Ошибка на этапе 1 IKE при попытке создать туннель IPSeC с помощью Juniper SRX 300.

Question

Ошибка на этапе 1 IKE при попытке создать туннель IPSeC с помощью Juniper SRX 300.

Менее месяца назад нам пришлось заменить наше старое устройство SRX 210 HE на новое SRX 300, поскольку старое устройство стало ненадежным. У нас было два туннеля IPSeC в два разных места, оба работали без сбоев. Однако после того, как мы перестроили конфигурацию устройства SRX 300 на основе конфигурации, извлеченной из SRX 210 HE, подключился только один из туннелей IPSeC.

Похоже, что IKE фаза 1 не работает. Ввод:

      show security ike security-associations

Дает следующий вывод

      Index   State  Initiator cookie  Responder cookie  Mode           Remote Address
1897066 UP     4cbbffa7700d641b  d57600a59dc24c3a  Main           xxx.xxx.xxx.xxx
1897435 DOWN   c3cf8b4f3a140154  0000000000000000  Main           xxx.xxx.xxx.xxx

Поскольку файл cookie ответчика равен 0000000000000000, это означает, что ответ от другой стороны не получен. Я проконсультировался с ними, и их журнал показывает следующую ошибку:

      IP = xxx.xxx.xxx.xxx, Received an un-encrypted NO_PROPOSAL_CHOSEN notify message, dropping

С другой стороны, наш журнал выдает следующую ошибку:

      xxx.xxx.xxx.xxx:500 (Initiator) <-> xxx.xxx.xxx.xxx:500 { 0ecdfc62 8ee2e521 - 00000000 00000000 [-1] / 0x00000000 } IP; Connection timed out or error, calling callback

Это нормально, что при возникновении этой ошибки не отправляется ответ? По-видимому, это должно быть вызвано несоответствием предложения IKE, но мы тщательно проверили настройки предложения, и они должны быть совместимыми, тем более что туннель работал до того, как мы переключили устройство. Также кажется, что их журнал не содержит ничего более конкретного, чем это, что могло бы помочь решить проблему.

Настройки предложения следующие.

Наши:

      authentication-method pre-shared-keys
dh-group group14
authentication-algorithm sha1
encryption-algorithm aes-256-cbc
lifetime-seconds 28800

Их:

      Authentication pre-share
D-H Group 14
Hash sha
Encryption aes-256
Lifetime(seconds) 28800

Единственное, что могло быть неправильным, — это общий ключ, но я пытался установить его несколько раз на случай, если ошибусь. И не должно ли несовпадение ключа предварительного обмена вызывать более конкретную ошибку?

Может ли кто-нибудь помочь мне определить, что может вызвать проблему IKE фазы 1?

РЕДАКТИРОВАТЬ:

Однажды, проверяя ассоциации безопасности ike, я заметил разницу. Похоже, что устройство получило файл cookie ответчика, но режим был неизвестен и состояние было отключено. Я нашел эту ошибку в журнале.

      Initiate IKE P1 SA 1898475 delete. curr ref count 2, del flags 0x3. Reason: Internal Error: Unknown event (0)

Ассоциации безопасности выглядели так:

      Index   State  Initiator cookie  Responder cookie  Mode           Remote Address
1897579 UP     e828d4c3cf65dea4  0a7d6e8c8a5f7fa1  Main           xxx.xxx.xxx.xxx
1897673 DOWN   ed7d4957fd811775  49d7f52a48f53679  Unknown        xxx.xxx.xxx.xxx

0

ipsec juniper ikev1

Источник

nyoatype 16 авг '23 в 06:25

0 ответов

Другие вопросы по тегам ipsec juniper ikev1