NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
подходят устройству в противоположной точке туннеля. Команда ikesnoop является полезной для<br />
диагностики списков алгоритмов с отображением деталей согласования во время установки туннеля.<br />
Команда выглядит следующим образом:<br />
KlКоманда ICMP ping может быть отправлена на межсетевой экран NetDefend с удаленной точки<br />
туннеля. Это приведет к отображению выходных данных ikesnoop о согласовании установки туннеля<br />
к консоли и списка несовместимых алгоритмов.<br />
Если существует несколько туннелей или нескольких клиентов на один туннель, то выходных<br />
данных опции verbose может быть слишком много. Поэтому лучше указать, что выходные данные<br />
идут с одного туннеля, указав IP-адрес конечной точки туннеля (это либо IP-адрес удаленной<br />
конечной точки, либо IP-адрес клиента). Команда принимает следующий вид:<br />
чить Ikesnoop можно отключить с помощью следующей команды:<br />
Для получения подробной информации обратитесь в Раздел 9.4.5, «Поиск и устранение проблем с<br />
помощью команды ikesnoop».<br />
9.7.4. Сбой интерфейса управления VPN<br />
Если после создания VPN-туннеля интерфейс управления больше не работает, то, вероятно,<br />
проблема в трафике управления, направленном обратно через VPN-туннель вместо корректного<br />
интерфейса.<br />
Проблема возникает в случае добавления в таблицу маршрутизации маршрута, направляющего<br />
трафик для all-nets через VPN-туннель. Если после создания VPN-туннеля интерфейс управления<br />
недоступен, администратору необходимо добавить определенный маршрут, направляющий трафик<br />
интерфейса управления с межсетевого экрана NetDefend обратно в подсеть управления.<br />
После указания VPN-туннеля в таблицу маршрутизации будет автоматически добавлен маршрут allnets,<br />
таким образом, администратору необходимо всегда указывать определенный маршрут для<br />
корректной маршрутизации.<br />
9.7.5. Сообщения об ошибках<br />
Данный раздел подробно описывает сообщения об ошибках, которые могут появиться при создании<br />
VPN-туннелей:<br />
1. Could not find acceptable proposal / no proposal chosen.<br />
2. Incorrect pre-shared key.<br />
3. Ike_invalid_payload, Ike_invalid_cookie.<br />
4. Payload_Malformed.<br />
5. No public key found.<br />
1. Could not find acceptable proposal / no proposal chosen<br />
Это наиболее распространенное сообщение об ошибке, связанное с IPsec. Сообщение означает, что в<br />
зависимости от того, на какой стороне инициирована установка туннеля, согласования на фазе IKE<br />
или IPSec не выполнены, так как не удалось обнаружить соответствующее предложение, подходящее<br />
для обеих сторон.<br />
При поиске и устранении неисправностей можно использовать данное сообщение, так как причин<br />
для его отправки может быть несколько, в зависимости от того, где было выполнено согласование.<br />
• Если не удалось выполнить согласование в течение фазы-1 – IKE<br />
422