Anypoint VPN のトラブルシューティング

以下に、Anypoint VPN との接続を試みると発生する可能性があるエラーをいくつか示します。

Anypoint VPN に接続できない

Anypoint VPN に接続できない場合は、設定されているファイアウォールで、VPN トンネルの localExternalIpAddress 項目の IP アドレスを経由するトラフィックが許可されていることを確認してください。

NO_PROPOSAL_CHOSEN エラーまたは Cannot Establish Phase 1 Connection

これはフェーズ 1 設定の問題が原因である考えられます。 Anypoint VPN 接続は IKEv1 のみをサポートするため、IKEv2 は機能しません。

サポートされるフェーズ 1 Diffie-Hellman (DH) グループは、2、14-18、22、23、24 です。

フェーズ 2 接続を確立できない

フェーズ 2 DH グループがサポートされていない可能性があります。サポートされるフェーズ 2 DH グループは、2、5、14-18、22、23、24 です。

Anypoint VPN トンネル接続は機能しているがルートが伝播されない

トンネルの近隣の IP アドレスが、トンネルの詳細のローカルポイントツーポイント IP アドレスから取得されていることを確認してください。

フェーズ 2 SA は確立されているがトラフィックがトンネルを通過しない

VPN 接続では、トンネルにつき 1 つのみのセキュリティアソシエーション (SA) ペアがサポートされるので、接続ごとに複数のトラフィックセレクタがあると予期しない結果となります。

これを解決するには、VPN トンネル接続ごとに一意の SA が 1 つだけ使用されていることを確認してください。複数のポリシーが必要な場合は、ネットワーク内のトラフィックを統合して絞り込む必要があります。

Anypoint VPN トンネルが非アクティブ期間後に切断される

IPsec は「対象トラフィック」(Anypoint VPN 接続を介して暗号化されるトラフィック) を送信することで確立されます。対象トラフィックがない場合、トンネルは切断されます。これは想定される動作であり、タイムアウト値は可変です。

一部の VPN 設定では、トンネルをアクティブ状態に維持するための追加ステップが必要であり、対象トラフィックを定期的に送信する必要があります。たとえば、CloudHub ワーカーの内部 IP アドレスまたは FQDN に対して ICMP 要求を 5 秒ごとに送信すると、トンネルはアクティブ状態を維持できます。

Was this article helpful?

💙 Thanks for your feedback!

Edit on GitHub