반응형
1. Phase-2 상태가 UP 인가 ?
VPN Tunnel list 조회
# diagnose vpn tunnel list
- No (SA=0) Down 상태
- YES (SA=1) Up 상태
2. IKE Phase-1 상태가 UP 인가 ?
VPN IKE list 조회
# diagnose vpn ike gateway list
- No (Connecting) Down 상태
- Yes (Established) Up 상태
3. 체크리스트 확인
- VPN 장비에 다른 방화벽이 있나요?
- VPN 게이트웨이가 올바른 외부 인터페이스를 사용하도록 구성되어 있나요?
- 상대방 공인 IP가 올바르게 구성되어 있습니까?
- 외부 인터페이스에서 패킷 캡처를 실행하고 원격 피어에서 트래픽을 볼 수 있는지 확인합니다.
- 포트 500/4500의 IKE 트래픽이 업스트림에 연결된 네트워크 디바이스에서 허용되는지 확인합니다
트래픽 확인 (IP, Port)
# diagnose sniffer packet any '<remote-peer-ip> and port (500 or 4500)' 6 0 l
Debug 확인
# diagnose debug console timestamp enable
# diagnose debug application Ike -1
# diagnose debug enable
Phase 1은 established 상태인데 Phase 2가 Down 일때
- 암호화 및 해시 알고리즘이 상대방 장비와 일치하는지 확인합니다.
- PFS가 활성화되어 있는지 확인하고, 활성화되어 있으면 두 장치 모두에서 구성이 일치하는지 확인합니다.
Perfect Forward Secrecy (PFS)
기본적으로 Phase 2 key는 phase 1에서 생성된 세션 키에서 파생됩니다. PFS(Perfect Forward Secrecy)는 터널이 시작될 때와 Phase 2 key 수명이 만료될 때마다 새로운 Diffie-Hellman 교환을 강제로 수행하여 매번 새 키가 생성되도록 합니다. 이렇게 하면 Phase 2에서 생성된 키가 Phase 1 Key 또는 Phase 2에서 자동으로 생성된 다른 키와 관련이 없습니다.
- quick mode selectors 가 양쪽간 일치하는지 확인합니다.
- Phase-2가 여전히 작동하지 않는 경우 포트 500/4500에서 패킷 캡처를 실행하고 다음 명령을 실행합니다.
# diagnose vpn ike gateway list (or diagnose vpn ike gateway list name <tunnel-name>)
# diagnose debug console timestamp enable
# diagnose debug application ike -1
# diagnose debug enable
반응형