Résolution d'incidents - Erreurs communes

Dans la suite de cette section, le Firewall protégeant les clients (à l'initiative de l'établissement des tunnels) est appelé initiator. Le Firewall distant est appelé responder.

 

Symptôme: Le tunnel ne s'établit pas.

• Un message "Remote seems to be dead " en phase 1 est présent dans le module Traces > VPN de SN Real-Time Monitor pour le Firewall "initiator".
• Aucun message n'apparaît dans le module Traces > VPN de SN Real-Time Monitor pour le Firewall "responder".

Solutions: vérifiez que:

• les interfaces physiques sur lesquelles repose le lien WAN correspondant sont bien disponibles,
• les interfaces IPsec virtuelles définissant le tunnel sont bien activées,
• la règle de filtrage correspondant au flux devant emprunter ce tunnel est correctement définie et que le routeur utilisé dans cette règle repose sur les bonnes interfaces virtuelles.

 

Symptôme: Le tunnel ne s'établit pas.

• Un message "IKE SA establishment failed: received AUTHENTICATION_FAILED notify error" en phase 1 est présent dans le module Traces > VPN de SN Real-Time Monitor pour le Firewall initiator.
• Un message "Tried 1 shared key but MAC mismatched" en phase 1 est présent dans le module Traces > VPN de SN Real-Time Monitor pour le Firewall responder.

Solution: la clé pré-partagée (paramètres du correspondant) est différente sur les Firewalls initiator et responder.

 

Symptôme: Le tunnel ne s'établit pas.

• Un message "Invalid major version X" est présent dans le module Traces > VPN de SN Real-Time Monitor pour le Firewall initiator.
• Un message "Invalid major version Y" est présent dans le module Traces > VPN de SN Real-Time Monitor pour le Firewall responder.

Solution: la version du protocole IKE (paramètres du correspondant) est différente sur les Firewalls initiator et responder.