Problème:
Échec de la mise en place du pare-feu Juniper*** : Phase 1 : Retransmission
Erreur:
L'établissement du pare-feu Juniper ××× a échoué : Phase1 : Retransmission L'établissement du pare-feu Juniper ××× a échoué et le message suivant apparaît dans le journal : Phase 1 : La limite de retransmission a été atteinte. Voici les informations pertinentes de la base de données Juniper. Selon les données, il semble que la méthode dans la base de données Juniper n'ait pas complètement résolu le problème, mais vous pouvez vous référer aux idées de dépannage du pare-feu Juniper
Cas complet :
Échec de la mise en place du pare-feu Juniper ××× : Phase 1 : Retransmission
La mise en place du pare-feu Juniper échoue et le message suivant apparaît dans le journal : Phase 1 : La limite de retransmission a été atteinte.
Voici les informations pertinentes trouvées dans la base de données Juniper. Selon la base de données Juniper, il semble que le problème n'ait pas été complètement résolu, mais vous pouvez vous référer aux idées de dépannage du pare-feu Juniper.
Synopsis:
××× ne s'affichera pas ; Il échoue dans la phase 1, avec la limite de retransmission a été atteinte signalée dans le journal des événements.
×××Impossible d'établir la connexion, "Phase 1, avec la limite de retransmission a été atteinte" apparaît dans le journal
Problème:
Le tunnel ××× ne monte pas. Il échoue dans la phase 1, avec « Phase 1 : la limite de retransmission a été atteinte » signalée dans le journal des événements.
Étant donné que la poignée de main de la phase 1 n'a pas pu être achevée, le tunnel ××× n'a pas pu être établi.
Hypothèses:
Vous êtes sur le pare-feu du répondeur et il n'y a pas d'erreurs de phase 2 dans le journal des événements.
Vous êtes sur le pare-feu du répondeur et le seul message de la phase 1 dans le journal des événements est « La limite de retransmission a été atteinte ». Si vous avez d'autres erreurs de phase 1, veuillez vous référer à KB9238-Comment analyser les messages IKE de phase 1 dans les journaux d'événements.
Vous êtes sur le pare-feu de l'initiateur et il n'y a aucun message dans le journal des événements sur le répondeur.
Remarque : Il est toujours préférable de résoudre les problèmes de connexion ×× × en examinant d'abord les messages du côté du répondeur.
Terminologie:
Le répondeur est le côté récepteur du ××× qui fait l'objet d'un ping, reçoit les demandes d'établissement de tunnel ou reçoit le trafic tunnelé.
L'initiateur est le côté du ××× sur lequel le ping ou le trafic est généré.
Solution : Solution
Utilisez les étapes suivantes pour déterminer ce qu'il faut faire lorsque vous recevez des messages de phase 1 : La limite de retransmission a été atteinte dans le journal des événements.
Depuis le pare-feu, pouvez-vous cingler l'adresse IP de la passerelle ××× distante OU de n'importe quel hôte sur Internet ? Pouvez-vous cingler l'IP Internet à distance ?
Oui-Continuer avec l'étape 2
Non-Vérifiez qu'une route par défaut est configurée sur le pare-feu. Si oui, pouvez-vous cingler la passerelle par défaut du pare-feu ? Si vous ne pouvez pas envoyer de ping à la passerelle par défaut du pare-feu, vérifiez la connectivité entre le pare-feu et le routeur de la passerelle par défaut. Vérifiez la route locale, si vous pouvez cingler la passerelle, sinon, veuillez vérifier la connexion réseau.
2. La clé prépartagée spécifiée dans la configuration de la passerelle IKE est-elle la même sur l'initiateur et le répondeur ? La « clé prépartagée » des deux appareils est-elle la même
Oui - Continuez avec l'étape 3
Non-Dans la configuration de la passerelle IKE, saisissez à nouveau la clé pré-partagée sur l'initiateur et le répondeur, puis essayez d'afficher à nouveau le ×××. Si ce n'est pas le même, reconfigurez les deux côtés "Clé pré-partagée"
3. L'adresse IP spécifiée dans la configuration de la passerelle IKE correspond-elle à l'adresse IP publique de la passerelle distante ? L'adresse IP distante est-elle correcte ?
Oui -Continuer avec l'étape 4
Non-Dans la configuration de la passerelle IKE, spécifiez l'adresse IP correcte pour la passerelle distante, puis essayez d'afficher à nouveau le ×××.
4 L'interface sortante de la passerelle IKE correspond-elle à la route vers la destination ? L'interface de sortie est-elle correctement sélectionnée ?
Oui - Continuez avec l'étape 5
Non-Corrigez l'interface sortante de la passerelle IKE. Malheureusement, vous ne pouvez pas modifier l'interface sortante de la passerelle IKE. Vous devez créer une nouvelle passerelle IKE qui pointe vers l'interface sortante correcte, puis modifier l'IKE AutoKey pour qu'elle pointe vers cette nouvelle passerelle IKE. Si la mauvaise interface d'exportation IKE est sélectionnée, elle ne peut pas être modifiée. Une nouvelle passerelle IKE doit être créée
5. Y a-t-il des routeurs ou des pare-feu dans le chemin qui bloquent IPSec (protocole IP 50 ou port UDP 500 (si vous utilisez NAT-Traversal)) ? Existe-t-il d'autres routeurs ou pare-feu bloquant la connexion réseau, tels que tcp-50 et le port udp -500 n'est pas ouvert
Oui - Travaillez avec l'administrateur de ce pare-feu ou routeur pour autoriser IPSec à passer pour l'adresse IP de votre pare-feu et la passerelle IP distante.
Non - Continuez avec l'étape 6
6. Si les étapes ci-dessus ne vous aident pas à résoudre les messages de la phase 1 : La limite de retransmission a été atteinte, collectez les journaux de site à site des deux côtés du tunnel et ouvrez un dossier avec le centre d'assistance technique JTAC-Juniper. Voir KB9229-Comment collecter les journaux et ouvrir un dossier pour un problème avec un site à site ×××. Si le problème ne peut toujours pas être résolu, consultez les autres informations de Juniper.
Le ××× côté client est configuré par mes soins. La configuration est correcte, mais parfois la connexion ××× échoue et le journal « Phase 1 : la limite de retransmission a été atteinte ». apparaît dans le journal. La raison devrait être Le troisième élément mentionné ci-dessus, l'adresse IP est incorrecte, car le client n'a qu'une seule adresse IP fixe et une section utilise une connexion ADSL. Une fois la ligne ADSL déconnectée et reconnectée, l'adresse IP change et le tunnel ××× d'origine est toujours enregistré. Il s'agit de l'adresse IP avant la déconnexion, il y aura donc une situation où ××× ne pourra pas être établi. Après avoir attendu un certain temps, cela devrait être normal. Cela doit être considéré comme une déficience de l'IP dynamique ×××.
Solution rapide :
Si vous attendez simplement que ××× se reconnecte automatiquement, cela prendra probablement beaucoup de temps. S'il est cassé, cela prendra plus de dix minutes, et ce ne sera pas mieux si c'est une demi-heure. En fonctionnement réel, j'ai trouvé un moyen facile de rendre ××× rapide. Pour rétablir la connexion, il faut désactiver la stratégie utilisée par ××× dans la politique, puis la réactiver, initier la connexion ××× à partir de le côté ip dynamique, et le problème est résolu.