Tunnel IPSEC instable entre USG6370 et les statistiques de pare-feu / tunnel Juniper n'apparaissent pas sur l'interface du tunnel

publié il y a  2020-2-26 10:47:39 9 0 0 0

 Description du problème 

 

- Tunnel IPSEC instable avec pare-feu Juniper. [Établissement du VPN IPSec entre le pare-feu Juniper SRX et Huawei USG6550E car le VPN est établi entre les deux pare-feu mais il est déconnecté après 110 secondes exactes et les SA IKE sont à nouveau échangées]

 

- Les statistiques n'apparaissent pas sous l'interface du tunnel lors de l'interface d'affichage mais il y a du trafic sur le tunnel IPSEC de l'interface graphique

1-1


1-2


1-3


 Analyse des problèmes 

 

-           Avoir un nouveau pare-feu installé: USG6550E

1


-           A utilisé ce guide pour établir le VPN entre USG6370 et le pare-feu Juniper

https://forum.huawei.com/enterprise/en/ipsec-vpn-establishment-between-juniper-firewall-huawei-firewall/thread/560043-867


-           Avoir une stratégie Ipsec avec le nom ipsec1781205368:

2


-           vérifié les journaux fournis et j'ai constaté qu'après l'établissement de l'ipsec avec une courte période, l'ipsec se déconnectera:

 

21 août 2019 18: 49: 52 + 05: 00 H-Fw-Edge47 %% 01IPSEC / 5 / IPSEC_TUNNEL_ESTABLISHED (l) [84295]: Vsys public: Un tunnel IPSec est établi. (PolicyName = ipsec1781205368 , IfIndex = 38, SeqNum = 1, RuleNum = 35, SrcIP = 10.xx.xx.47, DstIP = 10.xx.xx.254 , Slot = 11, CpuID = 0 , State = Normal , Role = Répondant)

 

21 août 2019 18: 51: 42 + 05: 00 H-Fw-Edge47 %% 01IPSEC / 5 / IPSEC_TUNNEL_TEARED_DOWN (l) [84346]: Vsys public: Un tunnel IPSec est détruit. (PolicyName = ipsec1781205368 , IfIndex = 38, SeqNum = 1, RuleNum = 35, SrcIP = 10.xx.xx.47, DstIP = 10.xx.xx.254 , InboundSPI = 201086011, Slot = 11, CpuID = 0, OfflineReason = demande d'homologue , état = normal)

 

-           La raison hors ligne de l'IPSEC est la demande de pairs, ce qui signifie que l'extrémité distante (côté genévrier) a envoyé un message, demandant à l'extrémité locale de démolir le tunnel.

3


Vous devez donc vérifier les informations du journal de l'appareil distant (côté genévrier) et déterminer les causes de l'erreur de tunnel IPSec en conséquence.

4


Référence :

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100068406&id=IPSec_5_IPSEC_TUNNEL_TEARED_DOWN&text=IPSEC%2F5%2FIPSEC_TUNNEL_TEARED_DOWN&lang=en



-           Le côté Juniper détruit la session IPSec comme mentionné:

5

-           En fait, j'ai vérifié sur Internet et sur le forum Juniper et j'ai trouvé la raison pour laquelle le moniteur VPN est configuré pour le tunnel et le pair n'a pas répondu aux messages persistants du moniteur VPN, ou le pair n'était pas accessible. Les SA IPsec correspondantes ont été effacées .

Vous avez donc besoin de vérifier la connectivité des homologues et l'adresse de destination du moniteur VPN.

6


https://www.juniper.net/documentation/en_US/junos/topics/reference/general/security-ipsec-vpn-tunnel-event.html


-           En fait, le mécanisme de maintien en vie côté genévrier n'est pas très clair pour moi, mais j'ai trouvé cet article qui mentionne qu'il utilise Ping:

sept

https://www.juniper.net/documentation/en_US/junos/topics/topic-map/security-monitoring-vpn-traffic.html



-           J'ai également vérifié tout problème similaire sur le forum juniper et j'ai trouvé ce problème:

8

https://forums.juniper.net/t5/SRX-Services-Gateway/SRX100-IPSec-tunnel-down-after-a-couple-of-minutes/td-p/283037


-           Ce n'est pas non plus la façon de changer le DPD du côté de Huawei:

sysname > system-view [ sysname ] ike peer test

sysname -ike-peer-test] dpd idle-time 300

sysname -ike-peer-test] dpd retransmit-interval 10

[ sysname -ike-peer-test] dpd retry-limit 4


sysname > vue système

sysname ] ike pair huawei

sysname -ike-peer-huawei] type dpd périodique


https://support.huawei.com/hedex/hdx.do?docid=EDOC1100068406&id=dpd&text=dpd&lang=en


https://support.huawei.com/hedex/pages/EDOC1100068406AEI0226V/03/EDOC1100068406AEI0226V/03/resources/dc/dpd_type.html?ft=0&fe=10&hib=6.13.2.56&id=dpd_type&text=dpd%


J'ai vérifié le DPD côté huawei, il est activé et il est périodique:

ike-proposition 1

IP de type id distant

remote-id 10.657.250.254

local-id 10.xx.xx.47

type dpd périodique

adresse à distance 10.xx.xx.254



-           En ce qui concerne le trafic d'entrée et de sortie qui n'est pas affiché sous l'interface du tunnel, veuillez ajouter "activation statistique" sous l'interface du tunnel.



 Cause profonde】

 

-           L'extrémité distante (côté genévrier) a envoyé un message, demandant à l'extrémité locale de démolir le tunnel.

[La surveillance VPN dans juniper détecte le tunnel comme étant en panne et efface SA]

 

-           En ce qui concerne les statistiques sous la commande d'activation des statistiques de l'interface du tunnel, elle n'est pas activée.



 Solution 

 

-           Vérifiez les informations de journal du périphérique distant (côté genévrier) et déterminez les causes de l'erreur de tunnel IPSec en conséquence.

-           Retirez le moniteur VPN du côté juniper ou recherchez un DPD compatible du côté juniper pour correspondre à huawei. Annuler le moniteur VPN a résolu le problème ]

-           Ajouter (activation statistique) sous l'interface du tunnel.


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier