ipsec-debug-00-j.pdf

Transcription

1 IPSec のトラブルシューティング:debug コマンドの 説 明 と 使 用 目 次 概 要 前 提 条 件 要 件 使 用 するコンポーネント 表 記 法 Cisco IOS ソフトウェアのデバッグ show crypto isakmp sa show crypto ipsec sa show crypto engine connection active debug crypto isakmp debug crypto ipsec エラー メッセージの 例 Replay Check Failed(リプレイ チェックに 失 敗 ) QM FSM エラー Invalid local address( 無 効 なローカル アドレス) IKE message from X.X.X.X failed its sanity check or is malformed(x.x.x.x からの IKE メッセージが X.X.X.X 自 体 の 健 全 性 チェックに 失 敗 したか または 形 式 が 正 しくない) Processing of Main Mode failed with peer(ピアとのメイン モードの 処 理 が 失 敗 した) Proxy identities not supported(プロキシ ID がサポートされていない) Transform proposal not supported(トランスフォーム プロポーザルがサポートされていない) No cert and no keys with remote peer(リモート ピアに 証 明 書 も 鍵 もない) peer address X.X.X.X not found(ピア アドレス X.X.X.X が 見 つからない) IPSEC packet has invalid SPI(IPSec パケットに 無 効 な SPI がある) IPSEC(initialize_sas): Invalid Proxy IDs(IPSEC(initialize_sas): 無 効 なプロキシ ID) Reserved Not Zero on Payload 5(ペイロード 5 で Reserved が 0 ではない) HMAC Verification Failed(HMAC の 確 認 に 失 敗 ) PIX のデバッグ show crypto isakmp sa show crypto ipsec sa debug crypto isakmp debug crypto ipsec ルータと VPN Client 間 の 一 般 的 な 問 題 VPN トンネル 外 部 のサブネットにアクセスできない:スプリット トンネリング PIX と VPN Client 間 の 一 般 的 な 問 題 トンネル 確 立 後 にトラフィックが 流 れない:PIX 背 後 の 内 部 ネットワークに PING が 通 らない トンネルのアップ 後 ユーザがインターネットをブラウズできない:スプリット トンネリング トンネルのアップ 後 特 定 のアプリケーションが 動 作 しない:クライアントでの MTU 調 整 Access Control List(ACL; アクセス コントロール リスト)の 確 認 関 連 情 報 概 要 このドキュメントでは Cisco IOS (R) Software および PIX/ASA で IPsec の 問 題 をトラブルシューティングする 際 によく 使 用 さ れる debug コマンドについて 解 説 します このドキュメントでは IPsec が 設 定 済 みであることを 前 提 とします 詳 細 は 一 般 的 な IPSec のエラー メッセージ と 一 般 的 な IPSec の 問 題 を 参 照 してください IPSec VPN の 問 題 に 対 する 最 も 一 般 的 なソリューションについては 一 般 的 な L2L およびリモート アクセス IPSec VPN のト ラブルシューティング 方 法 について を 参 照 してください 接 続 および Cisco テクニカルサポートのトラブルシューティングを 開 始 する 前 に 試 した 方 がよい 一 般 的 な 手 順 のチェックリストが 含 まれています

2 前 提 条 件 要 件 このドキュメントに 関 する 特 別 な 要 件 はありません 使 用 するコンポーネント このドキュメントの 情 報 は 次 のソフトウェアとハードウェアのバージョンに 基 づくものです Cisco IOS ソフトウェア IPSec フィーチャ セット 56i - シングル Data Encryption Standard(DES; データ 暗 号 規 格 ) 機 能 を 示 します(Cisco IOS ソフトウェア リリ ース 11.2 以 降 ) k2 - トリプル DES 機 能 を 示 します(Cisco IOS ソフトウェア リリース 12.0 以 降 ) トリプル DES は Cisco 2600 シリーズ 以 降 で 使 用 できます PIX - V5.0 以 降 アクティブにするためには シングルまたはトリプル DES のライセンス キーが 必 要 です このドキュメントの 情 報 は 特 定 のラボ 環 境 にあるデバイスに 基 づいて 作 成 されたものです このドキュメントで 使 用 するすべて のデバイスは クリアな(デフォルト) 設 定 で 作 業 を 開 始 しています 対 象 のネットワークが 実 稼 働 中 である 場 合 には どのよう な 作 業 についても その 潜 在 的 な 影 響 について 確 実 に 理 解 しておく 必 要 があります 表 記 法 ドキュメント 表 記 の 詳 細 は シスコ テクニカル ティップスの 表 記 法 を 参 照 してください Cisco IOS ソフトウェアのデバッグ このセクションの 項 目 では Cisco IOS ソフトウェアの debug コマンドについて 解 説 します 詳 細 は 一 般 的 な IPSec のエラ ー メッセージ と 一 般 的 な IPSec の 問 題 を 参 照 してください show crypto isakmp sa このコマンドは ピア 間 で 構 築 された Internet Security Association and Key Management Protocol(ISAKMP)セキュリティ アソシエーション(SA)を 表 示 します dst src state conn-id slot QM_IDLE 1 0 show crypto ipsec sa このコマンドは ピア 間 で 構 築 された IPSec SA を 表 示 します ネットワーク と の 間 を 流 れるトラフィック に 対 して と との 間 に 暗 号 化 されたトンネルが 構 築 されます 着 信 側 および 発 信 側 で 構 築 された 2 つの

3 Encapsulating Security Payload(ESP)SA を 確 認 できます Authentication Header(AH)SA がないため AH は 使 用 されてい ません show crypto ipsec sa コマンドの 出 力 例 を 次 に 示 します interface: FastEthernet0 Crypto map tag: test, local addr local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: PERMIT, flags={origin_is_acl,} #pkts encaps: , #pkts encrypt: , #pkts digest #pkts decaps: , #pkts decrypt: , #pkts verify #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr.failed: 0, #pkts decompress failed: 0, #send errors 1, #recv errors 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, media mtu 1500 current outbound spi: 3D3 inbound esp sas: spi: 0x136A010F( ) transform: esp-3des esp-md5-hmac, in use settings ={Tunnel, } slot: 0, conn id: 3442, flow_id: 1443, crypto map: test sa timing: remaining key lifetime (k/sec): ( /52) IV size: 8 bytes replay detection support: Y inbound ah sas: inbound pcp sas: inbound pcp sas: outbound esp sas: spi: 0x3D3(979) transform: esp-3des esp-md5-hmac, in use settings ={Tunnel, } slot: 0, conn id: 3443, flow_id: 1444, crypto map: test sa timing: remaining key lifetime (k/sec): ( /52) IV size: 8 bytes replay detection support: Y outbound ah sas: outbound pcp sas: show crypto engine connection active このコマンドは 構 築 された 個 々のフェーズ 2 SA と 送 信 されたトラフィックの 量 を 表 示 します フェーズ 2(セキュリティ アソシエーション)SA は 単 方 向 であるため 各 SA には 一 方 向 のトラフィックだけが 表 示 されます( 暗 号 化 は 発 信 側 復 号 化 は 着 信 側 です) debug crypto isakmp debug crypto isakmp コマンドの 出 力 例 を 次 に 示 します processing SA payload.message ID = 0 Checking ISAKMP transform against priority 1 policy encryption DES-CBC hash SHA default group 2 auth pre-share life type in seconds life duration (basic) of 240 atts are acceptable.next payload is 0 processing KE payload.message ID = 0 processing NONCE payload.message ID = 0 processing ID payload.message ID = 0 SKEYID state generated processing HASH payload.message ID = 0 SA has been authenticated processing SA payload.message ID =

4 debug crypto ipsec このコマンドは 発 信 元 および 送 信 先 の IPSec トンネル エンドポイントを 表 示 します src_proxy および dest_proxy はクライ アント サブネットです 2 つの "sa created" メッセージが 方 向 ごとに 1 つずつ 表 示 されます (ESP および AH を 実 行 する と メッセージが 4 つ 表 示 されます) debug crypto ipsec コマンドの 出 力 例 を 次 に 示 します Checking IPSec proposal 1transform 1, ESP_DES attributes in transform: encaps is 1 SA life type in seconds SA life duration (basic) of 3600 SA life type in kilobytes SA life duration (VPI) of 0x0 0x46 0x50 0x0 HMAC algorithm is SHA atts are acceptable. Invalid attribute combinations between peers will show up as "atts not acceptable". IPSEC(validate_proposal_request): proposal part #2, (key eng.msg.) dest= , SRC= , dest_proxy= / /0/0, src_proxy= / /0/0, protocol= ESP, transform= esp-des esp-sha-hmac lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4 IPSEC(key_engine): got a queue event... IPSEC(spi_response): getting spi for SA from to for prot 2 IPSEC(spi_response): getting spi for SA from to for prot 3 IPSEC(key_engine): got a queue event... IPSEC(initialize_sas):, (key eng.msg.) dest= , SRC= , dest_proxy= / /0/0, src_proxy= / /0/0, protocol= ESP, transform= esp-des esp-sha-hmac lifedur= 3600s and kb, spi= 0xC22209E( ), conn_id= 3, keysize=0, flags= 0x4 IPSEC(initialize_sas):, (key eng.msg.) SRC= , dest= , src_proxy= / /0/0, dest_proxy= / /0/0, protocol= ESP, transform= esp-des esp-sha-hmac lifedur= 3600s and kb, spi= 0xDED0AB4( ), conn_id= 6, keysize= 0, flags= 0x4 IPSEC(create_sa): sa created, (sa) sa_dest= , sa_prot= 50, sa_spi= 0xB9D0109( ), sa_trans= esp-des esp-sha-hmac, sa_conn_id= 5 IPSEC(create_sa): sa created, (sa) sa_dest= , sa_prot= 50, sa_spi= 0xDED0AB4( ), sa_trans= esp-des esp-sha-hmac, sa_conn_id= 6 エラー メッセージの 例 ここでは 次 の 各 debug コマンドで 生 成 されたエラー メッセージの 例 を 示 します debug crypto ipsec debug crypto isakmp debug crypt engine 詳 細 は エラー メッセージ デコーダ( 登 録 ユーザ 専 用 )ツールを 参 照 してください

5 Replay Check Failed(リプレイ チェックに 失 敗 ) Replay Check Failed エラーの 出 力 例 を 次 に 示 します %CRYPTO-4-PKT_REPLAY_ERR: decrypt: replay check failed connection id=#. このエラーは 伝 送 メディアでリオーダーした 結 果 ( 特 にパラレル パスが 存 在 する 場 合 )によるものです または 負 荷 時 に 大 きいパケットと 小 さいパケットに 対 して Cisco IOS の Inside で 行 われるパケット 処 理 の 不 適 切 なパスによるものです これを 反 映 するために トランスフォーム セットを 変 更 します reply check は transform-set esp-md5-hmac がイネーブルにされて いるときだけ 見 られます このエラー メッセージを 抑 制 するには esp-md5-hmac をディセーブルにして 暗 号 化 のみを 行 いま す Cisco Bug ID CSCdp19680( 登 録 ユーザ 専 用 )を 参 照 してください QM FSM エラー IPsec L2L VPN トンネルが PIX ファイアウォールまたは ASA で 確 立 されず QM FSM エラー メッセージが 表 示 されます 1 つの 原 因 としては プロキシ アイデンティティ( 対 象 トラフィック Access Control List(ACL; アクセス コントロール リ スト) クリプト ACL など)が 両 端 で 一 致 していない 場 合 が 考 えられます 両 方 のデバイスで 設 定 をチェックして クリプト ACL が 一 致 していることを 確 認 してください Invalid local address( 無 効 なローカル アドレス) エラー メッセージの 出 力 例 を 次 に 示 します IPSEC(validate_proposal): invalid local address ISAKMP (0:3): atts not acceptable.next payload is 0 ISAKMP (0:3): SA not acceptable! このエラー メッセージは 次 の 2 つの 一 般 的 な 問 題 のいずれかが 原 因 です crypto map map-name local-address interface-id コマンドにより ルータが 指 定 されたアドレスを 使 用 するように 設 定 さ れたため 識 別 情 報 として 正 しくないアドレスをルータが 使 用 する crypto map が 間 違 ったインターフェイスに 適 用 されているか またはまったく 適 用 されていない 設 定 をチェックし crypto map が 正 しいインターフェイスに 適 用 されていることを 確 認 します IKE message from X.X.X.X failed its sanity check or is malformed(x.x.x.x からの IKE メッセージが X.X.X.X 自 体 の 健 全 性 チェックに 失 敗 したか または 形 式 が 正 しくない) この debug エラーは ピア 同 士 の 事 前 共 有 鍵 が 一 致 しない 場 合 に 表 示 されます この 問 題 を 修 正 するには 両 方 の 側 の 事 前 共 有 鍵 を 確 認 します 1d00H:%CRPTO-4-IKMP_BAD_MESSAGE: IKE message from failed its sanity check or is malformed Processing of Main Mode failed with peer(ピアとのメイン モードの 処 理 が 失 敗 した) Main Mode(メイン モード)エラー メッセージの 例 を 次 に 示 します メイン モードの 失 敗 は フェーズ 1 ポリシーが 両 方 の 側 で 一 致 しないことを 示 しています 1d00h: ISAKMP (0:1): atts are not acceptable.next payload is 0 1d00h: ISAKMP (0:1); no offers accepted! 1d00h: ISAKMP (0:1): SA not acceptable! 1d00h: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Main Mode failed with peer at

6 show crypto isakmp sa コマンドは ISAKMP SA が MM_NO_STATE にあることを 示 します この 出 力 も メイン モードが 失 敗 した ことを 意 味 します dst src state conn-id slot MM_NO_STATE 1 0 フェーズ 1 ポリシーが 両 方 のピアにあることを 確 認 し すべての 属 性 が 一 致 していることを 確 かめます Encryption DES or 3DES Hash MD5 or SHA Diffie-Hellman Group 1 or 2 Authentication {rsa-sig rsa-encr pre-share Proxy identities not supported(プロキシ ID がサポートされていない) IPSec トラフィックのアクセス リストが 一 致 していない 場 合 デバッグにはこのメッセージが 表 示 されます 1d00h: IPSec(validate_transform_proposal): proxy identities not supported 1d00h: ISAKMP: IPSec policy invalidated proposal 1d00h: ISAKMP (0:2): SA not acceptable! 各 ピアのアクセス リストは 互 いにミラーになっている(すべてのエントリが 反 転 している) 必 要 があります 次 の 例 は この 点 について 説 明 しています Peer A access-list 150 permit ip access-list 150 permit ip host host Peer B access-list 150 permit ip access-list 150 permit ip host host Transform proposal not supported(トランスフォーム プロポーザルがサポートされていない) このメッセージは フェーズ 2(IPSec)が 両 方 の 側 で 一 致 しない 場 合 に 表 示 されます このメッセージが 最 もよく 発 生 するの は トランスフォーム セット 内 に 不 一 致 や 非 互 換 性 が 存 在 する 場 合 です 1d00h: IPSec (validate_proposal): transform proposal (port 3, trans 2, hmac_alg 2) not supported 1d00h: ISAKMP (0:2) : atts not acceptable.next payload is 0 1d00h: ISAKMP (0:2) SA not acceptable トランスフォーム セットが 両 方 の 側 で 一 致 することを 確 認 します crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]?ah-md5-hmac?ah-sha-hmac?esp-des?esp-des and esp-md5-hmac?esp-des and esp-sha-hmac?esp-3des and esp-md5-hmac?esp-3des and esp-sha-hmac?comp-lzs No cert and no keys with remote peer(リモート ピアに 証 明 書 も 鍵 もない) このメッセージは ルータに 設 定 されたピア アドレスが 間 違 っているか または 変 更 されたことを 示 しています ピア アドレス が 正 しいこと およびアドレスが 到 達 可 能 であることを 確 認 します 1d00h: ISAKMP: No cert, and no keys (public or pre-shared) with remote peer

7 peer address X.X.X.X not found(ピア アドレス X.X.X.X が 見 つからない) 通 常 このエラー メッセージは 対 応 する VPN 3000 コンセントレータのエラー メッセージ Message: No proposal chosen(14) とともに 表 示 されます このエラーは 接 続 がホストツーホストになった 結 果 を 示 しています ルータ コンフィギ ュレーションでは IPSec プロポーザルの 順 序 が ルータ 用 に 選 択 されたプロポーザルがピアではなくアクセス リストに 一 致 す るようになっています アクセス リストにはそれよりも 大 きなネットワークが 指 定 されていて トラフィックと 交 差 しているホ ストはこれに 含 まれています これを 修 正 するには コンセントレータからルータまでのこの 接 続 に 対 応 するルータ プロポーザ ルが 先 に 行 に 現 れるようにします これにより ルータ プロポーザルが 特 定 のホストに 先 に 一 致 します 20:44:44: IPSEC(validate_proposal_request): proposal part #1, (key eng.msg.) dest= , src= , dest_proxy= / /0/0 (type=1), src_proxy= / /0/0 (type=1), protocol= ESP, transform= esp-3des esp-md5-hmac, lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4 20:44:44: IPSEC(validate_transform_proposal): peer address not found IPSEC packet has invalid SPI(IPSec パケットに 無 効 な SPI がある) エラー メッセージの 出 力 例 を 次 に 示 します %PIX : decaps: recd IPSEC packet has invalid spi for destaddr=dest_address, prot=protocol, spi=number 受 信 した IPSec パケットには Security Associations Database(SADB; セキュリティ アソシエーション データベース)に 存 在 しない Security Parameters Index(SPI; セキュリティ パラメータ インデックス)が 指 定 されています これは 次 の 原 因 に よる 一 時 的 な 状 態 である 可 能 性 があります IPSec ピア 間 の Security Association(SA)のエージングにわずかな 相 違 がある ローカル SA がクリアされている IPSec ピアによって 誤 ったパケットが 送 信 された これは 攻 撃 の 可 能 性 もあります 推 奨 処 置 :ピアでは ローカル SA がクリアされたことが 認 識 されない 場 合 があります ローカル ルータから 新 しい 接 続 が 確 立 されると その 後 は 2 つのピアでの 正 常 な 再 構 築 が 可 能 です その 他 の 場 合 問 題 が 短 期 間 で 収 束 しない 場 合 は 新 しい 接 続 を 確 立 するか またはピアの 管 理 者 に 連 絡 してください IPSEC(initialize_sas): Invalid Proxy IDs(IPSEC(initialize_sas): 無 効 なプロキシ ID) エラー 21:57:57: IPSEC(initialize_sas): invalid proxy IDs は 受 信 したプロキシ ID が アクセス リストを 基 準 として 設 定 されているプロキシ ID と 一 致 しないことを 示 しています 両 方 が 一 致 していることを 確 かめるには debug コマンドによる 出 力 を 確 認 します プロポーザル 要 求 の debug コマンドの 出 力 では 対 応 する access-list 103 permit ip が 一 致 していません アクセス リストは 一 方 の 端 ではネットワーク 固 有 であり 他 方 の 端 ではホスト 固 有 です 21:57:57: IPSEC(validate_proposal_request): proposal part #1, (key eng.msg.) dest= , src= , dest_proxy= / /0/0 (type=4), src_proxy= / /0/0 (type=4) Reserved Not Zero on Payload 5(ペイロード 5 で Reserved が 0 ではない)

8 これは ISAKMP 鍵 が 一 致 しないことを 示 しています 正 確 さを 確 実 にするには 鍵 の 再 生 成 かリセットを 行 います Hash Algorithm Offered does not Match Policy( 提 供 されるハッシュ アルゴリズムがポリシーと 一 致 しな い) 設 定 された ISAKMP ポリシーがリモート ピアによって 提 示 されたポリシーと 一 致 しない 場 合 ルータは のデフォルト ポ リシーを 試 行 します それも 一 致 しない 場 合 は ISAKMP ネゴシエーションが 失 敗 します ユーザは ルータ 上 でエラー メッセー ジ Hash algorithm offered does not match policy! または Encryption algorithm offered does not match policy! を 受 信 します =RouterA= 3d01h: ISAKMP (0:1): processing SA payload.message ID = 0 3d01h: ISAKMP (0:1): found peer pre-shared key matching ISAKMP (0:1): Checking ISAKMP transform 1 against priority 1 policy ISAKMP: encryption 3DES-CBC ISAKMP: hash MD5 ISAKMP: default group 1 ISAKMP: auth pre-share ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80 ISAKMP (0:1): Hash algorithm offered does not match policy! ISAKMP (0:1): atts are not acceptable.next payload is 0 =RouterB= ISAKMP (0:1): Checking ISAKMP transform 1 against priority policy ISAKMP: encryption 3DES-CBC ISAKMP: hash MD5 ISAKMP: default group 1 ISAKMP: auth pre-share ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80 ISAKMP (0:1): Encryption algorithm offered does not match policy! ISAKMP (0:1): atts are not acceptable.next payload is 0 ISAKMP (0:1): no offers accepted! ISAKMP (0:1): phase 1 SA not acceptable! HMAC Verification Failed(HMAC の 確 認 に 失 敗 ) IPSec パケットで Hash Message Authentication Code(HMAC)の 確 認 が 失 敗 すると このエラー メッセージが 報 告 されます こ れは 通 常 パケットが 破 損 している 場 合 に 起 こります Sep 22 11:02: : Sep 22 11:02:39: %MOTCR-1-ERROR:motcr_crypto_callback() motcr return failure Sep 22 11:02: : Sep 22 11:02:39: %MOTCR-1-PKTENGRET_ERROR: MOTCR PktEng Return Value = 0x20000, PktEngReturn_MACMiscompare このエラー メッセージがときどき 表 示 されるのであれば 無 視 できます しかし たびたび 繰 り 返 される 場 合 は 実 際 に 何 がパ ケットを 破 損 させているか 調 査 する 必 要 があります この 原 因 は 暗 号 アクセラレータの 欠 陥 による 場 合 もあります Remote Peer Not Responding(リモート ピアが 応 答 しない) このエラー メッセージは トランスフォーム セットの 不 一 致 がある 場 合 に 表 示 されます 両 方 のピアで 一 致 したトランスフォー ム セットが 設 定 されていることを 確 認 してください Packet Encryption/Decryption Error(パケットの 暗 号 化 / 復 号 化 エラー) エラー メッセージの 出 力 例 を 次 に 示 します

9 HW_VPN-1-HPRXERR: Virtual Private Network (VPN) Module0/2: Packet Encryption/Decryption error, status=4615 このエラー メッセージの 原 因 としては 次 のいずれかが 考 えられます 回 避 策 フラグメンテーション - フラグメント 化 された crypto パケットのプロセス スイッチングにより プロセス スイッチング されたパケットよりも 前 に ファスト スイッチングされたパケットが VPN カードに 強 制 的 に 送 信 される プロセス スイッ チングされたパケットの 前 に ファスト スイッチングされた 十 分 な 数 のパケットが 処 理 されると プロセス スイッチング されたパケットの ESP または AH のシーケンス 番 号 が 期 限 切 れになるため それらのパケットが VPN カードに 着 信 したと き 該 当 するシーケンス 番 号 がリプレイ ウィンドウの 範 囲 外 になります これにより 使 用 するカプセル 化 によって 異 なり ますが AH または ESP シーケンス 番 号 エラー(それぞれ 4615 および 4612)が 発 生 します キャッシュ エントリの 期 限 切 れ - ファスト スイッチングされたキャッシュ エントリが 期 限 切 れになり キャッシュ ミス が 発 生 した 先 頭 パケットがプロセス スイッチングされた 場 合 にも このエラー メッセージが 発 生 することがあります DES トランスフォーム セット 上 のすべてのタイプの 認 証 をオフにし ESP-DES/3DES を 使 用 します これにより 認 証 / 再 生 防 止 保 護 が 無 効 になり 順 序 の 不 正 な( 混 合 の)IPsec トラフィックに 関 連 したパケット 破 棄 エラー %HW_VPN-1-HPRXERR: Hardware VPN0/2: Packet Encryption/Decryption error, status=4615 が 回 避 されます 前 述 の 項 番 1 の 理 由 に 対 して 実 際 に 適 用 できる 回 避 策 の 1 つ は 着 信 ストリームの Maximum Transmission Unit(MTU; 最 大 伝 送 ユニット)のサイズを 1400 バイト 未 満 にする 方 法 です MTU のサイズを 1400 バイト 未 満 にするには 次 のコマ ンドを 入 力 します ip tcp adjust-mss AIM カードを 無 効 にします ルータ インターフェイス 上 で/CEF のスイッチングをオフにします ファスト スイッチングを 削 除 するには インターフェ イス 設 定 モードで 次 のコマンドを 実 行 します no ip route-cache PIX のデバッグ show crypto isakmp sa このコマンドは ピア 間 で 構 築 された ISAKMP SA を 表 示 します dst src state conn-id slot QM_IDLE 1 0 show crypto isakmp sa コマンドの 出 力 では 状 態 は 常 に QM_IDLE である 必 要 があります 状 態 が MM_KEY_EXCH である 場 合 は 設 定 された 事 前 共 有 鍵 が 正 しくないか ピアの IP アドレスが 異 なっていることを 意 味 します PIX(config)#show crypto isakmp sa Total : 2 Embryonic : 1 dst src state pending created MM_KEY_EXCH 0 0 この 問 題 は 正 しい IP アドレスか 事 前 共 有 鍵 を 設 定 することで 修 正 できます show crypto ipsec sa このコマンドは ピア 間 で 構 築 された IPSec SA を 表 示 します ネットワーク と の 間 を 流 れるトラフィック に 対 して と との 間 に 暗 号 化 されたトンネルが 構 築 されます 着 信 側 および 発 信 側 で 構 築 された 2 つの ESP SA を 確 認 できます AH SA がないため AH は 使 用 されていません show crypto ipsec sa コマンドの 例 は 次 の 出 力 に 示 されています interface: outside Crypto map tag: vpn, local addr local ident (addr/mask/prot/port): ( / /0/0)

10 remote ident (addr/mask/prot/port): ( / /0/0) current_peer: dynamic allocated peer ip: PERMIT, flags={} #pkts encaps: 345, #pkts encrypt: 345, #pkts digest 0 #pkts decaps: 366, #pkts decrypt: 366, #pkts verify 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr.failed: 0, #pkts decompress failed: 0, #send errors 0, #recv errors 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, ipsec overhead 56, media mtu 1500 current outbound spi: 9a46ecae inbound esp sas: spi: 0x50b98b5( ) transform: esp-3des esp-md5-hmac, in use settings ={Tunnel, } slot: 0, conn id: 1, crypto map: vpn sa timing: remaining key lifetime (k/sec): (460800/21) IV size: 8 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x9a46ecae( ) transform: esp-3des esp-md5-hmac, in use settings ={Tunnel, } slot: 0, conn id: 2, crypto map: vpn sa timing: remaining key lifetime (k/sec): (460800/21) IV size: 8 bytes replay detection support: Y outbound ah sas: debug crypto isakmp このコマンドでは IPSec 接 続 に 関 するデバッグ 情 報 が 表 示 され 両 端 で 互 換 性 がないために 拒 否 された 最 初 の 属 性 セットが 示 さ れます 2 回 目 の 照 合 試 行 (DES および Secure Hash Algorithm(SHA)の 代 わりにトリプル DES を 試 行 )は 受 け 入 れられ ISAKMP SA が 構 築 されます このデバッグはローカル プールからの IP アドレス( )を 受 け 入 れるダイヤルアップ ク ライアントからも 出 力 されます ISAKMP SA が 構 築 されると IPSec 属 性 がネゴシエートされ 受 け 入 れ 可 能 と 判 断 されます こ れにより PIX は 次 のように IPSec SA を 設 定 します debug crypto isakmp コマンドの 出 力 例 を 次 に 示 します crypto_isakmp_process_block: src , dest OAK_AG exchange ISAKMP (0): processing SA payload.message ID = 0 ISAKMP (0): Checking ISAKMP transform 1 against priority 1 policy ISAKMP: encryption DES-CBC ISAKMP: hash MD5 ISAKMP: default group 1 ISAKMP: auth pre-share ISAKMP (0): atts are not acceptable.next payload is 3 ISAKMP (0): Checking ISAKMP transform 3 against priority 1 policy ISAKMP: encryption 3DES-CBC ISAKMP: hash SHA ISAKMP: default group 1 ISAKMP: auth pre-share ISAKMP (0): atts are acceptable.next payload is 3 ISAKMP (0): processing KE payload.message ID = 0 ISAKMP: Created a peer node for OAK_QM exchange ISAKMP (0:0): Need config/address ISAKMP (0:0): initiating peer config to ID = (0x9b67c91a) return status is IKMP_NO_ERROR crypto_isakmp_process_block: src , dest ISAKMP_TRANSACTION exchange ISAKMP (0:0): processing transaction payload from message ID = ISAKMP: Config payload CFG_ACK ISAKMP (0:0): peer accepted the address! ISAKMP (0:0): processing saved QM. oakley_process_quick_mode: OAK_QM_IDLE ISAKMP (0): processing SA payload.message ID = ISAKMP : Checking IPSec proposal 1 ISAKMP: transform 1, ESP_DES

11 ISAKMP: attributes in transform: ISAKMP: authenticator is HMAC-MD5 ISAKMP: encaps is 1 IPSEC(validate_proposal): transform proposal (prot 3, trans 2, hmac_alg 1) not supported ISAKMP (0): atts not acceptable.next payload is 0 ISAKMP : Checking IPSec proposal 2 ISAKMP: transform 1, ESP_3DES ISAKMP: attributes in transform: ISAKMP: authenticator is HMAC-MD5 ISAKMP: encaps is 1 ISAKMP (0): atts are acceptable. ISAKMP (0): processing NONCE payload.message ID = ISAKMP (0): processing ID payload.message ID = 81 ISAKMP (0): ID_IPV4_ADDR src prot 0 port 0 ISAKMP (0): processing ID payload.message ID = 81 ISAKMP (0): ID_IPV4_ADDR dst prot 0 port 0 INITIAL_CONTACTIPSEC(key_engine): got a queue event... debug crypto ipsec このコマンドでは IPSec 接 続 に 関 する debug 情 報 が 表 示 されます IPSEC(key_engine): got a queue event... IPSEC(spi_response): getting spi 0xd532efbd( ) for SA from to for prot 3 return status is IKMP_NO_ERROR crypto_isakmp_process_block: src , dest OAK_QM exchange oakley_process_quick_mode: OAK_QM_AUTH_AWAIT ISAKMP (0): Creating IPSec SAs inbound SA from to (proxy to ) has spi and conn_id 2 and flags 4 outbound SA from to (proxy to ) has spi and conn_id 1 and flags 4IPSEC(key_engine): got a queue event... IPSEC(initialize_sas):, (key eng.msg.) dest= , src= , dest_proxy= / /0/0 (type=1), src_proxy= / /0/0 (type=1), protocol= ESP, transform= esp-3des esp-md5-hmac, lifedur= 0s and 0kb, spi= 0xd532efbd( ), conn_id= 2, keysize= 0, flags= 0x4 IPSEC(initialize_sas):, (key eng.msg.) src= , dest= , src_proxy= / /0/0 (type=1), dest_proxy= / /0/0 (type=1), protocol= ESP, transform= esp-3des esp-md5-hmac, lifedur= 0s and 0kb, spi= 0xa3dc0fc8( ), conn_id= 1, keysize= 0, flags= 0x4 return status is IKMP_NO_ERROR ルータと VPN Client 間 の 一 般 的 な 問 題 VPN トンネル 外 部 のサブネットにアクセスできない:スプリット トンネリング 次 のルータ コンフィギュレーションの 出 力 例 は VPN 接 続 のためのスプリット トンネリングを 有 効 にする 方 法 を 示 しています access list 150 コマンドは crypto isakmp client configuration group hw-client-groupname コマンドの 中 で 設 定 されてい るグループに 関 連 付 けられます これにより Cisco VPN Client はルータを 使 用 して VPN トンネルの 構 成 要 素 ではない 追 加 の サブネットにアクセスできます これは IPSec 接 続 のセキュリティを 損 なうことなく 行 えます トンネルは ネ ットワーク 上 に 形 成 されます access list 150 コマンドで 定 義 されていないデバイス(インターネットなど)へのトラフィック フローは 暗 号 化 されません! crypto isakmp client configuration group hw-client-groupname key hw-client-password dns wins

12 domain cisco.com pool dynpool acl 150!! access-list 150 permit ip any! PIX と VPN Client 間 の 一 般 的 な 問 題 次 のセクションは VPN Client 3.x.を 使 用 して IPSec に PIX を 設 定 する 際 に 遭 遇 する 一 般 的 な 問 題 について 説 明 しています PIX の 設 定 例 は バージョン 6.x に 基 づくものです トンネル 確 立 後 にトラフィックが 流 れない:PIX 背 後 の 内 部 ネットワークに PING が 通 らない この 問 題 はルーティングに 関 連 する 一 般 的 な 問 題 です 内 部 にあり なおかつ 同 じサブネットに 直 接 接 続 されていないネットワー クに 対 応 する 経 路 が PIX にあることを 確 認 します また Inside ネットワークには クライアント アドレス プール 内 のアドレ スごとに PIX に 戻 る 経 路 がある 必 要 があります 出 力 例 を 次 に 示 します!--- PIX 内 部 インターフェイスのアドレス ip address inside !--- 内 部 セグメント 上 にあるネットワークへのルート!--- ネクストホップは 内 部 のルータ route inside !--- IPSec セッションのためにアドレスを VPN Client に 割 り 当 てる!--- PIX 上 で 定 義 されたアドレスのプール ip local pool mypool !--- 内 部 ルータでは デフォルト ゲートウェイが PIX 内 部 インターフェイスでない 場 合!--- ルータにネクストホップを PIX 内 部 インターフェイスとして 持 つ! /24 ネットワークへのルートが 必 要 です!--- (Cisco IOS ルータの 場 合 でも 同 様 です) ip route トンネルのアップ 後 ユーザがインターネットをブラウズできない:スプリット トンネリング この 問 題 の 最 も 一 般 的 な 原 因 は VPN Client から PIX への IPSec トンネルによって すべてのトラフィックがトンネルを 通 じ て PIX ファイアウォールに 送 られることです PIX の 機 能 では トラフィックを 受 信 したインターフェイスにそのトラフィック を 送 信 し 戻 すことは 許 可 されていません そのため インターネット 宛 てのトラフィックは 動 作 しません この 問 題 を 修 正 するに は split tunneling コマンドを 使 用 します この 修 正 は ただ 1 つの 特 定 のトラフィックだけをトンネル 経 由 で 送 信 し 残 り のトラフィックはトンネル 経 由 ではなく 直 接 インターネットに 送 る という 考 え 方 に 基 づいています vpngroup vpn3000 split-tunnel 90 access-list 90 permit ip access-list 90 permit ip 注 :vpngroup vpn3000 split-tunnel 90 コマンドにより access-list number 90 によるスプリット トンネリングがイネーブル になります access-list 90 コマンドでは どのトラフィックをトンネル 経 由 で 流 すかが 定 義 され 残 りのトラフィックはアク セス リストの 最 後 で 拒 否 されます PIX で Network Address Translation(NAT; ネットワーク アドレス 変 換 )を 拒 否 する 場 合 にも 同 じアクセス リストを 設 定 する 必 要 があります

13 トンネルのアップ 後 特 定 のアプリケーションが 動 作 しない:クライアントでの MTU 調 整 トンネルが 確 立 された 後 ユーザが PIX ファイアウォールの 背 後 にあるネットワーク 上 のマシンに PING できても Microsoft Outlook などの 特 定 のアプリケーションを 使 用 できないことがあります よく 見 られる 問 題 は パケットの Maximum Transfer Unit(MTU; 最 大 伝 送 ユニット)のサイズです IPSec ヘッダーは 最 大 で 5060 バイトになり 元 のパケットに 追 加 されます パ ケットのサイズが 1500(インターネットでのデフォルト)を 超 えた 場 合 各 デバイスでパケットをフラグメント 化 する 必 要 があ ります IPsec ヘッダーが 追 加 されても サイズはまだ IPSec の 最 大 値 である 1496 未 満 です show interface コマンドでは 構 内 のルータまたはアクセス 可 能 なルータ 上 の 特 定 のインターフェイスの MTU が 示 されます 発 信 元 から 宛 先 までのすべてのパスの MTU を 判 別 するために 送 信 されたデータグラムが MTU より 多 い 場 合 にこのエラー メッセ ージが 発 信 元 に 送 り 返 されるように さまざまなサイズのデータグラムが DF(Don't Fragment)ビットを 設 定 して 送 信 されま す frag.needed and DF set この 出 力 例 では IP アドレスが と のホスト 間 でパスの MTU を 見 つける 例 が 示 されています Router#debug ip icmp ICMP packet debugging is on!--- 拡 張 PING を 実 行 します Router#ping Protocol [ip]: Target IP address: Repeat count [5]: Datagram size [100]: 1550 Timeout in seconds [2]:!--- 拡 張 コマンドには 必 ず y を 入 力 してください Extended commands [n]: y Source address or interface: Type of service [0]:!--- 次 のように DF ビットを 設 定 します Set DF bit in IP header?[no]: y Validate reply data?[no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 1550-byte ICMP Echos to , timeout is 2 seconds: 2w5d: ICMP: dst ( ): frag.needed and DF set. 2w5d: ICMP: dst ( ): frag.needed and DF set. 2w5d: ICMP: dst ( ): frag.needed and DF set. 2w5d: ICMP: dst ( ): frag.needed and DF set. 2w5d: ICMP: dst ( ): frag.needed and DF set. Success rate is 0 percent (0/5)!--- さらにデータグラム サイズを 減 らして 再 度 拡 張 PING を 実 行 します Router#ping Protocol [ip]: Target IP address: Repeat count [5]: Datagram size [100]: 1500 Timeout in seconds [2]: Extended commands [n]: y Source address or interface: Type of service [0]: Set DF bit in IP header?[no]: y Validate reply data?[no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 1500-byte ICMP Echos to , timeout is 2 seconds:!!!!! 2w5d: ICMP: echo reply rcvd, src , dst w5d: ICMP: echo reply rcvd, src , dst w5d: ICMP: echo reply rcvd, src , dst

14 2w5d: ICMP: echo reply rcvd, src , dst w5d: ICMP: echo reply rcvd, src , dst Success rate is 100 percent (5/5), round-trip min/avg/max = 380/383/384 ms 注 :VPN Client には MTU 調 整 ユーティリティが 付 属 しており ユーザはこれを 使 用 して Cisco VPN Client の MTU を 調 整 でき ます PPP over Ethernet(PPPoE)クライアント ユーザの 場 合 は PPPoE アダプタの MTU を 調 整 します 注 :VPN Client の MTU ユーティリティを 調 整 するには 次 の 手 順 を 実 行 します Start > Programs > Cisco System VPN Client > Set MTU の 順 に 選 択 します Local Area Connection を 選 択 し ラジオ ボタン 1400 をクリックします OK をクリックします ステップ 1 を 繰 り 返 し Dial-up Networking を 選 択 します ラジオ ボタン 576 OK の 順 にクリックします sysopt コマンドが 設 定 されていない PIX の IPSec コンフィギュレーションで sysopt connection permit-ipsec コマンドを 使 用 し conduit や access-list コマン ド 文 のチェックなしで IPSec トラフィックが PIX ファイアウォールをパススルーすることを 許 可 します デフォルトでは どの 着 信 セッションも conduit や access-list コマンド 文 によって 明 示 的 に 許 可 する 必 要 があります IPSec 保 護 トラフィックで は 二 次 アクセス リストのチェックが 冗 長 になる 可 能 性 があります 常 に 許 可 されるように IPSec の 認 証 / 暗 号 化 着 信 セッショ ンをイネーブルにするには sysopt connection permit-ipsec コマンドを 使 用 します

15 Access Control List(ACL; アクセス コントロール リスト)の 確 認 通 常 の IPSec VPN 設 定 ではアクセス リストを 2 つ 使 用 します 一 方 のアクセス リストは VPN トンネルに 宛 てられたトラフィ ックを NAT プロセスから 除 外 するために 使 用 します もう 一 方 のアクセス リストでは 暗 号 化 するトラフィックが 定 義 されま す これには LAN-to-LAN 設 定 のクリプト ACL またはリモート アクセス 設 定 のスプリット トンネリング ACL が 含 まれます これらの ACL が 誤 って 設 定 されていたり 存 在 しなかったりすると トラフィックが VPN トンネルを 1 方 向 にしか 流 れなかっ たり トンネルにトラフィックがまったく 送 られなかったりします IPSec VPN の 設 定 に 必 要 なすべてのアクセス リストを 設 定 していることと それらのアクセス リストにトラフィックが 正 確 に 定 義 されていることを 確 認 してください このリストには IPSec VPN の 問 題 の 原 因 が ACL にあることが 疑 われる 場 合 に 確 認 する 単 純 な 項 目 が 含 まれています NAT 免 除 ACL とクリプト ACL でトラフィックが 正 しく 指 定 されていることを 確 認 します 複 数 の VPN トンネルと 複 数 のクリプト ACL がある 場 合 は それらの ACL が 重 複 していないことを 確 認 します ACL を 2 回 使 用 しないようにします NAT 免 除 ACL とクリプト ACL で 同 じトラフィックが 指 定 されている 場 合 でも 2 つ の 異 なるアクセス リストを 使 用 してください 使 用 しているデバイスで NAT 免 除 ACL を 使 用 するように 設 定 されていることを 確 認 します つまり ルータ 上 では route-map コマンド PIX または ASA 上 では nat (0) コマンドを 使 用 します NAT 免 除 ACL は LAN-to-LAN 設 定 とリモ ート アクセス 設 定 の 両 方 に 必 要 です ACL 設 定 を 確 認 する 方 法 についての 詳 細 は 一 般 的 な L2L およびリモート アクセス IPSec VPN のトラブルシューティング 方 法 について の ACL が 正 しいことを 確 認 する セクションを 参 照 してください 関 連 情 報 IPSec ネゴシエーション/IKE プロトコルに 関 するサポート ページ( 英 語 ) IP Security(IPSec) 暗 号 化 の 概 要 PIX に 関 するサポート ページ( 英 語 ) PIX ファイアウォールに 関 するドキュメント( 英 語 ) PIX コマンド リファレンス エラー メッセージ デコーダ( 登 録 ユーザ 専 用 ) Requests for Comments(RFC)( 英 語 ) テクニカルサポートとドキュメント:シスコシステムズ Cisco Systems, Inc. All rights reserved. Updated: July 15,2009 Document ID: 5409