j'ai compris

Dépannage de la connectivité IPSec entre Juniper et Huawei

publié il y a  2021-8-31 20:57:29 99 0 0 0 0

Problème:

Échec de la mise en place du pare-feu Juniper*** : Phase 1 : Retransmission



Erreur:


L'établissement du pare-feu Juniper ××× a échoué : Phase1 : Retransmission L'établissement du pare-feu Juniper ××× a échoué et le message suivant apparaît dans le journal : Phase 1 : La limite de retransmission a été atteinte. Voici les informations pertinentes de la base de données Juniper. Selon les données, il semble que la méthode dans la base de données Juniper n'ait pas complètement résolu le problème, mais vous pouvez vous référer aux idées de dépannage du pare-feu Juniper



Cas complet :



Échec de la mise en place du pare-feu Juniper ××× : Phase 1 : Retransmission

La mise en place du pare-feu Juniper échoue et le message suivant apparaît dans le journal : Phase 1 : La limite de retransmission a été atteinte.

Voici les informations pertinentes trouvées dans la base de données Juniper. Selon la base de données Juniper, il semble que le problème n'ait pas été complètement résolu, mais vous pouvez vous référer aux idées de dépannage du pare-feu Juniper.

Synopsis:

××× ne s'affichera pas ; Il échoue dans la phase 1, avec la limite de retransmission a été atteinte signalée dans le journal des événements.

×××Impossible d'établir la connexion, "Phase 1, avec la limite de retransmission a été atteinte" apparaît dans le journal

Problème:

Le tunnel ××× ne monte pas. Il échoue dans la phase 1, avec « Phase 1 : la limite de retransmission a été atteinte » signalée dans le journal des événements.

Étant donné que la poignée de main de la phase 1 n'a pas pu être achevée, le tunnel ××× n'a pas pu être établi.

Hypothèses:

Vous êtes sur le pare-feu du répondeur et il n'y a pas d'erreurs de phase 2 dans le journal des événements. 
Vous êtes sur le pare-feu du répondeur et le seul message de la phase 1 dans le journal des événements est « La limite de retransmission a été atteinte ». Si vous avez d'autres erreurs de phase 1, veuillez vous référer à KB9238-Comment analyser les messages IKE de phase 1 dans les journaux d'événements. 
Vous êtes sur le pare-feu de l'initiateur et il n'y a aucun message dans le journal des événements sur le répondeur.
Remarque : Il est toujours préférable de résoudre les problèmes de connexion ×× × en examinant d'abord les messages du côté du répondeur.


Terminologie:


Le répondeur est le côté récepteur du ××× qui fait l'objet d'un ping, reçoit les demandes d'établissement de tunnel ou reçoit le trafic tunnelé. 


L'initiateur est le côté du ××× sur lequel le ping ou le trafic est généré.


Solution : Solution


Utilisez les étapes suivantes pour déterminer ce qu'il faut faire lorsque vous recevez des messages de phase 1 : La limite de retransmission a été atteinte dans le journal des événements.


  1. Depuis le pare-feu, pouvez-vous cingler l'adresse IP de la passerelle ××× distante OU de n'importe quel hôte sur Internet ? Pouvez-vous cingler l'IP Internet à distance ? 


Oui-Continuer avec l'étape 2


Non-Vérifiez qu'une route par défaut est configurée sur le pare-feu. Si oui, pouvez-vous cingler la passerelle par défaut du pare-feu ? Si vous ne pouvez pas envoyer de ping à la passerelle par défaut du pare-feu, vérifiez la connectivité entre le pare-feu et le routeur de la passerelle par défaut. Vérifiez la route locale, si vous pouvez cingler la passerelle, sinon, veuillez vérifier la connexion réseau.


2. La clé prépartagée spécifiée dans la configuration de la passerelle IKE est-elle la même sur l'initiateur et le répondeur ? La « clé prépartagée » des deux appareils est-elle la même


Oui - Continuez avec l'étape 3


Non-Dans la configuration de la passerelle IKE, saisissez à nouveau la clé pré-partagée sur l'initiateur et le répondeur, puis essayez d'afficher à nouveau le ×××. Si ce n'est pas le même, reconfigurez les deux côtés "Clé pré-partagée"


3. L'adresse IP spécifiée dans la configuration de la passerelle IKE correspond-elle à l'adresse IP publique de la passerelle distante ? L'adresse IP distante est-elle correcte ?


Oui -Continuer avec l'étape 4 


Non-Dans la configuration de la passerelle IKE, spécifiez l'adresse IP correcte pour la passerelle distante, puis essayez d'afficher à nouveau le ×××.


4 L'interface sortante de la passerelle IKE correspond-elle à la route vers la destination ? L'interface de sortie est-elle correctement sélectionnée ?


Oui - Continuez avec l'étape 5 


Non-Corrigez l'interface sortante de la passerelle IKE. Malheureusement, vous ne pouvez pas modifier l'interface sortante de la passerelle IKE. Vous devez créer une nouvelle passerelle IKE qui pointe vers l'interface sortante correcte, puis modifier l'IKE AutoKey pour qu'elle pointe vers cette nouvelle passerelle IKE. Si la mauvaise interface d'exportation IKE est sélectionnée, elle ne peut pas être modifiée. Une nouvelle passerelle IKE doit être créée


5. Y a-t-il des routeurs ou des pare-feu dans le chemin qui bloquent IPSec (protocole IP 50 ou port UDP 500 (si vous utilisez NAT-Traversal)) ? Existe-t-il d'autres routeurs ou pare-feu bloquant la connexion réseau, tels que tcp-50 et le port udp -500 n'est pas ouvert


Oui - Travaillez avec l'administrateur de ce pare-feu ou routeur pour autoriser IPSec à passer pour l'adresse IP de votre pare-feu et la passerelle IP distante. 


Non - Continuez avec l'étape 6


6. Si les étapes ci-dessus ne vous aident pas à résoudre les messages de la phase 1 : La limite de retransmission a été atteinte, collectez les journaux de site à site des deux côtés du tunnel et ouvrez un dossier avec le centre d'assistance technique JTAC-Juniper. Voir KB9229-Comment collecter les journaux et ouvrir un dossier pour un problème avec un site à site ×××. Si le problème ne peut toujours pas être résolu, consultez les autres informations de Juniper.


Le ××× côté client est configuré par mes soins. La configuration est correcte, mais parfois la connexion ××× échoue et le journal « Phase 1 : la limite de retransmission a été atteinte ». apparaît dans le journal. La raison devrait être Le troisième élément mentionné ci-dessus, l'adresse IP est incorrecte, car le client n'a qu'une seule adresse IP fixe et une section utilise une connexion ADSL. Une fois la ligne ADSL déconnectée et reconnectée, l'adresse IP change et le tunnel ××× d'origine est toujours enregistré. Il s'agit de l'adresse IP avant la déconnexion, il y aura donc une situation où ××× ne pourra pas être établi. Après avoir attendu un certain temps, cela devrait être normal. Cela doit être considéré comme une déficience de l'IP dynamique ×××.



Solution rapide :


Si vous attendez simplement que ××× se reconnecte automatiquement, cela prendra probablement beaucoup de temps. S'il est cassé, cela prendra plus de dix minutes, et ce ne sera pas mieux si c'est une demi-heure. En fonctionnement réel, j'ai trouvé un moyen facile de rendre ××× rapide. Pour rétablir la connexion, il faut désactiver la stratégie utilisée par ××× dans la politique, puis la réactiver, initier la connexion ××× à partir de le côté ip dynamique, et le problème est résolu.



  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.