
    ヒント:

    SSH を使用して NSX Edge コマンドの出力をキャプチャしたほうが簡単な場合もあります。NSX Edge で SSH を有効にする方法については、『NSX コマンド ライン インターフェイス リファレンス ガイド』で「CLI のログインとログアウト」を参照してください。

  4. NSX Edge で、問題発生時の状態をリアルタイムに記録します。次のコマンドを実行して結果を記録します。
    コマンド 目的
    show service ipsec IPsec VPN サービスのステータスを確認します。
    show service ipsec sp セキュリティ ポリシーのステータスを確認します。
    show service ipsec sa Security Association (SA) のステータスを確認します。
  5. 問題の発生中にサードパーティ VPN ソリューションの IPsec 関連のログと出力をキャプチャします。
  6. IPsec 関連のログと出力を確認し、問題を特定します。IPsec VPN サービスを実行し、セキュリティ ポリシーを作成して、デバイス間でセキュリティ上の連携を設定していることを確認します。
    ログから確認できる一般的な問題は次のとおりです。
    • ID が無効: INVALID_ID_INFORMATION または PAYLOAD_MALFORMED
    • 信頼された認証局 (CA) がない: INVALID_KEY_INFORMATION または他の特定のエラー。たとえば、no RSA public key known for 'C=CN, ST=BJ, O=VMWare, OU=CINS, CN=left‘, or PAYLOAD_MALFORMED
    • 指定したプロキシ ID が見つからない: INVALID_ID_INFORMATION または PAYLOAD_MALFORMED。
    • DPD: ピアからの応答がない。たとえば、DPD: No response from peer - declaring peer dead
  7. vSphere Web Client または NSX Edge CLI を使用するか、NSX Data Center for vSphere REST API を実行して、トンネル エラー メッセージを確認します。
    たとえば、 vSphere Web Client でエラー メッセージを確認するには、 NSX Edge をダブルクリックして [IPsec VPN] ページに移動し、次の手順を実行します。
    1. [IPsec 統計の表示 (Show IPSec Statistics)] をクリックします。
    2. 停止している IPsec チャネルを選択します。
    3. 選択したチャネルで停止(無効)状態のトンネルを選択して、トンネルの失敗の詳細を表示します。
      • NSX 6.4.6 以降では、[トンネルの状態] 列で [無効] をクリックします。
      • NSX 6.4.5 以前では、[トンネルの状態] 列で [詳細の表示] をクリックします。

    次の表は、IPsec トンネル接続の問題で考えられる原因と、それぞれに関連するエラー メッセージを示したものです。

    原因 エラー メッセージ
    IKEv1 ピアに到達できない。 Version-IKEv1 Retransmitting IKE Message as no response from Peer.
    IKEv1 フェーズ 1 プロポーザルが一致しない。 Version-IKEv1 No Proposal Chosen.Check configured Encryption/Authentication/DH/IKE-Version.
    次のいずれかが一致しない。
    • IKEv1 PSK
    • IKEv1 ID
    • IKEv1 証明書
    		Version-IKEv1 Authentication Failed.Check the configured secret or local/peer ID configuration.
    IKEv1 フェーズ 2 プロポーザルが一致しない。 IPSec-SA Proposals or Traffic Selectors did not match.
    IKEv2 ピアに到達できない。 Version-IKEv2 Retransmitting IKE Message as no response from Peer.
    IKEv2 IKE SA プロポーザルが一致しない。 Version-IKEv2 No Proposal Chosen.Check configured Encrypt/Authentication/DH/IKEversion.
    IKEv2 IPsec SA プロポーザルが一致しない。 IPSec-SA Proposals or Traffic Selectors did not match.
    IKEv2 IPsec SA トラフィック セレクタが一致しない。 Traffic selectors did not match.Check left/right subnet configuration.
    次のいずれかが一致しない。
    • IKEv2 PSK
    • IKEv2 ID
    • IKEv2 証明書
    		Version-IKEv2 Authentication Failed.Check the configured secret or local/peer ID configuration.
  8. NSX Edge で、IKE パケットまたは ESP パケット(またはその両方)にパケット キャプチャを設定します。
    次の図を参照してください。パケットの転送に失敗したポイントまたはパケットがドロップしたポイントを特定します。
    1. ポイント 1 と 2 にパケット キャプチャを設定します。
    2. 仮想マシン 1 からホスト 2 に ping を実行します。
    3. ホスト 2 から仮想マシン 1 に ping を実行します。
    図 1. データ転送のさまざまな時点でのパケット キャプチャ
    この図では、ポイント 1 と 2 にパケット キャプチャが設定されています。

    NSX Edge と Cisco デバイス間のパケット キャプチャ セッションの例については、『NSX トラブルシューティング ガイド』の「成功するネゴシエーションのためのパケットのキャプチャ」を参照してください。

  9. すべてのデータを確認し、分析します。パケット キャプチャのデータは、問題が存在する場所の特定に役立ちます。
    たとえば、次の問題を特定できます。
    • IKEv1 チャネルとトンネルのエラー。
    • IKEv2 チャネルとトンネルのエラー。
    • データ パスのエラー。
    • IPsec VPN トンネルの停止エラー。
    • IPsec VPN トンネルが停止している方向。