NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Список IKE proposal не соответствует. Убедитесь, что список IKE proposal соответствует списку<br />
удаленной стороны. Желательно использовать команду ikesnoop verbose и создать туннель для<br />
инициации туннеля с удаленной стороны. Далее пользователь может просмотреть, какие<br />
предложения отправляет удаленная сторона, и сравнить результаты с собственным списком IKE<br />
proposal. Для прохождения фазы-1 необходимо ОДНО соответствие. Помните, что сроки действия<br />
крайне важны, так как они будут указаны в разделе признаков проблем. Примечание: В новых<br />
версиях невозможно установить срок действия в килобайтах (КБ) для фазы IKE, только в секундах.<br />
• Если не удалось выполнить согласование в течение фазы-2 – IPsec<br />
Список предложений IPsec не соответствует. Убедитесь, что список предлагаемых значений IPsec<br />
соответствует списку удаленной стороны. Можно использовать описанную выше консольную<br />
команду ikesnoop, когда удаленная сторона инициирует туннель, и сравнить с собственным списком.<br />
Дополнительным в фазе IPsec является то, что здесь происходит согласование сетей, таким образом,<br />
даже если список IPsec proposal кажется соответствующим, проблема может заключаться в<br />
несоответствии сетей. Локальная сеть (-и) на стороне пользователя должна быть Удаленной сетью в<br />
противоположной стороне и наоборот. Помните, что несколько сетей генерируют несколько SA<br />
IPsec, одну SA на сеть (или хост, при использовании данной опции). Важно указать размер сети,<br />
который должен быть одинаковым на обеих сторонах, так как он будет упоминаться позднее в<br />
разделе признаков проблем.<br />
Также на вкладке IKE IPsec-туннеля существуют некоторые настройки, которые можно отнести к<br />
проблеме «No proposal chosen». Например режим Main или Aggressive, группа DH (для фазы IKE) и<br />
PFS (для фазы IPsec).<br />
2. Incorrect pre-shared key<br />
Проблема с общим ключом на любой стороне может привести к сбою согласования туннеля.<br />
Возможно, это наименее сложная проблема из всех, так как в данном случае причина только одна –<br />
некорректный общий ключ. Убедитесь, что используется один и тот же общий ключ (парольная<br />
фраза или шестнадцатеричный ключ), корректно добавленный в обеих точках туннеля.<br />
Другой причиной для обнаружения системой NetDefendOS некорректного общего ключа может быть<br />
запуск некорректного туннеля во время согласований туннеля. Система NetDefendOS обрабатывает<br />
IPsec-туннели в списке сверху вниз и первоначально туннели сопоставляются с удаленным шлюзом.<br />
Например, удаленный туннель использует all-nets, как и удаленный шлюз. Этот туннель будет<br />
установлен прежде, чем выбранный Вами туннель, если в списке туннелей он стоит выше.<br />
Например, рассмотрим следующие IPsec-туннели:<br />
Name Local Network Remote Network Remote Gateway<br />
VPN-1 lannet office1net office1gw<br />
VPN-2 lannet office2net office2gw<br />
L2TP ip_wan all-nets all-nets<br />
VPN-3 lannet office3net office3gw<br />
Так как L2TP-туннель в вышеуказанной таблице выше туннеля VPN-3, он будет установлен раньше<br />
VPN-3 из-за удаленного шлюза all-nets (all-nets соответствует любой сети). Так как два туннеля<br />
используют различные общие ключи, пользователь получит сообщение об ошибке «Incorrect preshared<br />
key».<br />
Проблема решается благодаря изменению нумерации в списке и перестановки VPN-3 выше L2TP.<br />
Далее шлюз office3gw будет соответствовать корректным образом и система NetDefendOS выберет<br />
туннель VPN-3.<br />
3. Ike_invalid_payload, Ike_invalid_cookie<br />
В данном случае компьютер с поддержкой IPsec в NetDefendOS получает пакет IPsec IKE, но не<br />
может сопоставить его с существующим IKE.<br />
Если VPN-туннель установлен только на одной стороне, это может привести к сообщению об ошибке<br />
в тот момент, когда трафик приходит из туннеля, который не существует. Например, по некоторым<br />
причинам соединение было нарушено на стороне инициатора, но терминатор по-прежнему<br />
наблюдает активное соединения. Далее терминатор отправляет пакеты по туннелю, но когда они<br />
423