IPsec VPN セッションまたはトンネルが停止すると、アラームが発生し、停止アラームの理由が、NSX Manager ユーザー インターフェイスの [アラーム] ダッシュボードまたは [VPN] ページに表示されます。

解決方法

次の表で、NSX Manager ユーザー インターフェイスに表示された理由 メッセージを調べて、停止アラームが発生した原因を確認してください。アラームを解決するには、特定の理由メッセージと、停止アラームについて考えられる原因を確認し、必要なアクションを行ってください。

表 1. IPsec VPN セッションの停止アラームの原因と解決策
IPsec VPN セッションの停止アラームの理由 可能性のある原因 アラーム メッセージを解決するために必要なアクション
Authentication failed 認証に失敗したため、VPN ゲートウェイ間で IKE SA の確立に失敗しました。IKE SA の認証は、プリシェアード キー、ローカル ID、リモート ID の値によって異なります。
  • Local IDRemote ID の値を確認します。ローカル ID の値は、ピア VPN ゲートウェイのリモート ID 値として設定する必要があります。
  • Pre-shared Key の値を確認します。これは、両方の VPN ゲートウェイで正確に一致する必要があります。
No proposal chosen ローカルとピアの両方の構成ファイルで IKE 変換構成が一致していません。 両方のゲートウェイで、次のプロパティが同じ構成になっていることを確認します。
  • DH groups
  • Digest and encryption algorithms
Peer sent delete ピア ゲートウェイが削除ケースを開始しました。IKE SA の DELETE ペイロードを受信しました。 ピア ゲートウェイが DELETE ペイロードを送信した理由を確認するには、NSX Edge とピア ゲートウェイ側のログを確認します。
Peer not responding IKE SA ネゴシエーションがタイムアウトしました。
  • リモート ゲートウェイが「稼動中」であることを確認します。
  • リモート ゲートウェイとの接続を確認します。
Invalid syntax
  • IKE のプロポーザルまたは変換の形式が正しくありません。
  • 不正な IKE ペイロードがあります。
無効な構文をデバッグするには、ログを分析します。
Invalid spi IKE ペイロードで無効な SPI 値を受信しました。 無効な SPI 値をデバッグするには、ログを分析します。
Configuration failed 一部の制約または条件のため、NSX Edge でセッション構成の認識に失敗しました。理由は Session_Config_Fail_Reason のセッション ダンプに示されています。 Session_Config_Fail_Reason のセッション ダンプに表示されている理由を参照して、エラーを解決します。
Negotiation not started IKE SA ネゴシエーションが開始していません。
  • セッション構成の Connection Initiation Mode プロパティが Responder に設定されていることを確認します。
  • ピア構成で、ゲートウェイの 1 つが Initiator に設定されていることを確認します。
IPsec service not active セッションで使用されている VPN サービスの状態がアクティブではありません。 IPsec VPN サービス構成の管理状態が無効になっているかどうかを確認します。
Session disabled 管理者がセッションを無効にしました。 このエラーを解決するには、セッションを有効にします。
SR state is not Active SR がスタンバイ状態です。 HA ピア SR がアクティブ状態になっている NSX Edge ノードで VPN セッションが有効になっていることを確認します。
表 2. IPsec VPN トンネルの停止アラームの原因と解決策
IPsec VPN トンネルの停止アラームの理由 可能性のある原因 アラーム メッセージを解決するために必要なアクション
Peer sent delete ピア ゲートウェイが IPSEC SA の DELETE ペイロードを送信しました。 ピア ゲートウェイが DELETE ペイロードを送信した理由を確認するには、NSX Edge とピア ゲートウェイ側の両方のログを確認する必要があります。
No proposal chosen ローカル ゲートウェイとピア ゲートウェイの両方で、ESP 変換構成が一致していません。 両方のゲートウェイで、次のプロパティが同じ構成になっていることを確認します。
  • DH groups
  • Digest and encryption algorithms
  • PFS が有効になっているかどうか。
TS unacceptable トンネル構成で、ゲートウェイ間のポリシー ルールの定義が一致していないため、IPsec SA の設定に失敗しました。 両方のゲートウェイで、ローカルとリモートのネットワーク構成を確認します。
IKE SA down IKE SA セッションが停止しています。 ログに表示されているセッションの停止理由を確認して、エラーを解決します。
Invalid syntax
  • プロポーザルまたは変換の形式が正しくありません。
  • 不正なペイロードがあります。
無効な構文をデバッグするには、ログを分析します。
Invalid spi ESP ペイロードで無効な SPI 値を受信しました。 無効な SPI 値をデバッグするには、ログを分析します。
No IKE peers すべての IKE ピアが停止しています。接続の確立先にピア ゲートウェイがありません。
  • リモート ゲートウェイが「稼動中」かどうか確認します。
  • 構成済みのピア ゲートウェイとの接続を確認します。
IPsec negotiation not started IPsec SA ネゴシエーションが開始していません。 IKE SA がまだ稼動していません。ログに表示されているセッションの停止理由を確認して、エラーを解決します。