IPsec VPN セッションまたはトンネルが停止すると、アラームが発生し、停止アラームの理由が、NSX Manager ユーザー インターフェイスの [アラーム] ダッシュボードまたは [VPN] ページに表示されます。

解決方法

次の表で、NSX Manager ユーザー インターフェイスに表示された理由メッセージを調べて、停止アラームが発生した原因を確認してください。アラームを解決するには、特定の理由メッセージと、停止アラームについて考えられる原因を確認し、必要なアクションを行ってください。

表 1. IPsec VPN セッションの停止アラームの原因と解決策
IPsec VPN セッションの停止アラームの理由 考えられる原因 アラーム メッセージを解決するために必要なアクション
Authentication failed 認証に失敗したため、VPN ゲートウェイ間で IKE SA の確立に失敗しました。IKE SA の認証は、Pre-shared Key、Local ID、Remote ID の値によって異なります。
  • Local IDRemote ID の値を確認します。ローカル ID の値は、ピア VPN ゲートウェイのリモート ID 値として設定する必要があります。
  • Pre-shared Key の値を確認します。これは、両方の VPN ゲートウェイで正確に一致する必要があります。
No proposal chosen ローカルとピアの両方の構成ファイルで IKE 変換構成が一致していません。 両方のゲートウェイで、次のプロパティが同じ構成になっていることを確認します。
  • DH groups
  • Digest and encryption algorithms
Peer sent delete ピア ゲートウェイが削除ケースを開始しました。IKE SA の DELETE ペイロードを受信しました。 ピア ゲートウェイが DELETE ペイロードを送信した理由を確認するには、NSX Edge とピア ゲートウェイ側の Syslog を確認します。
Peer not responding IKE SA ネゴシエーションがタイムアウトしました。
  • リモート ゲートウェイが「稼動中」であることを確認します。
  • リモート ゲートウェイとの接続を確認します。
Invalid syntax
  • IKE のプロポーザルまたは変換の形式が正しくありません。
  • 不正な IKE ペイロードがあります。
無効な構文をデバッグするには、Edge Syslog を分析します。
Invalid spi IKE ペイロードで無効な SPI 値を受信しました。 無効な SPI 値をデバッグするには、Edge Syslog を分析します。
Configuration failed 一部の制約または条件のため、NSX Edge でセッション構成の認識に失敗しました。理由は Session_Config_Fail_Reason のセッション ダンプに示されています。 Session_Config_Fail_Reason のセッション ダンプに表示されている理由を参照して、エラーを解決します。
Negotiation not started IKE SA ネゴシエーションが開始していません。
  • セッション構成の Connection Initiation Mode プロパティが Respond Only に設定されていることを確認します。
  • 両方のゲートウェイの VPN 構成を確認します。少なくとも 1 つのゲートウェイを Initiator に設定する必要があります。
IPsec service not enabled セッションで使用されている VPN サービスの状態がアクティブではありません。 IPsec VPN サービス構成の管理状態が有効になっていないかどうかを確認します。
Session not enabled 管理者がセッションを有効にしていません。 このエラーを解決するには、セッションを有効にします。
SR state is not Active SR がスタンバイ状態です。 HA ピア SR がアクティブ状態になっている NSX Edge ノードで VPN セッションの状態を確認します。
表 2. IPsec VPN トンネルの停止アラームの原因と解決策
IPsec VPN トンネルの停止アラームの理由 考えられる原因 アラーム メッセージを解決するために必要なアクション
Peer sent delete ピア ゲートウェイが IPSEC SA の DELETE ペイロードを送信しました。 ピア ゲートウェイが DELETE ペイロードを送信した理由を確認するには、NSX Edge とピア ゲートウェイ側の Syslog を確認する必要があります。
No proposal chosen ローカル ゲートウェイとピア ゲートウェイの両方で、ESP 変換構成が一致していません。 両方のゲートウェイで、次のプロパティが同じ構成になっていることを確認します。
  • DH groups
  • Digest and encryption algorithms
  • PFS が有効になっているかどうか。
TS unacceptable トンネル構成で、ゲートウェイ間のポリシー ルールの定義が一致していないため、IPsec SA の設定に失敗しました。 両方のゲートウェイで、ローカルとリモートのネットワーク構成を確認します。
IKE SA down IKE SA セッションが停止しています。 まず、Edge Syslog でセッション停止の理由を確認します。前の表の [必要なアクション] 列を参照してセッション停止エラーを解決し、トンネル停止の理由がまだ解決していないかどうかを確認します。
Invalid syntax
  • プロポーザルまたは変換の形式が正しくありません。
  • 不正なペイロードがあります。
無効な構文をデバッグするには、Edge Syslog を分析します。
Invalid spi ESP ペイロードで無効な SPI 値を受信しました。 無効な SPI 値をデバッグするには、Edge Syslog を分析します。
No IKE peers すべての IKE ピアが停止しています。接続の確立先にピア ゲートウェイがありません。
  • リモート ゲートウェイが「稼動中」かどうか確認します。
  • 構成済みのピア ゲートウェイとの接続を確認します。
IPsec negotiation not started IPsec SA ネゴシエーションが開始していません。 IKE SA がまだ稼動していません。Edge Syslog でセッション停止の理由を確認し、エラーを解決します。