Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Résolution des problèmes de connexion de la passerelle client Yamaha
Lorsque vous dépannez la connectivité d'un dispositif de passerelle client Yamaha, tenez compte de quatre éléments : IKEIPsec,, tunnel etBGP. Vous pouvez résoudre ces problèmes dans n'importe quel ordre, mais nous vous recommandons de commencer par IKE (au bas de la pile réseau) puis de passer au niveau supérieur.
Note
Le proxy ID paramètre utilisé dans la phase 2 de IKE est désactivé par défaut sur le routeur Yamaha. Cela peut entraîner des problèmes de connexion à un site à un autreVPN. Si le n'proxy
IDest pas configuré sur votre routeur, veuillez consulter le fichier d'exemple de configuration AWS fourni pour que Yamaha le configure correctement.
IKE
Exécutez la commande suivante. La réponse indique qu'un dispositif de passerelle client IKE est correctement configuré.
#show ipsec sa gateway 1
sgw flags local-id remote-id # of sa
--------------------------------------------------------------------------
1 U K YOUR_LOCAL_NETWORK_ADDRESS 72.21.209.225 i:2 s:1 r:1
Vous devez voir une ligne contenant une valeur de remote-id pour la passerelle à distance spécifiée dans les tunnels. Vous pouvez répertorier toutes les associations de sécurité (SAs) en omettant le numéro du tunnel.
Pour un dépannage plus approfondi, exécutez les commandes suivantes pour activer les messages de journal de DEBUG niveau fournissant des informations de diagnostic.
#syslog debug on#ipsec ike log message-info payload-info key-info
Pour annuler les éléments enregistrés, utilisez la commande suivante.
#no ipsec ike log#no syslog debug on
IPsec
Exécutez la commande suivante. La réponse indique qu'un dispositif de passerelle client IPsec est correctement configuré.
#show ipsec sa gateway 1 detail
SA[1] Duration: 10675s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[2] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: send
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: a6 67 47 47
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[3] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: receive
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 6b 98 69 2b
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[4] Duration: 10681s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
Pour chaque interface du tunnel, vous devez voir receive sas et send
sas.
Pour un dépannage plus approfondi, exécutez les commandes suivantes pour activer le débogage.
#syslog debug on#ipsec ike log message-info payload-info key-info
Utilisez la commande suivante pour désactiver le débogage.
#no ipsec ike log#no syslog debug on
Tunnel
Tout d'abord, vérifiez que les règles de pare-feu nécessaires sont instaurées. Pour obtenir la liste des règles, consultez Règles de pare-feu pour votre dispositif de passerelle client.
Si vos règles de pare-feu sont correctement configurées, alors continuez le dépannage avec la commande suivante.
#show status tunnel 1
TUNNEL[1]:
Description:
Interface type: IPsec
Current status is Online.
from 2011/08/15 18:19:45.
5 hours 7 minutes 58 seconds connection.
Received: (IPv4) 3933 packets [244941 octets]
(IPv6) 0 packet [0 octet]
Transmitted: (IPv4) 3933 packets [241407 octets]
(IPv6) 0 packet [0 octet]
Assurez-vous que la current status valeur est en ligne et c'Interface
typeest le casIPsec. Assurez-vous d'exécuter la commande sur les deux interfaces du tunnel. Pour résoudre tout problème se présentant ici, passez en revue la configuration.
BGP
Exécutez la commande suivante.
#show status bgp neighbor
BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link
BGP version 0, remote router ID 0.0.0.0
BGP state = Active
Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
Received 0 messages, 0 notifications, 0 in queue
Sent 0 messages, 0 notifications, 0 in queue
Connection established 0; dropped 0
Last reset never
Local host: unspecified
Foreign host: 169.254.255.1, Foreign port: 0
BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link
BGP version 0, remote router ID 0.0.0.0
BGP state = Active
Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
Received 0 messages, 0 notifications, 0 in queue
Sent 0 messages, 0 notifications, 0 in queue
Connection established 0; dropped 0
Last reset never
Local host: unspecified
Foreign host: 169.254.255.5, Foreign port:Les deux voisins doivent être répertoriés. Pour chacun d'entre eux, vous devez voir la valeur Active pour BGP state.
Si le BGP peering est activé, vérifiez que votre dispositif de passerelle client annonce l'itinéraire par défaut (0.0.0.0/0) vers le. VPC
#show status bgp neighbor169.254.255.1advertised-routes
Total routes: 1
*: valid route
Network Next Hop Metric LocPrf Path
* default 0.0.0.0 0 IGPDe plus, assurez-vous que vous recevez le préfixe qui vous correspond de la VPC part de la passerelle privée virtuelle.
#show ip route
Destination Gateway Interface Kind Additional Info.
default ***.***.***.*** LAN3(DHCP) static
10.0.0.0/16 169.254.255.1 TUNNEL[1] BGP path=10124