IPsec VPN セッションまたはトンネルが停止したときのアラーム

IPsec VPN セッションまたはトンネルが停止すると、アラームが発生し、停止アラームの理由が、NSX Manager ユーザーインターフェイスの [アラーム] ダッシュボードまたは [VPN] ページに表示されます。

解決方法

次の表で、NSX Manager ユーザーインターフェイスに表示された理由メッセージを調べて、停止アラームが発生した原因を確認してください。アラームを解決するには、特定の理由メッセージと、停止アラームについて考えられる原因を確認し、必要なアクションを行ってください。

表 1. IPsec VPN セッションの停止アラームの原因と解決策
IPsec VPN セッションの停止アラームの理由	考えられる原因	アラームメッセージを解決するために必要なアクション
`Authentication failed`	認証に失敗したため、VPN ゲートウェイ間で IKE SA の確立に失敗しました。IKE SA の認証は、Pre-shared Key、Local ID、Remote ID の値によって異なります。	`Local ID` と `Remote ID` の値を確認します。ローカル ID の値は、ピア VPN ゲートウェイのリモート ID 値として設定する必要があります。 `Pre-shared Key` の値を確認します。これは、両方の VPN ゲートウェイで正確に一致する必要があります。
`No proposal chosen`	ローカルとピアの両方の構成ファイルで IKE 変換構成が一致していません。	両方のゲートウェイで、次のプロパティが同じ構成になっていることを確認します。 `DH groups` `Digest and encryption algorithms`
`Peer sent delete`	ピアゲートウェイが削除ケースを開始しました。IKE SA の `DELETE` ペイロードを受信しました。	ピアゲートウェイが `DELETE` ペイロードを送信した理由を確認するには、NSX Edge とピアゲートウェイ側の Syslog を確認します。
`Peer not responding`	IKE SA ネゴシエーションがタイムアウトしました。	リモートゲートウェイが「稼動中」であることを確認します。リモートゲートウェイとの接続を確認します。
`Invalid syntax`	IKE のプロポーザルまたは変換の形式が正しくありません。不正な IKE ペイロードがあります。	無効な構文をデバッグするには、Edge Syslog を分析します。
`Invalid spi`	IKE ペイロードで無効な SPI 値を受信しました。	無効な SPI 値をデバッグするには、Edge Syslog を分析します。
`Configuration failed`	一部の制約または条件のため、NSX Edge でセッション構成の認識に失敗しました。理由は `Session_Config_Fail_Reason` のセッションダンプに示されています。	`Session_Config_Fail_Reason` のセッションダンプに表示されている理由を参照して、エラーを解決します。
`Negotiation not started`	IKE SA ネゴシエーションが開始していません。	セッション構成の `Connection Initiation Mode` プロパティが `Respond Only` に設定されていることを確認します。両方のゲートウェイの VPN 構成を確認します。少なくとも 1 つのゲートウェイを `Initiator` に設定する必要があります。
`IPsec service not enabled`	セッションで使用されている VPN サービスの状態がアクティブではありません。	IPsec VPN サービス構成の管理状態が有効になっていないかどうかを確認します。
`Session not enabled`	管理者がセッションを有効にしていません。	このエラーを解決するには、セッションを有効にします。
`SR state is not Active`	SR がスタンバイ状態です。	HA ピア SR がアクティブ状態になっている NSX Edge ノードで VPN セッションの状態を確認します。

表 2. IPsec VPN トンネルの停止アラームの原因と解決策
IPsec VPN トンネルの停止アラームの理由	考えられる原因	アラームメッセージを解決するために必要なアクション
`Peer sent delete`	ピアゲートウェイが IPSEC SA の `DELETE` ペイロードを送信しました。	ピアゲートウェイが `DELETE` ペイロードを送信した理由を確認するには、NSX Edge とピアゲートウェイ側の Syslog を確認する必要があります。
`No proposal chosen`	ローカルゲートウェイとピアゲートウェイの両方で、ESP 変換構成が一致していません。	両方のゲートウェイで、次のプロパティが同じ構成になっていることを確認します。 `DH groups` `Digest and encryption algorithms` `PFS` が有効になっているかどうか。
`TS unacceptable`	トンネル構成で、ゲートウェイ間のポリシールールの定義が一致していないため、IPsec SA の設定に失敗しました。	両方のゲートウェイで、ローカルとリモートのネットワーク構成を確認します。
`IKE SA down`	IKE SA セッションが停止しています。	まず、Edge Syslog でセッション停止の理由を確認します。前の表の [必要なアクション] 列を参照してセッション停止エラーを解決し、トンネル停止の理由がまだ解決していないかどうかを確認します。
`Invalid syntax`	プロポーザルまたは変換の形式が正しくありません。不正なペイロードがあります。	無効な構文をデバッグするには、Edge Syslog を分析します。
`Invalid spi`	ESP ペイロードで無効な SPI 値を受信しました。	無効な SPI 値をデバッグするには、Edge Syslog を分析します。
`No IKE peers`	すべての IKE ピアが停止しています。接続の確立先にピアゲートウェイがありません。	リモートゲートウェイが「稼動中」かどうか確認します。構成済みのピアゲートウェイとの接続を確認します。
`IPsec negotiation not started`	IPsec SA ネゴシエーションが開始していません。	IKE SA がまだ稼動していません。Edge Syslog でセッション停止の理由を確認し、エラーを解決します。