NetdefendOS_2.27.01_Firewall_User_Manual_RUS

Список IKE proposal не соответствует. Убедитесь, что список IKE proposal соответствует списку
удаленной стороны. Желательно использовать команду ikesnoop verbose и создать туннель для
инициации туннеля с удаленной стороны. Далее пользователь может просмотреть, какие
предложения отправляет удаленная сторона, и сравнить результаты с собственным списком IKE
proposal. Для прохождения фазы-1 необходимо ОДНО соответствие. Помните, что сроки действия
крайне важны, так как они будут указаны в разделе признаков проблем. Примечание: В новых
версиях невозможно установить срок действия в килобайтах (КБ) для фазы IKE, только в секундах.
• Если не удалось выполнить согласование в течение фазы-2 – IPsec
Список предложений IPsec не соответствует. Убедитесь, что список предлагаемых значений IPsec
соответствует списку удаленной стороны. Можно использовать описанную выше консольную
команду ikesnoop, когда удаленная сторона инициирует туннель, и сравнить с собственным списком.
Дополнительным в фазе IPsec является то, что здесь происходит согласование сетей, таким образом,
даже если список IPsec proposal кажется соответствующим, проблема может заключаться в
несоответствии сетей. Локальная сеть (-и) на стороне пользователя должна быть Удаленной сетью в
противоположной стороне и наоборот. Помните, что несколько сетей генерируют несколько SA
IPsec, одну SA на сеть (или хост, при использовании данной опции). Важно указать размер сети,
который должен быть одинаковым на обеих сторонах, так как он будет упоминаться позднее в
разделе признаков проблем.
Также на вкладке IKE IPsec-туннеля существуют некоторые настройки, которые можно отнести к
проблеме «No proposal chosen». Например режим Main или Aggressive, группа DH (для фазы IKE) и
PFS (для фазы IPsec).
2. Incorrect pre-shared key
Проблема с общим ключом на любой стороне может привести к сбою согласования туннеля.
Возможно, это наименее сложная проблема из всех, так как в данном случае причина только одна –
некорректный общий ключ. Убедитесь, что используется один и тот же общий ключ (парольная
фраза или шестнадцатеричный ключ), корректно добавленный в обеих точках туннеля.
Другой причиной для обнаружения системой NetDefendOS некорректного общего ключа может быть
запуск некорректного туннеля во время согласований туннеля. Система NetDefendOS обрабатывает
IPsec-туннели в списке сверху вниз и первоначально туннели сопоставляются с удаленным шлюзом.
Например, удаленный туннель использует all-nets, как и удаленный шлюз. Этот туннель будет
установлен прежде, чем выбранный Вами туннель, если в списке туннелей он стоит выше.
Например, рассмотрим следующие IPsec-туннели:
Name Local Network Remote Network Remote Gateway
VPN-1 lannet office1net office1gw
VPN-2 lannet office2net office2gw
L2TP ip_wan all-nets all-nets
VPN-3 lannet office3net office3gw
Так как L2TP-туннель в вышеуказанной таблице выше туннеля VPN-3, он будет установлен раньше
VPN-3 из-за удаленного шлюза all-nets (all-nets соответствует любой сети). Так как два туннеля
используют различные общие ключи, пользователь получит сообщение об ошибке «Incorrect preshared
key».
Проблема решается благодаря изменению нумерации в списке и перестановки VPN-3 выше L2TP.
Далее шлюз office3gw будет соответствовать корректным образом и система NetDefendOS выберет
туннель VPN-3.
3. Ike_invalid_payload, Ike_invalid_cookie
В данном случае компьютер с поддержкой IPsec в NetDefendOS получает пакет IPsec IKE, но не
может сопоставить его с существующим IKE.
Если VPN-туннель установлен только на одной стороне, это может привести к сообщению об ошибке
в тот момент, когда трафик приходит из туннеля, который не существует. Например, по некоторым
причинам соединение было нарушено на стороне инициатора, но терминатор по-прежнему
наблюдает активное соединения. Далее терминатор отправляет пакеты по туннелю, но когда они
423