이 문서에는 IPsec VPN 문제에 대한 가장 일반적인 솔루션이 포함되어 있습니다. 이러한 솔루션은 Cisco 기술 지원 팀에서 해결했던 서비스 요청에서 직접 가져옵니다. 이러한 솔루션 중 상당수는 IPsec VPN 연결의 심층적인 문제 해결 전에 구현할 수 있습니다. 따라서 이 문서에서는 연결 문제를 해결하고 Cisco 기술 지원부에 전화하기 전에 시도할 수 있는 일반적인 절차의 체크리스트를 제공합니다.
Site-to-Site VPN 및 원격 액세스 VPN에 대한 컨피그레이션 예제 문서가 필요한 경우 Remote Access VPN, L2L(Site to Site VPN) with PIX, L2L(Site to Site VPN) with IOS, L2L(Site to Site VPN) 및 TechConfiguration 섹션 및Example 참고.
참고: 이 문서의 컨피그레이션 예제는 라우터 및 보안 어플라이언스에서 사용되지만, 이러한 거의 모든 개념이 VPN 3000 Concentrator에도 적용됩니다.
참고: Cisco IOS® 소프트웨어 및 PIX 모두에서 IPsec 문제를 해결하는 데 사용되는 공통 디버그 명령에 대한 설명은 IP 보안 문제 해결 - 디버그 명령 이해 및 사용을 참조하십시오.
참고: ASA/PIX는 IPsec VPN 터널을 통해 멀티캐스트 트래픽을 전달하지 않습니다.
참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 문서에 사용된 모든 명령을 조회할 수 있습니다.
경고: 이 문서에 제시된 대부분의 솔루션은 디바이스에서 모든 IPsec VPN 연결이 일시적으로 손실될 수 있습니다. 이러한 솔루션은 변경 제어 정책에 따라 신중하게 구현하는 것이 좋습니다.
Cisco에서는 이러한 Cisco 디바이스에서 IPsec VPN 컨피그레이션에 대해 알고 있는 것이 좋습니다.
Cisco PIX 500 Series 보안 어플라이언스
Cisco ASA 5500 Series Security Appliance
Cisco IOS 라우터
Cisco VPN 3000 Series Concentrator(옵션)
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
Cisco ASA 5500 Series Security Appliance
Cisco PIX 500 Series 보안 어플라이언스
Cisco IOS
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
최근에 구성되었거나 수정된 IPsec VPN 솔루션이 작동하지 않습니다.
현재 IPsec VPN 컨피그레이션이 더 이상 작동하지 않습니다.
이 섹션에는 가장 일반적인 IPsec VPN 문제에 대한 솔루션이 포함되어 있습니다. 이러한 솔루션은 특정 주문에 나열되지 않지만, 해당 솔루션을 확인 또는 시도하기 위해 항목의 체크리스트로 사용하여 심층적인 트러블슈팅을 수행하고 TAC에 전화하기 전에 확인할 수 있습니다. 이러한 모든 솔루션은 TAC 서비스 요청에서 직접 제공되며 수많은 고객 문제를 해결했습니다.
참고: 이러한 섹션의 일부 명령은 공간 고려 사항으로 인해 두 번째 줄로 내려갔습니다.
NAT-Traversal 또는 NAT-T는 VPN 트래픽이 Linksys SOHO 라우터와 같은 NAT 또는 PAT 디바이스를 통과하도록 허용합니다. NAT-T가 활성화되지 않은 경우 VPN 클라이언트 사용자는 종종 문제 없이 PIX 또는 ASA에 연결하는 것으로 나타나지만 보안 어플라이언스 뒤에 있는 내부 네트워크에 액세스할 수 없습니다.
NAT/PAT 디바이스에서 NAT-T를 활성화하지 않을 경우 PIX/ASA에서 프로토콜 50 src inside:10.0.1.26 dst outside:10.9.69.4 오류 메시지에 대해 정기적인 변환 생성 실패를 수신할 수 있습니다.
마찬가지로 동일한 IP 주소에서 동시 로그인을 수행할 수 없는 경우 보안 VPN 연결이 클라이언트에 의해 로컬로 종료됩니다. 이유 412: 원격 피어가 더 이상 응답하지 않습니다. 오류 메시지가 나타납니다. 이 오류를 해결하려면 헤드엔드 VPN 디바이스에서 NAT-T를 활성화합니다.
참고: Cisco IOS Software 릴리스 12.2(13)T 이상에서는 Cisco IOS에서 기본적으로 NAT-T가 활성화되어 있습니다.
다음은 Cisco Security Appliance에서 NAT-T를 활성화하는 명령입니다. 이 예에서 20은 keepalive time(기본값)입니다.
PIX/ASA 7.1 이하
pix(config)#isakmp nat-traversal 20
PIX/ASA 7.2(1) 이상
securityappliance(config)#crypto isakmp nat-traversal 20
클라이언트가 작동하려면 클라이언트도 수정해야 합니다.
Cisco VPN Client(Cisco VPN 클라이언트)에서 Connection Entries(연결 항목)를 선택하고 Modify(수정)를 클릭합니다. 전송 탭을 선택해야 하는 새 창이 열립니다. 이 탭에서 Enable Transparent Tunneling 및 IPSec over UDP(NAT / PAT ) 라디오 버튼을 선택합니다. 그런 다음 Save(저장)를 클릭하고 연결을 테스트합니다.
참고: 이 명령은 PIX 6.x 및 PIX/ASA 7.x 모두에 대해 동일합니다.
참고: PIX/ASA는 NAT 디바이스 역할을 하므로 ACL의 컨피그레이션을 통해 NAT-T, UDP 500 및 ESP 포트에 대해 UDP 4500을 허용하는 것이 중요합니다. PIX/ASA의 ACL 컨피그레이션에 대한 자세한 내용은 NAT를 사용하여 방화벽을 통한 IPsec 터널 구성을 참조하십시오.
VPN 집선 장치
Configuration > Tunneling and Security > IPSEC > NAT Transparency > Enable을 선택합니다. VPN Concentrator에서 NAT-T를 활성화하기 위해 NAT-T를 통한 IPsec
참고: 또한 NAT-T를 사용하면 여러 VPN 클라이언트가 PAT 디바이스를 동시에 통해 PAT가 PIX, 라우터 또는 Concentrator인지에 관계없이 헤드엔드에 연결할 수 있습니다.
VPN 연결은 암호화를 수행하는 엔드포인트 디바이스 뒤에 있는 디바이스에서 테스트되지만, 많은 사용자가 암호화를 수행하는 디바이스에서 ping 명령으로 VPN 연결을 테스트합니다. ping은 일반적으로 이러한 용도로 작동하지만 올바른 인터페이스에서 ping을 소스로 하는 것이 중요합니다. ping이 잘못 소싱된 경우 VPN 연결이 실제로 작동할 때 실패한 것으로 나타날 수 있습니다. 이 시나리오를 예로 들어 보겠습니다.
라우터 A 암호화 ACL
access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
라우터 B 암호화 ACL
access-list 110 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
이 경우 ping은 두 라우터 뒤의 "내부" 네트워크에서 소싱되어야 합니다. 이는 암호화 ACL이 해당 소스 주소로 트래픽을 암호화하도록 구성되어 있기 때문입니다. 두 라우터의 인터넷 연결 인터페이스에서 소싱된 ping은 암호화되지 않습니다. 특별 권한 EXEC 모드에서 ping 명령의 확장 옵션을 사용하여 라우터의 "내부" 인터페이스에서 ping을 소스로 지정합니다.
routerA#ping Protocol [ip]: Target IP address: 192.168.200.10 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.100.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds: Packet sent with a source address of 192.168.100.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = ½/4 ms
이 다이어그램의 라우터가 PIX 또는 ASA 보안 어플라이언스로 교체되었다고 가정해 보십시오. 연결을 테스트하는 데 사용되는 ping은 내부 인터페이스에서 inside 키워드를 사용하여 소싱할 수도 있습니다.
securityappliance#ping inside 192.168.200.10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.200.10, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
참고: ping을 사용하여 보안 어플라이언스의 내부 인터페이스를 대상으로 하는 것은 권장되지 않습니다. ping을 사용하여 내부 인터페이스를 대상으로 지정해야 하는 경우 해당 인터페이스에서 management-access를 활성화해야 합니다. 그렇지 않으면 어플라이언스가 응답하지 않습니다.
securityappliance(config)#management-access inside
참고: 연결에 문제가 있는 경우 VPN의 1단계도 나타나지 않습니다. ASA에서 연결이 실패할 경우 SA 출력은 이 예와 유사하며, 이는 잘못된 암호화 피어 컨피그레이션 및/또는 잘못된 ISAKMP 제안 컨피그레이션을 나타냅니다.
Router#show crypto isakmp sa 1 IKE Peer: XX.XX.XX.XX Type : L2L Role : initiator Rekey : no State : MM_WAIT_MSG2
참고: 주 모드(MM)에서 관련 상태 교환이 실패했음을 나타내는 MM_WAIT_MSG2에서 MM_WAIT_MSG5까지 상태가 될 수 있습니다.
참고: 1단계가 가동될 때 Crypto SA 출력은 다음 예와 유사합니다.
Router#show crypto isakmp sa 1 IKE Peer: XX.XX.XX.XX Type : L2L Role : initiator Rekey : no State : MM_ACTIVE
IPsec VPN 터널이 전혀 나타나지 않는 경우 ISAKMP가 활성화되지 않았기 때문일 수 있습니다. 디바이스에서 ISAKMP를 활성화했는지 확인합니다. 디바이스에서 ISAKMP를 활성화하려면 다음 명령 중 하나를 사용합니다.
Cisco IOS
router(config)#crypto isakmp enable
Cisco PIX 7.1 이하(외부를 원하는 인터페이스로 대체)
pix(config)#isakmp enable outside
Cisco PIX/ASA 7.2(1) 이상(외부를 원하는 인터페이스로 교체)
securityappliance(config)#crypto isakmp enable outside
외부 인터페이스에서 ISAKMP를 활성화할 때 이 오류가 발생할 수도 있습니다.
UDP: ERROR - socket <unknown> 62465 in used ERROR: IkeReceiverInit, unable to bind to port
오류의 원인은 인터페이스에서 isakmp를 활성화하기 전에 ASA/IPS 뒤의 클라이언트가 PATd를 udp 포트 500으로 가져온다는 것입니다. PAT 변환이 제거되면(clear xlate) isakmp를 활성화할 수 있습니다.
참고: 항상 UDP 500 및 4500 포트 번호가 피어와 ISAKMP 연결 협상을 위해 예약되어 있는지 확인하십시오.
참고: 인터페이스에서 ISAKMP가 활성화되지 않은 경우 VPN 클라이언트는 다음 메시지와 유사한 오류 메시지를 표시합니다.
Secure VPN connection terminated locally by client. Reason 412: The remote peer is no longer responding
참고: 이 오류를 해결하려면 VPN 게이트웨이의 암호화 인터페이스에서 ISAKMP를 활성화하십시오.
IPsec 협상에서 PFS(Perfect Forward Secrecy)는 각 새 암호화 키가 이전 키와 관련이 없도록 합니다. 두 터널 피어에서 PFS를 활성화 또는 비활성화합니다. 그렇지 않으면 PIX/ASA/IOS 라우터에 LAN-to-LAN(L2L) IPsec 터널이 설정되지 않습니다.
PIX/ASA:
PFS는 기본적으로 비활성화되어 있습니다. PFS를 활성화하려면 그룹 정책 컨피그레이션 모드에서 enable 키워드와 함께 pfs 명령을 사용합니다. PFS를 비활성화하려면 disable 키워드를 입력합니다.
hostname(config-group-policy)#pfs {enable | disable}
실행 중인 컨피그레이션에서 PFS 특성을 제거하려면 이 명령의 no 형식을 입력합니다. 그룹 정책은 다른 그룹 정책에서 PFS에 대한 값을 상속할 수 있습니다. 값을 상속하지 않으려면 이 명령의 no 형식을 입력합니다.
hostname(config-group-policy)#no pfs
IOS 라우터:
이 암호화 맵 엔트리에 대해 새 보안 연결이 요청될 때 IPsec이 PFS를 요청하도록 지정하거나, 새 보안 연결에 대한 요청을 받을 때 IPsec에서 PFS를 요구하도록 지정하려면 암호화 맵 컨피그레이션 모드에서 set pfs 명령을 사용합니다. IPsec에서 PFS를 요청하지 않도록 지정하려면 이 명령의 no 형식을 사용합니다. 기본적으로 PFS는 요청되지 않습니다. 이 명령으로 지정된 그룹이 없으면 group1이 기본값으로 사용됩니다.
set pfs [group1 | group2] no set pfs
set pfs 명령의 경우:
group1 —새 Diffie-Hellman 교환을 수행할 때 IPsec에서 768비트 Diffie-Hellman 프라임 모듈러스 그룹을 사용하도록 지정합니다.
group2 - 새 Diffie-Hellman 교환을 수행할 때 IPsec에서 1024비트 Diffie-Hellman 프라임 모듈러스 그룹을 사용하도록 지정합니다.
예:
Router(config)#crypto map map 10 ipsec-isakmp Router(config-crypto-map)#set pfs group2
참고: PFS(Perfect Forward Secrecy)는 Cisco 독점 제품이며 타사 디바이스에서는 지원되지 않습니다.
IOS 라우터에서 이 오류 메시지가 발생하는 경우 SA가 만료되었거나 지워진 것이 문제입니다. 원격 터널 엔드 디바이스는 만료된 SA를 사용하여 패킷(SA 설정 패킷이 아님)을 전송하는지 알지 못합니다. 새 SA가 설정되면 통신이 다시 시작되므로 터널 전체에서 흥미로운 트래픽을 시작하여 새 SA를 생성하고 터널을 다시 설정합니다.
%CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA
ISAKMP(Phase I) 및 IPsec(Phase II) SA(Security Associations)를 지우면 IPsec VPN 문제를 해결하는 가장 간단하고 자주 사용하는 최상의 솔루션입니다.
SA를 지우면 문제 해결 없이 다양한 오류 메시지와 이상한 동작을 자주 해결할 수 있습니다. 이 기술은 어떤 상황에서도 쉽게 사용할 수 있지만, 현재 IPsec VPN 컨피그레이션을 변경하거나 추가한 후에는 SA를 지워야 합니다. 또한 특정 보안 연결만 지울 수 있지만 디바이스에서 SA를 전역적으로 지울 경우 가장 큰 이점이 있습니다.
참고: Security Associations(보안 연결)가 지워지면 터널을 통해 트래픽을 전송하여 다시 설정해야 할 수 있습니다.
경고: 지울 보안 연결을 지정하지 않는 한 여기에 나열된 명령은 디바이스의 모든 보안 연결을 지울 수 있습니다. 다른 IPsec VPN 터널이 사용 중인 경우 주의하여 진행합니다.
지우기 전에 보안 연결 보기
Cisco IOS
router#show crypto isakmp sa router#show crypto ipsec sa
Cisco PIX/ASA 보안 어플라이언스
securityappliance#show crypto isakmp sa securityappliance#show crypto ipsec sa
참고: 이러한 명령은 Cisco PIX 6.x 및 PIX/ASA 7.x에서 모두 동일합니다.
보안 연결을 지웁니다. 각 명령은 굵게 표시된 대로 입력하거나 옵션과 함께 입력할 수 있습니다.
Cisco IOS
ISAKMP(1단계)
router#clear crypto isakmp ? <0 - 32766> connection id of SA <cr>
IPsec(2단계)
router#clear crypto sa ? counters Reset the SA counters map Clear all SAs for a given crypto map peer Clear all SAs for a given crypto peer spi Clear SA by SPI <cr>
Cisco PIX/ASA 보안 어플라이언스
ISAKMP(1단계)
securityappliance#clear crypto isakmp sa
IPsec(2단계)
security appliance#clear crypto ipsec sa ? counters Clear IPsec SA counters entry Clear IPsec SAs by entry map Clear IPsec SAs by map peer Clear IPsec SA by peer <cr>
사용자가 L2L 터널을 통해 자주 연결이 끊어지는 경우 ISAKMP SA에 구성된 수명이 더 짧을 수 있습니다. ISAKMP 수명의 불일치가 발생하면 %PIX|ASA-5-713092를 받을 수 있습니다. Group = x.x.x.x, IP = x.x.x.x, PIX/ASA의 충돌 오류 메시지로 인해 1단계 재입력 시도 중 실패. FWSM의 경우 %FWSM-5-713092를 받을 수 있습니다. Group = x.x.x.x, IP = x.x.x.x, 충돌 오류 메시지로 인해 1단계 재입력 시도 중 오류가 발생했습니다. 두 피어에서 동일한 값을 구성하여 이를 수정합니다.
기본값은 86,400초 또는 24시간입니다. 일반적으로 수명이 짧을수록 더 안전한 ISAKMP 협상이 가능하지만(한 시점까지) 수명이 짧을수록 보안 어플라이언스는 향후 IPsec SA를 더 빨리 설정합니다.
두 피어의 두 정책이 동일한 암호화, 해시, 인증 및 Diffie-Hellman 매개 변수 값을 포함할 때, 원격 피어의 정책이 비교 정책의 수명보다 작거나 같은 수명을 지정할 경우 일치 항목이 생성됩니다. 수명이 동일하지 않으면 원격 피어의 정책에서 더 짧은 수명(즉, 더 짧은 수명)이 사용됩니다. 허용 가능한 일치 항목이 없으면 IKE가 협상을 거부하며 IKE SA가 설정되지 않습니다.
SA 수명을 지정합니다. 이 예에서는 수명을 4시간(14400초)으로 설정합니다. 기본값은 86400초(24시간)입니다.
PIX/ASA
hostname(config)#isakmp policy 2 lifetime 14400
IOS 라우터
R2(config)#crypto isakmp policy 10 R2(config-isakmp)#lifetime 86400
구성된 최대 수명을 초과할 경우 VPN 연결이 종료될 때 다음 오류 메시지가 표시됩니다.
보안 VPN 연결이 클라이언트에 의해 로컬로 종료되었습니다. 이유 426: 구성된 최대 수명을 초과했습니다.
이 오류 메시지를 해결하려면 IKE 보안 연결 수명을 무한대로 설정하려면 수명 값을 0으로 설정합니다. VPN은 항상 연결되며 종료되지 않습니다.
hostname(config)#isakmp policy 2 lifetime 0
또한 그룹 정책에서 재인증을 비활성화하여 문제를 해결할 수도 있습니다.
ISAKMP keepalive를 구성할 경우, VPN 클라이언트, 터널 및 일정 기간 동안 사용하지 않은 후 삭제되는 터널을 포함하여 산발적으로 삭제된 LAN-to-LAN 또는 원격 액세스 VPN을 방지하는 데 도움이 됩니다. 이 기능을 사용하면 터널 엔드포인트에서 원격 피어의 지속적인 존재를 모니터링하고 해당 피어에 자체 상태를 보고할 수 있습니다. 피어가 응답하지 않으면 엔드포인트는 연결을 제거합니다. ISAKMP keepalive가 작동하려면 두 VPN 엔드포인트 모두 이를 지원해야 합니다.
다음 명령을 사용하여 Cisco IOS에서 ISAKMP keepalive를 구성합니다.
router(config)#crypto isakmp keepalive 15
다음 명령을 사용하여 PIX/ASA 보안 어플라이언스에서 ISAKMP keepalive를 구성합니다.
Cisco PIX 6.x
pix(config)#isakmp keepalive 15
Cisco PIX/ASA 7.x 이상, 터널 그룹 10.165.205.222
securityappliance(config)#tunnel-group 10.165.205.222 ipsec-attributes securityappliance(config-tunnel-ipsec)#isakmp keepalive threshold 15 retry 10
예를 들어 VPN 클라이언트가 DPD 패킷을 차단하는 방화벽 뒤에 있는 경우 문제를 해결하려면 이 기능을 비활성화해야 하는 경우도 있습니다.
Cisco PIX/ASA 7.x 이상, 터널 그룹 10.165.205.222
기본적으로 활성화된 IKE keepalive 처리를 비활성화합니다.
securityappliance(config)#tunnel-group 10.165.205.222 ipsec-attributes securityappliance(config-tunnel-ipsec)#isakmp keepalive disable
Cisco VPN Client 4.x에 대해 Keepalive 비활성화
IKE keepalive를 비활성화하고, 연결에 해당하는 경우 PCF 파일을 편집하기 위해 문제가 발생하는 클라이언트 PC에서 %System Root% > Program Files > Cisco Systems > VPN Client > Profiles를 선택합니다.
'ForceKeepAlives=0'(기본값)을 'ForceKeepAlives=1'로 변경합니다.
참고: Keepalive는 Cisco 독점 제품이며 타사 디바이스에서 지원되지 않습니다.
대부분의 경우 IPsec VPN 터널이 나타나지 않을 경우 단순 오타가 잘못될 수 있습니다. 예를 들어, 보안 어플라이언스에서 사전 공유 키는 입력한 후 숨겨집니다. 이 난독화 때문에 키가 잘못되었는지 확인할 수 없습니다. 각 VPN 엔드포인트에서 사전 공유 키를 올바르게 입력했는지 확인하십시오. 키가 올바른지 확인하려면 키를 다시 입력하십시오. 이 솔루션은 심층적인 문제 해결을 방지할 수 있는 간단한 솔루션입니다.
Remote Access VPN에서 유효한 그룹 이름 및 사전 공유 키가 CiscoVPN 클라이언트에 입력되었는지 확인합니다. VPN 클라이언트와 헤드엔드 디바이스 간에 그룹 이름/사전 공유 키가 일치하지 않으면 이 오류가 발생할 수 있습니다.
1 12:41:51.900 02/18/06 Sev=Warning/3 IKE/0xE3000056 The received HASH payload cannot be verified 2 12:41:51.900 02/18/06 Sev=Warning/2 IKE/0xE300007D Hash verification failed 3 14:37:50.562 10/05/06 Sev=Warning/2 IKE/0xE3000099 Failed to authenticate peer (Navigator:904) 4 14:37:50.593 10/05/06 Sev=Warning/2 IKE/0xE30000A5 Unexpected SW error occurred while processing Aggressive Mode negotiator:(Navigator:2202) 5 14:44:15.937 10/05/06 Sev=Warning/2 IKE/0xA3000067 Received Unexpected InitialContact Notify (PLMgrNotify:888) 6 14:44:36.578 10/05/06 Sev=Warning/3 IKE/0xE3000056 The received HASH payload cannot be verified 7 14:44:36.593 10/05/06 Sev=Warning/2 IKE/0xE300007D Hash verification failed... may be configured with invalid group password. 8 14:44:36.609 10/05/06 Sev=Warning/2 IKE/0xE3000099 Failed to authenticate peer (Navigator:904) 9 14:44:36.640 10/05/06 Sev=Warning/2 IKE/0xE30000A5 Unexpected SW error occurred while processing Aggressive Mode negotiator:(Navigator:2202)
PIX/ASA 보안 어플라이언스에서 컨피그레이션을 변경하지 않고 사전 공유 키를 복구할 수도 있습니다. PIX/ASA 7.x 참조: 사전 공유 키 복구.
경고: crypto 관련 명령을 제거하면 VPN 터널 중 하나 또는 전체를 다운시킬 수 있습니다. 이 명령을 주의하여 사용하고 이 단계를 수행하기 전에 조직의 변경 제어 정책을 참조하십시오.
다음 명령을 사용하여 IOS에서 피어 10.0.0.1 또는 그룹 vpngroup에 대한 사전 공유 키를 제거하고 다시 입력합니다.
Cisco LAN-to-LAN VPN
router(config)#no crypto isakmp key secretkey address 10.0.0.1 router(config)#crypto isakmp key secretkey address 10.0.0.1
Cisco 원격 액세스 VPN
router(config)#crypto isakmp client configuration group vpngroup router(config-isakmp-group)#no key secretkey router(config-isakmp-group)#key secretkey
다음 명령을 사용하여 PIX/ASA 보안 어플라이언스에서 피어 10.0.0.1에 대한 사전 공유 키 암호 키를 제거하고 다시 입력합니다.
Cisco PIX 6.x
pix(config)#no isakmp key secretkey address 10.0.0.1 pix(config)#isakmp key secretkey address 10.0.0.1
Cisco PIX/ASA 7.x 이상
securityappliance(config)#tunnel-group 10.0.0.1 ipsec-attributes securityappliance(config-tunnel-ipsec)#no pre-shared-key securityappliance(config-tunnel-ipsec)#pre-shared-key secretkey
VPN 터널 시작이 연결 해제됩니다. 이 문제는 I 단계 협상 중 사전 공유 키가 일치하지 않아 발생할 수 있습니다.
show crypto isakmp sa 명령의 MM_WAIT_MSG_6 메시지는 다음 예와 같이 일치하지 않는 사전 공유 키를 나타냅니다.
ASA#show crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 10.7.13.20 Type : L2L Role : initiator Rekey : no State : MM_WAIT_MSG_6
이 문제를 해결하려면 두 어플라이언스에 사전 공유 키를 다시 입력하십시오. 사전 공유 키는 고유해야 하며 일치해야 합니다. 자세한 내용은 사전 공유 키 다시 입력 또는 복구를 참조하십시오.
보안 연결을 지우고 IPsec VPN 문제를 해결하지 않을 경우, VPN 터널 삭제 및 일부 VPN 사이트 장애 발생 등 간헐적인 문제를 해결하기 위해 관련 암호화 맵을 제거하고 다시 적용합니다.
경고: 인터페이스에서 암호화 맵을 제거하면 해당 암호화 맵과 연결된 IPsec 터널이 확실히 중단됩니다. 이 단계를 신중하게 수행하고 계속하기 전에 조직의 변경 제어 정책을 고려하십시오.
Cisco IOS에서 암호화 맵을 제거하고 교체하려면 다음 명령을 사용합니다.
인터페이스에서 암호화 맵을 제거하는 것부터 시작합니다. crypto map 명령의 no 형식을 사용합니다.
router(config-if)#no crypto map mymap
계속해서 no 양식을 사용하여 전체 암호화 맵을 제거합니다.
router(config)#no crypto map mymap 10
피어 10.0.0.1에 대해 인터페이스 Ethernet0/0에서 암호화 맵을 교체합니다. 이 예에서는 필요한 최소 암호화 맵 컨피그레이션을 보여줍니다.
router(config)#crypto map mymap 10 ipsec-isakmp router(config-crypto-map)#match address 101 router(config-crypto-map)#set transform-set mySET router(config-crypto-map)#set peer 10.0.0.1 router(config-crypto-map)#exit router(config)#interface ethernet0/0 router(config-if)#crypto map mymap
PIX 또는 ASA에서 암호화 맵을 제거하고 교체하려면 다음 명령을 사용합니다.
인터페이스에서 암호화 맵을 제거하는 것부터 시작합니다. crypto map 명령의 no 형식을 사용합니다.
securityappliance(config)#no crypto map mymap interface outside
계속해서 no form을 사용하여 다른 암호화 맵 명령을 제거합니다.
securityappliance(config)#no crypto map mymap 10 match address 101 securityappliance(config)#no crypto map mymap set transform-set mySET securityappliance(config)#no crypto map mymap set peer 10.0.0.1
피어 10.0.0.1에 대한 암호화 맵을 바꿉니다. 이 예에서는 필요한 최소 암호화 맵 구성을 보여 줍니다.
securityappliance(config)#crypto map mymap 10 ipsec-isakmp securityappliance(config)#crypto map mymap 10 match address 101 securityappliance(config)#crypto map mymap 10 set transform-set mySET securityappliance(config)#crypto map mymap 10 set peer 10.0.0.1 securityappliance(config)#crypto map mymap interface outside
참고: 암호화 맵을 제거하고 다시 적용하면 헤드엔드의 IP 주소가 변경된 경우에도 연결 문제가 해결됩니다.
sysopt connection permit-ipsec 및 sysopt connection permit-vpn 명령은 IPsec 터널의 패킷 및 페이로드를 통해 보안 어플라이언스에서 인터페이스 ACL을 우회하도록 허용합니다. 보안 어플라이언스에서 종료되는 IPsec 터널은 이러한 명령 중 하나가 활성화되지 않으면 실패할 수 있습니다.
Security Appliance Software Version 7.0 이하에서 이 상황에 대한 관련 sysopt 명령은 sysopt connection permit-ipsec입니다.
Security Appliance Software Version 7.1(1) 이상에서 이 상황에 대한 관련 sysopt 명령은 sysopt connection permit-vpn입니다.
PIX 6.x에서 이 기능은 기본적으로 비활성화되어 있습니다. PIX/ASA 7.0(1) 이상에서 이 기능은 기본적으로 활성화되어 있습니다. 다음 show 명령을 사용하여 해당 sysopt 명령이 디바이스에서 활성화되었는지 확인합니다.
Cisco PIX 6.x
pix# show sysopt no sysopt connection timewait sysopt connection tcpmss 1380 sysopt connection tcpmss minimum 0 no sysopt nodnsalias inbound no sysopt nodnsalias outbound no sysopt radius ignore-secret no sysopt uauth allow-http-cache no sysopt connection permit-ipsec !--- sysopt connection permit-ipsec is disabled no sysopt connection permit-pptp no sysopt connection permit-l2tp no sysopt ipsec pl-compatible
Cisco PIX/ASA 7.x
securityappliance# show running-config all sysopt no sysopt connection timewait sysopt connection tcpmss 1380 sysopt connection tcpmss minimum 0 no sysopt nodnsalias inbound no sysopt nodnsalias outbound no sysopt radius ignore-secret sysopt connection permit-vpn !--- sysopt connection permit-vpn is enabled !--- This device is running 7.2(2)
디바이스에 대해 올바른 sysopt 명령을 활성화하려면 다음 명령을 사용합니다.
Cisco PIX 6.x 및 PIX/ASA 7.0
pix(config)#sysopt connection permit-ipsec
Cisco PIX/ASA 7.1(1) 이상
securityappliance(config)#sysopt connection permit-vpn
참고: sysopt connection 명령을 사용하지 않으려면 필요한 트래픽을 명시적으로 허용해야 합니다. 이 트래픽은 소스에서 대상으로의 흥미로운 트래픽(예: 원격 디바이스의 LAN에서 로컬 디바이스의 LAN으로, 원격 디바이스의 외부 인터페이스에서 로컬 디바이스의 외부 인터페이스로, 외부 ACL에서 "UDP port 500")입니다.
IKE 협상 내에서 IPsec VPN 터널이 실패한 경우 PIX 또는 피어가 피어의 ID를 인식하지 못하여 오류가 발생할 수 있습니다. 두 피어가 IKE를 사용하여 IPsec 보안 연결을 설정하면 각 피어가 ISAKMP ID를 원격 피어로 전송합니다. ISAKMP ID가 설정된 방식에 따라 IP 주소 또는 호스트 이름을 전송합니다. 기본적으로 PIX 방화벽 유닛의 ISAKMP ID는 IP 주소로 설정됩니다. 일반적으로 IKE 협상 실패를 방지하기 위해 보안 어플라이언스와 피어의 ID를 동일한 방법으로 설정합니다.
피어로 전송할 단계 2 ID를 설정하려면 글로벌 컨피그레이션 모드에서 isakmp identity 명령을 사용합니다.
crypto isakmp identity address !--- If the RA or L2L (site-to-site) VPN tunnels connect !--- with pre-shared key as authentication type
또는
crypto isakmp identity auto !--- If the RA or L2L (site-to-site) VPN tunnels connect !--- with ISAKMP negotiation by connection type; IP address for !--- preshared key or cert DN for certificate authentication.
또는
crypto isakmp identity hostname !--- Uses the fully-qualified domain name of !--- the host exchanging ISAKMP identity information (default). !--- This name comprises the hostname and the domain name.
PIX/ASA 컨피그레이션 마이그레이션 툴을 사용하여 PIX에서 ASA로 컨피그레이션을 이동한 후 VPN 터널이 나타나지 않습니다. 이러한 메시지는 로그에 나타납니다.
[IKEv1]: Group = x.x.x.x, IP = x.x.x.x, Stale PeerTblEntry를 찾았습니다. 제거합니다! [IKEv1]: Group = x.x.x.x, IP = x.x.x.x, Removing peer from correlator table failed, no match! [IKEv1]: 그룹 = x.x.x.x, IP = x.x.x, struct_ipsec_delete(): 2단계 SA를 식별할 SPI가 없습니다! [IKEv1]: Group = x.x.x.x, IP = x.x.x.x, Removing peer from correlator table failed, no match!
이 문제는 PIX가 연결을 호스트 이름으로 식별하도록 기본적으로 설정되었기 때문에 ASA가 IP로 식별하는 경우 발생합니다. 이 문제를 해결하려면 아래와 같이 글로벌 컨피그레이션 모드에서 crypto isakmp identity 명령을 사용합니다.
crypto isakmp identity hostname !--- Use the fully-qualified domain name of !--- the host exchanging ISAKMP identity information (default). !--- This name comprises the hostname and the domain name.
Received an unencrypted INVALID_COOKIE 오류 메시지를 받으면 crypto isakmp identity address 명령을 실행하여 문제를 해결합니다.
참고: isakmp identity 명령은 소프트웨어 버전 7.2(1)에서 사용되지 않습니다. 자세한 내용은 Cisco Security Appliance 명령 참조 버전 7.2를 참조하십시오.
유휴 시간 초과가 30분(기본값)으로 설정된 경우 트래픽이 터널을 통과하지 못한 후 30분이 지나면 터널이 삭제됨을 의미합니다. 유휴 시간 제한 설정에 관계없이 30분 후에 VPN 클라이언트의 연결이 끊어지고 PEER_DELETE-IKE_DELETE_UNSPECIFIED 오류가 발생합니다.
유휴 시간 제한 및 세션 시간 제한을 none으로 구성하여 터널이 항상 작동되도록 하고 서드파티 디바이스를 사용해도 터널이 삭제되지 않도록 합니다.
PIX/ASA 7.x 이상
사용자 시간 제한 기간을 구성하려면 group-policy 컨피그레이션 모드 또는 사용자 이름 컨피그레이션 모드에서 vpn-idle-timeout 명령을 입력합니다.
hostname(config)#group-policy DfltGrpPolicy attributes hostname(config-group-policy)#vpn-idle-timeout none
그룹 정책 컨피그레이션 모드 또는 사용자 이름 컨피그레이션 모드에서 vpn-session-timeout 명령을 사용하여 VPN 연결에 대한 최대 시간을 구성합니다.
hostname(config)#group-policy DfltGrpPolicy attributes hostname(config-group-policy)#vpn-session-timeout none
참고: tunnel-all을 구성한 경우 idle-timeout을 구성할 필요가 없습니다. VPN-idle 시간 제한을 구성하더라도 모든 트래픽이 터널을 통과하므로 작동하지 않습니다(tunnel-all이 구성되었으므로). 따라서 흥미로운 트래픽(또는 PC에서 생성되는 트래픽)은 흥미롭고 유휴 시간 초과가 발생하지 않습니다.
Cisco IOS 라우터
IPsec SA 유휴 타이머를 구성하려면 글로벌 컨피그레이션 모드 또는 암호화 맵 컨피그레이션 모드에서 crypto ipsec security-association idle-time 명령을 사용합니다. 기본적으로 IPsec SA 유휴 타이머는 비활성화되어 있습니다.
crypto ipsec security-association idle-time seconds
시간은 초 단위이며, 유휴 타이머로 비활성 피어가 SA를 유지할 수 있습니다. seconds 인수의 유효한 값은 60~86400입니다.
일반적인 IPsec VPN 컨피그레이션에서는 두 개의 액세스 목록이 사용됩니다. 하나의 액세스 목록은 NAT 프로세스에서 VPN 터널로 향하는 트래픽을 제외하는 데 사용됩니다. 다른 액세스 목록은 암호화할 트래픽을 정의합니다. 여기에는 LAN-to-LAN 설정의 암호화 ACL 또는 원격 액세스 구성의 스플릿 터널링 ACL이 포함됩니다. 이러한 ACL이 잘못 구성되거나 누락되면 VPN 터널을 통해 한 방향으로만 트래픽이 이동할 수도 있고 터널을 통해 전혀 전송되지 않을 수도 있습니다.
참고: 암호화 맵 전역 컨피그레이션 모드에서 crypto map match address 명령을 사용하여 암호화 맵을 사용하여 암호화 ACL을 바인딩해야 합니다.
IPsec VPN 컨피그레이션을 완료하는 데 필요한 모든 액세스 목록을 구성했으며 해당 액세스 목록이 올바른 트래픽을 정의하는지 확인하십시오. 이 목록에는 ACL이 IPsec VPN 문제의 원인이라고 의심되는 경우 확인할 수 있는 간단한 내용이 포함되어 있습니다.
NAT 예외 및 암호화 ACL이 올바른 트래픽을 지정하는지 확인합니다.
여러 VPN 터널과 여러 암호화 ACL이 있는 경우 해당 ACL이 중복되지 않도록 합니다.
참고: VPN Concentrator에서는 다음과 같은 로그가 표시될 수 있습니다.
터널 거부됨: IKE 피어가 L2L 정책에 정의된 원격 피어와 일치하지 않습니다.
이 메시지를 피하고 터널을 가동하려면 암호화 ACL이 겹치지 않고 구성된 다른 VPN 터널에서 동일한 흥미로운 트래픽을 사용하지 않는지 확인하십시오.
ACL을 두 번 사용하지 마십시오. NAT Exemption ACL 및 암호화 ACL에서 동일한 트래픽을 지정하더라도 두 개의 다른 액세스 목록을 사용합니다.
원격 액세스 컨피그레이션의 경우 동적 암호화 맵으로 흥미로운 트래픽에 access-list를 사용하지 마십시오. 이로 인해 VPN 클라이언트가 헤드 엔드 디바이스에 연결할 수 없습니다. 원격 액세스 VPN에 대한 암호화 ACL을 잘못 구성한 경우 %ASA-3-713042를 가져올 수 있습니다. IKE Initiator가 정책을 찾을 수 없음: Intf 2 오류 메시지입니다.
참고: VPN Site-to-Site 터널인 경우 액세스 목록을 피어와 일치시켜야 합니다. 피어에서 역순으로 정렬되어야 합니다.
Cisco VPN 클라이언트와 PIX/ASA 간의 원격 액세스 VPN 연결을 설정하는 방법을 보여 주는 샘플 컨피그레이션은 PIX/ASA 7.x 및 Windows 2003 IAS RADIUS를 사용하는 Cisco VPN Client 4.x(Active Directory에 대해) 인증 컨피그레이션 예를 참조하십시오.
디바이스가 NAT 예외 ACL을 사용하도록 구성되어 있는지 확인합니다. 라우터에서 이는 route-map 명령을 사용함을 의미합니다. PIX 또는 ASA에서 nat (0) 명령을 사용함을 의미합니다. LAN-to-LAN 및 원격 액세스 컨피그레이션에 모두 NAT 예외 ACL이 필요합니다.
여기서 IOS 라우터는 NAT에서 192.168.100.0 /24에서 192.168.200.0 /24 또는 192.168.1.0 /24 사이에 전송되는 트래픽을 제외하도록 구성됩니다. 다른 곳으로 향하는 트래픽은 NAT 오버로드의 대상이 됩니다.
access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 110 permit ip 192.168.100.0 0.0.0.255 any route-map nonat permit 10 match ip address 110 ip nat inside source route-map nonat interface FastEthernet0/0 overload
여기서 PIX는 NAT에서 192.168.100.0 /24에서 192.168.200.0 /24 또는 192.168.1.0 /24 간에 전송되는 트래픽을 제외하도록 구성됩니다. 예를 들어, 다른 모든 트래픽은 NAT 오버로드의 영향을 받습니다.
access-list noNAT extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0 access-list noNAT extended permit ip 192.168.100.0 255.255.255.0 192.168.1.0 255.255.255.0 nat (inside) 0 access-list noNAT nat (inside) 1 0.0.0.0 0.0.0.0 global (outside) 1 interface
참고: NAT 면제 ACL은 IP 주소 또는 IP 네트워크(예: 위에서 언급한 예(access-list noNAT)에서만 작동하며 암호화 맵 ACL과 동일해야 합니다. NAT 예외 ACL은 포트 번호(예: 23, 25 등)에서 작동하지 않습니다.
참고: VPN을 통해 네트워크 간 음성 통화가 전달되는 VOIP 환경에서는 NAT 0 ACL이 올바르게 구성되지 않은 경우 음성 통화가 작동하지 않습니다. VOIP 트러블슈팅을 자세히 살펴보기 전에 VPN 연결 상태를 확인하는 것이 좋습니다. NAT 제외 ACL의 컨피그레이션 오류 때문일 수 있기 때문입니다.
참고: NAT 면제(nat 0) ACL에 잘못된 컨피그레이션이 있는 경우 표시되는 오류 메시지를 받을 수 있습니다.
%PIX-3-305005: No translation group found for icmp src outside:192.168.100.41 dst inside:192.168.200.253 (type 8, code 0)
%ASA-3-305005: No translation group found for udp src Outside:x.x.x.x/p dst Inside:y.y.y.y/p
참고: 잘못된 예:
access-list noNAT extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0 eq 25
NAT 예외(nat 0)가 작동하지 않을 경우 이를 제거하고 NAT 0 명령을 실행하여 해당 명령이 작동되도록 합니다.
ACL이 뒤로 이동되지 않고 올바른 유형인지 확인합니다.
LAN-to-LAN 컨피그레이션에 대한 암호화 및 NAT 예외 ACL은 ACL이 구성된 디바이스의 관점에서 작성해야 합니다. 즉, ACL은 서로 미러링해야 합니다. 이 예에서 LAN-to-LAN 터널은 192.168.100.0 /24에서 /24 사이에 설정됩니다.
라우터 A 암호화 ACL
access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
라우터 B 암호화 ACL
access-list 110 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
참고: 여기에 설명되어 있지 않지만 PIX 및 ASA Security Appliances에도 동일한 개념이 적용됩니다.
PIX/ASA에서 원격 액세스 컨피그레이션에 대한 스플릿 터널 ACL은 VPN 클라이언트가 액세스해야 하는 네트워크에 대한 트래픽을 허용하는 표준 액세스 목록이어야 합니다. IOS 라우터는 스플릿 터널에 확장 ACL을 사용할 수 있습니다.
참고: 확장 액세스 목록에서 스플릿 터널링 ACL의 소스에서 'any'를 사용하려면 스플릿 터널링 비활성화와 유사합니다. 스플릿 터널링에 대해 확장 ACL의 소스 네트워크만 사용합니다.
참고: 올바른 예:
access-list 140 permit ip 10.1.0.0 0.0.255.255 10.18.0.0 0.0.255.255
참고: 잘못된 예:
access-list 140 permit ip any 10.18.0.0 0.0.255.255
Cisco IOS
router(config)#access-list 10 permit ip 192.168.100.0 router(config)#crypto isakmp client configuration group MYGROUP router(config-isakmp-group)#acl 10
Cisco PIX 6.x
pix(config)#access-list 10 permit 192.168.100.0 255.255.255.0 pix(config)#vpngroup MYGROUP split-tunnel 10
Cisco PIX/ASA 7.x
securityappliance(config)#access-list 10 standard permit 192.168.100.0 255.255.255.0 securityappliance(config)#group-policy MYPOLICY internal securityappliance(config)#group-policy MYPOLICY attributes securityappliance(config-group-policy)#split-tunnel-policy tunnelspecified securityappliance(config-group-policy)#split-tunnel-network-list value 10
이 오류는 NAT ACL이 잘못 구성되었거나 ASA에서 구성되지 않은 경우 ASA 8.3에서 발생합니다.
%ASA-5-305013: 전달 및 역방향 플로우에 대해 일치하는 비대칭 NAT 규칙 외부 udp src에 대한 연결: x.x.x.x/xxxxx dst inside:x.x.x.x.x/xx는 NAT 역경로 장애로 인해 거부됨
이 문제를 해결하려면 구성이 올바른지 확인하거나 설정이 잘못된 경우 다시 구성하십시오.
사이트 간 VPN 터널에 대한 ASA 버전 8.3의 NAT 예외 컨피그레이션:
버전 8.3을 사용하는 두 ASA가 모두 포함된 HOASA와 BOASA 간에 사이트 간 VPN을 설정해야 합니다. HOASA의 NAT 예외 컨피그레이션은 다음과 같습니다.
object network obj-local subnet 192.168.100.0 255.255.255.0 object network obj-remote subnet 192.168.200.0 255.255.255.0 nat (inside,outside) 1 source static obj-local obj-local destination static obj-remote objremote
IPsec 터널이 UP이 아니면 ISAKMP 정책이 원격 피어와 일치하는지 확인합니다. 이 ISAKMP 정책은 사이트 간(L2L) 및 원격 액세스 IPsec VPN에 모두 적용됩니다.
Cisco VPN 클라이언트 또는 Site-to-Site VPN이 원격 엔드 디바이스로 터널을 설정할 수 없는 경우 두 피어에 동일한 암호화, 해시, 인증 및 Diffie-Hellman 매개변수 값이 포함되어 있는지, 원격 피어 정책이 이니시에이터가 전송한 정책의 수명보다 작거나 같은 수명을 지정했는지 확인합니다. 수명이 동일하지 않으면 보안 어플라이언스는 더 짧은 수명을 사용합니다. 허용 가능한 일치가 없는 경우 ISAKMP는 협상을 거부하며 SA가 설정되지 않습니다.
"Error: Unable to remove Peer TblEntry, Removing peer from peer table failed, no match!"
자세한 로그 메시지는 다음과 같습니다.
4|Mar 24 2010 10:21:50|713903: IP = X.X.X.X, Error: Unable to remove PeerTblEntry 3|Mar 24 2010 10:21:50|713902: IP = X.X.X.X, Removing peer from peer table failed, no match! 3|Mar 24 2010 10:21:50|713048: IP = X.X.X.X, Error processing payload: Payload ID: 1 4|Mar 24 2010 10:21:49|713903: IP = X.X.X.X, Information Exchange processing failed 5|Mar 24 2010 10:21:49|713904: IP = X.X.X.X, Received an un-encrypted NO_PROPOSAL_CHOSEN notify message, dropping
이 메시지는 일반적으로 일치하지 않는 ISAKMP 정책 또는 누락된 NAT 0 문으로 인해 나타납니다.
또한 다음 메시지가 나타납니다.
Error Message %PIX|ASA-6-713219: Queueing KEY-ACQUIRE messages to be processed when P1 SA is complete.
이 메시지는 1단계가 완료된 후 2단계 메시지가 대기열에 추가됨을 나타냅니다. 이 오류 메시지는 다음 이유 중 하나로 인해 발생할 수 있습니다.
모든 피어의 단계가 일치하지 않습니다.
ACL은 피어가 1단계를 완료하지 못하도록 차단합니다.
이 메시지는 일반적으로 피어 테이블에서 피어 제거 실패 후에 발생합니다. 일치하지 않습니다! 오류 메시지.
Cisco VPN Client가 헤드 엔드 디바이스를 연결할 수 없는 경우 ISAKMP 정책의 불일치가 발생할 수 있습니다. 헤드엔드 디바이스는 Cisco VPN 클라이언트의 IKE 제안 중 하나와 일치해야 합니다.
참고: PIX/ASA에서 사용되는 ISAKMP 정책 및 IPsec Transform-set의 경우 Cisco VPN 클라이언트는 DES와 SHA의 조합으로 정책을 사용할 수 없습니다. DES를 사용하는 경우 해시 알고리즘에 MD5를 사용해야 합니다. 또는 SHA가 있는 3DES와 MD5가 있는 3DES 조합을 사용할 수도 있습니다.
라우팅은 거의 모든 IPsec VPN 구축에서 중요한 부분입니다. 라우터, PIX 또는 ASA Security Appliance와 같은 암호화 디바이스에 VPN 터널을 통해 트래픽을 전송할 수 있는 적절한 라우팅 정보가 있는지 확인하십시오. 또한 게이트웨이 디바이스 뒤에 다른 라우터가 있는 경우 해당 라우터가 터널에 연결하는 방법과 다른 쪽에 있는 네트워크를 알고 있는지 확인하십시오.
VPN 구축에서 라우팅의 주요 구성 요소 중 하나는 RRI(Reverse Route Injection)입니다. RRI는 원격 네트워크 또는 VPN 클라이언트에 대한 동적 항목을 VPN 게이트웨이의 라우팅 테이블에 배치합니다. 이러한 경로는 RRI에 의해 설치된 경로를 EIGRP 또는 OSPF와 같은 라우팅 프로토콜을 통해 재배포할 수 있으므로, 해당 경로가 설치된 디바이스와 네트워크의 다른 디바이스에 유용합니다.
LAN-to-LAN 컨피그레이션에서는 각 엔드포인트가 트래픽을 암호화해야 하는 네트워크에 대한 경로 또는 경로를 갖는 것이 중요합니다. 이 예에서 라우터 A는 라우터 B에서 10.89.129.2까지의 네트워크에 대한 경로를 가져야 합니다. 라우터 B에는 192.168.100.0 /24와 유사한 경로가 있어야 합니다.
각 라우터가 적절한 경로를 인식하도록 하는 첫 번째 방법은 각 대상 네트워크에 대한 고정 경로를 구성하는 것입니다. 예를 들어, 라우터 A는 다음과 같은 경로 문을 구성할 수 있습니다.
ip route 0.0.0.0 0.0.0.0 172.22.1.1 ip route 192.168.200.0 255.255.255.0 10.89.129.2 ip route 192.168.210.0 255.255.255.0 10.89.129.2 ip route 192.168.220.0 255.255.255.0 10.89.129.2 ip route 192.168.230.0 255.255.255.0 10.89.129.2
라우터 A가 PIX 또는 ASA로 대체된 경우 컨피그레이션은 다음과 같을 수 있습니다.
route outside 0.0.0.0 0.0.0.0 172.22.1.1 route outside 192.168.200.0 255.255.255.0 10.89.129.2 route outside 192.168.200.0 255.255.255.0 10.89.129.2 route outside 192.168.200.0 255.255.255.0 10.89.129.2 route outside 192.168.200.0 255.255.255.0 10.89.129.2
각 엔드포인트 뒤에 많은 네트워크가 있을 경우 고정 경로의 컨피그레이션을 유지하기 어렵습니다. 대신 설명된 대로 역방향 경로 삽입을 사용하는 것이 좋습니다. RRI는 암호화 ACL에 나열된 모든 원격 네트워크의 라우팅 테이블 경로에 배치됩니다. 예를 들어 라우터 A의 암호화 ACL 및 암호화 맵은 다음과 같을 수 있습니다.
access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.210.0 0.0.0.255 access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.220.0 0.0.0.255 access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.230.0 0.0.0.255 crypto map myMAP 10 ipsec-isakmp set peer 10.89.129.2 reverse-route set transform-set mySET match address 110
라우터 A가 PIX 또는 ASA로 대체된 경우 컨피그레이션은 다음과 같을 수 있습니다.
access-list cryptoACL extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0 access-list cryptoACL extended permit ip 192.168.100.0 255.255.255.0 192.168.210.0 255.255.255.0 access-list cryptoACL extended permit ip 192.168.100.0 255.255.255.0 192.168.220.0 255.255.255.0 access-list cryptoACL extended permit ip 192.168.100.0 255.255.255.0 192.168.230.0 255.255.255.0 crypto map myMAP 10 match address cryptoACL crypto map myMAP 10 set peer 10.89.129.2 crypto map myMAP 10 set transform-set mySET crypto map mymap 10 set reverse-route
원격 액세스 구성에서 라우팅 변경이 항상 필요한 것은 아닙니다. 그러나 VPN 게이트웨이 라우터 또는 Security Appliance 뒤에 다른 라우터가 있는 경우 해당 라우터는 VPN 클라이언트에 대한 경로를 어떻게든 파악해야 합니다. 이 예에서는 VPN 클라이언트가 연결할 때 10.0.0.0/24 범위에서 주소를 제공한다고 가정합니다.
게이트웨이와 다른 라우터 간에 라우팅 프로토콜이 사용되지 않는 경우 라우터 2:
ip route 10.0.0.0 255.255.255.0 192.168.100.1
게이트웨이와 다른 라우터 간에 EIGRP 또는 OSPF와 같은 라우팅 프로토콜이 사용 중인 경우 설명된 대로 역방향 경로 삽입을 사용하는 것이 좋습니다. RRI는 VPN 클라이언트에 대한 경로를 게이트웨이의 라우팅 테이블에 자동으로 추가합니다. 그런 다음 이러한 경로를 네트워크의 다른 라우터에 배포할 수 있습니다.
Cisco IOS 라우터:
crypto dynamic-map dynMAP 10 set transform-set mySET reverse-route crypto map myMAP 60000 ipsec-isakmp dynamic dynMAP
Cisco PIX 또는 ASA Security Appliance:
crypto dynamic-map dynMAP 10 set transform-set mySET crypto dynamic-map dynMAP 10 set reverse-route crypto map myMAP 60000 ipsec-isakmp dynamic dynMAP
참고: VPN 클라이언트에 할당된 IP 주소 풀이 헤드 엔드 디바이스의 내부 네트워크와 겹치는 경우 라우팅 문제가 발생합니다. 자세한 내용은 Overlapping Private Networks 섹션을 참조하십시오.
양쪽 끝에 있는 변형 집합에서 사용할 IPsec 암호화 및 해시 알고리즘이 동일한지 확인합니다. 자세한 내용은 Cisco Security Appliance 컨피그레이션 가이드의 명령 참조 섹션을 참조하십시오.
참고: PIX/ASA에서 사용되는 ISAKMP 정책 및 IPsec Transform-set의 경우 Cisco VPN 클라이언트는 DES와 SHA의 조합으로 정책을 사용할 수 없습니다. DES를 사용하는 경우 해시 알고리즘에 MD5를 사용해야 합니다. 또는 SHA가 있는 3DES와 MD5가 있는 3DES 조합을 사용할 수도 있습니다.
고정 피어와 동적 피어가 동일한 암호화 맵에서 구성된 경우 암호화 맵 엔트리의 순서가 매우 중요합니다. 동적 암호화 맵 엔트리의 시퀀스 번호는 다른 모든 고정 암호화 맵 엔트리보다 커야 합니다. 정적 항목의 번호가 동적 항목보다 높으면 해당 피어와의 연결이 실패하고 표시된 대로 디버그가 나타납니다.
IKEv1]: Group = x.x.x.x, IP = x.x.x.x, QM FSM error (P2 struct &0x49ba5a0, mess id 0xcd600011)! [IKEv1]: Group = x.x.x.x, IP = x.x.x.x, Removing peer from correlator table failed, no match!
참고: Security Appliance의 각 인터페이스에 대해 하나의 동적 암호화 맵만 허용됩니다.
다음은 정적 엔트리와 동적 엔트리를 포함하는 올바른 번호의 암호화 맵의 예입니다. 동적 엔트리는 가장 높은 시퀀스 번호를 가지며 고정 엔트리를 추가할 공간이 남아 있습니다.
crypto dynamic-map cisco 20 set transform-set myset crypto map mymap 10 match address 100 crypto map mymap 10 set peer 172.16.77.10 crypto map mymap 10 set transform-set myset crypto map mymap interface outside crypto map mymap 60000 ipsec-isakmp dynamic cisco
참고: 암호화 맵 이름은 대/소문자를 구분합니다.
참고: 이 오류 메시지는 동적 암호화 MAN 시퀀스가 올바르지 않아 피어가 잘못된 암호화 맵을 적중하거나, 흥미로운 트래픽을 정의하는 일치하지 않는 암호화 액세스 목록을 통해서도 확인할 수 있습니다. %ASA-3-713042: IKE Initiator가 정책을 찾을 수 없음:
동일한 인터페이스에서 여러 VPN 터널이 종료되는 시나리오에서 동일한 이름(인터페이스당 하나의 암호화 맵만 허용됨)으로 암호화 맵을 생성해야 하지만 시퀀스 번호가 다릅니다. 이는 라우터, PIX 및 ASA에 적용됩니다.
동일한 인터페이스에 다른 시퀀스 번호가 있는 동일한 암호화 맵에 대한 허브 PIX 컨피그레이션에 대한 자세한 내용은 VPN 클라이언트를 사용하여 허브와 원격 PIX 간 IPsec 구성 및 확장 인증을 참조하십시오. 마찬가지로 PIX/ASA 7.X를 참조하십시오. L2L 및 원격 액세스 VPN 시나리오 모두에 대한 암호화 맵 컨피그레이션에 대해 자세히 알아보려면 기존 L2L VPN에 새 터널 또는 원격 액세스를 추가합니다.
PIX/ASA Security Appliance 7.x LAN-to-LAN(L2L) IPsec VPN 컨피그레이션의 경우 tunnel-group <name> type ipsec-l2l의 IPsec 레코드 데이터베이스 생성 및 관리를 위해 터널 그룹의<name>을 터널 그룹 IP 주소(원격 터널 끝)로 지정해야 합니다. 피어 IP 주소는 터널 그룹 이름 및 Crypto map set address 명령에서 일치해야 합니다. ASDM으로 VPN을 구성하는 동안 올바른 피어 IP 주소로 터널 그룹 이름이 자동으로 생성되었습니다. 피어 IP 주소가 올바르게 구성되지 않은 경우 로그에 이 메시지가 포함될 수 있습니다. 이 메시지는 피어 IP 주소의 올바른 컨피그레이션으로 해결할 수 있습니다.
[IKEv1]: Group = DefaultL2LGroup, IP = x.x.x.x, ERROR, had problems decrypting packet, probably due to mismatched pre-shared key. Aborting
PIX 6.x LAN-to-LAN(L2L) IPsec VPN 컨피그레이션에서 Peer IP 주소(원격 터널 끝)는 isakmp 키 주소와 crypto map의 set peer 명령을 일치해야 IPsec VPN 연결이 성공적입니다.
ASA 암호화 컨피그레이션에서 피어 IP 주소가 올바르게 구성되지 않은 경우 ASA는 VPN 터널을 설정할 수 없으며 MM_WAIT_MSG4 스테이지에서만 중지됩니다. 이 문제를 해결하려면 컨피그레이션에서 피어 IP 주소를 수정하십시오.
다음은 VPN 터널이 MM_WAIT_MSG4 상태에서 정지될 때 show crypto isakmp sa 명령의 출력입니다.
hostname#show crypto isakmp sa 1 IKE Peer: XX.XX.XX.XX Type : L2L Role : initiator Rekey : no State : MM_WAIT_MSG4
%PIX|ASA-3-713206: Tunnel Rejected: Conflicting protocols specified by tunnel-group and group-policy
그룹 정책에 지정된 허용 터널이 터널 그룹 컨피그레이션에서 허용되는 터널과 다르기 때문에 터널이 삭제될 때 메시지가 나타납니다.
group-policy hf_group_policy attributes vpn-tunnel-protocol l2tp-ipsec username hfremote attributes vpn-tunnel-protocol l2tp-ipsec Both lines should read: vpn-tunnel-protocol ipsec l2tp-ipsec
기본 그룹 정책의 기존 프로토콜에 대해 기본 그룹 정책에서 IPSec을 활성화합니다.
group-policy DfltGrpPolicy attributes vpn-tunnel-protocol L2TP-IPSec IPSec webvpn
동일한 암호화 맵에서 LAN-to-LAN 터널과 원격 액세스 VPN 터널이 구성된 경우 XAUTH 정보를 입력하라는 LAN-to-LAN 피어가 표시되고 show crypto isakmp sa 명령의 출력에서 "CONF_XAUTH"와 함께 LAN-to-LAN 터널이 실패합니다.
다음은 SA 출력의 예입니다.
Router#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status X.X.X.X Y.Y.Y.Y CONF_XAUTH 10223 0 ACTIVE X.X.X.X Z.Z.Z.Z CONF_XAUTH 10197 0 ACTIVE
참고: 이 문제는 Cisco IOS 및 PIX 6.x에만 적용됩니다. 반면 PIX/ASA 7.x는 터널 그룹을 사용하므로 이 문제의 영향을 받지 않습니다.
isakmp 키를 입력할 때 no-xauth 키워드를 사용하여 디바이스에서 피어에 XAUTH 정보(사용자 이름 및 비밀번호)를 묻지 않습니다. 이 키워드는 고정 IPsec 피어에 대해 XAUTH를 비활성화합니다. 동일한 암호화 맵에 L2L 및 RA VPN이 모두 구성된 디바이스에서 이와 유사한 명령을 입력합니다.
router(config)#crypto isakmp key cisco123 address 172.22.1.164 no-xauth
PIX/ASA 7.x가 Easy VPN Server 역할을 하는 시나리오에서 Xauth 문제로 인해 Easy VPN 클라이언트가 헤드엔드에 연결할 수 없습니다. 다음과 같이 문제를 해결하려면 PIX/ASA에서 사용자 인증을 비활성화합니다.
ASA(config)#tunnel-group example-group type ipsec-ra ASA(config)#tunnel-group example-group ipsec-attributes ASA(config-tunnel-ipsec)#isakmp ikev1-user-authentication none
isakmp ikev1-user-authentication 명령에 대한 자세한 내용은 이 문서의 기타 섹션을 참조하십시오.
VPN 풀에 할당된 IP 주소의 범위가 충분하지 않을 경우 두 가지 방법으로 IP 주소의 가용성을 확장할 수 있습니다.
기존 범위를 제거하고 새 범위를 정의합니다. 예를 들면 다음과 같습니다.
CiscoASA(config)#no ip local pool testvpnpool 10.76.41.1-10.76.41.254 CiscoASA(config)#ip local pool testvpnpool 10.76.41.1-10.76.42.254
연속되지 않은 서브넷을 VPN 풀에 추가할 경우 두 개의 개별 VPN 풀을 정의한 다음 "tunnel-group attributes"에서 순서대로 지정할 수 있습니다. 예를 들면 다음과 같습니다.
CiscoASA(config)#ip local pool testvpnpoolAB 10.76.41.1-10.76.42.254 CiscoASA(config)#ip local pool testvpnpoolCD 10.76.45.1-10.76.45.254 CiscoASA(config)#tunnel-group test type remote-access CiscoASA(config)#tunnel-group test general-attributes CiscoASA(config-tunnel-general)#address-pool (inside) testvpnpoolAB testvpnpoolCD CiscoASA(config-tunnel-general)#exit
ASA가 이 명령에 풀이 나타나는 순서대로 이러한 풀에서 주소를 할당하므로 풀을 지정하는 순서는 매우 중요합니다.
참고: group-policy address-pools 명령의 address-pools 설정은 항상 tunnel-group address-pool 명령의 로컬 풀 설정을 재정의합니다.
VPN 연결을 통해 레이턴시 문제가 발생할 경우 다음을 확인하여 문제를 해결하십시오.
패킷의 MSS를 더 줄일 수 있는지 확인합니다.
IPsec/udp 대신 IPsec/tcp를 사용하는 경우 preserve-vpn-flow를 구성합니다.
Cisco ASA를 다시 로드합니다.
Cisco VPN 클라이언트는 X-auth가 Radius 서버와 함께 사용될 때 인증할 수 없습니다.
문제는 xauth 시간이 초과되었다는 것입니다. 이 문제를 해결하려면 AAA 서버의 시간 초과 값을 늘립니다.
예를 들면 다음과 같습니다.
Hostname(config)#aaa-server test protocol radius hostname(config-aaa-server-group)#aaa-server test host 10.2.3.4 hostname(config-aaa-server-host)#timeout 10
Cisco VPN 클라이언트는 X-auth가 Radius 서버와 함께 사용될 때 인증할 수 없습니다.
처음에는 인증이 제대로 작동하는지 확인합니다. 문제를 좁히려면 먼저 ASA에서 로컬 데이터베이스를 사용하여 인증을 확인합니다.
tunnel-group tggroup general-attributes authentication-server-group none authentication-server-group LOCAL exit
이 방법이 제대로 작동하면 문제가 Radius 서버 컨피그레이션과 관련되어야 합니다.
ASA에서 Radius 서버의 연결을 확인합니다. ping이 아무런 문제 없이 작동하는 경우 ASA의 Radius 관련 컨피그레이션과 Radius 서버의 데이터베이스 컨피그레이션을 확인합니다.
radius 관련 문제를 트러블슈팅하려면 debug radius 명령을 사용할 수 있습니다. 샘플 디버그 반지름 출력은 이 샘플 출력을 참조하십시오.
참고: ASA에서 debug 명령을 사용하기 전에 다음 설명서를 참조하십시오. 경고 메시지.
Cisco VPN 클라이언트 사용자는 헤드엔드 VPN 디바이스와의 연결을 시도할 때 이 오류가 발생할 수 있습니다.
"VPN 클라이언트는 첫 번째 시도에 연결을 자주 끊습니다" 또는 "보안 VPN 연결이 피어에 의해 종료되었습니다. 이유 433." 또는 "Secure VPN Connection terminated by Peer Reason 433: (Reason Not Specified by Peer)" 또는 "네트워크 또는 브로드캐스트 IP 주소를 할당하려고 시도한 경우 풀에서 (x.x.x.x) 제거"
ASA/PIX, Radius 서버, DHCP 서버 또는 DHCP 서버 역할을 하는 RADIUS 서버를 통해 IP 풀 할당에 문제가 있을 수 있습니다. netmask 및 IP 주소가 올바른지 확인하려면 debug crypto 명령을 사용합니다. 또한 풀에 네트워크 주소와 브로드캐스트 주소가 포함되어 있지 않은지 확인합니다. RADIUS 서버는 클라이언트에 적절한 IP 주소를 할당할 수 있어야 합니다.
이 문제는 확장 인증 실패로 인해 발생합니다. 이 오류를 해결하려면 AAA 서버를 확인해야 합니다. 서버 및 클라이언트에서 서버 인증 비밀번호를 확인하고 AAA 서버를 다시 로드하면 이 문제가 해결될 수 있습니다.
이 문제에 대한 또 다른 해결 방법은 위협 탐지 기능을 비활성화하는 것입니다. 불완전한 여러 SA(Security Associations)에 대해 여러 재전송이 있을 때, 위협 탐지 기능이 활성화된 ASA는 스캔 공격이 발생하고 VPN 포트가 주 범인으로 표시된다고 생각합니다. 위협 탐지 기능을 비활성화하십시오. 그러면 ASA 처리에 많은 오버헤드가 발생할 수 있습니다. 위협 탐지를 비활성화하려면 다음 명령을 사용합니다.
no threat-detection basic-threat no threat-detection scanning-threat shun no threat-detection statistics no threat-detection rate
이 기능에 대한 자세한 내용은 위협 탐지를 참조하십시오.
참고: 이 옵션을 사용하여 실제 문제가 해결되는지 확인할 수 있습니다. Cisco ASA에서 위협 탐지를 비활성화하면 검사 시도 완화, DoS with Invalid SPI, Application Inspection에 실패한 패킷, Incomplete Sessions와 같은 여러 보안 기능이 실제로 저하되는지 확인합니다.
이 문제는 변형 집합이 제대로 구성되지 않은 경우에도 발생합니다. 변형 집합을 올바르게 구성하면 문제가 해결됩니다.
원격 액세스 사용자는 VPN에 연결되면 인터넷에 연결되지 않습니다.
원격 액세스 사용자는 동일한 디바이스의 다른 VPN 뒤에 있는 리소스에 액세스할 수 없습니다.
원격 액세스 사용자는 로컬 네트워크에만 액세스할 수 있습니다.
이 문제를 해결하려면 다음 솔루션을 사용해 보십시오.
VPN 클라이언트가 VPN 헤드엔드 디바이스(PIX/ASA/IOS 라우터)를 사용하여 IPsec 터널을 설정하면 VPN 클라이언트 사용자는 INSIDE 네트워크(10.10.10.0/24) 리소스에 액세스할 수 있지만 DMZ 네트워크(10.1.1.0/24)에 액세스할 수 없습니다.
다이어그램
DMZ 네트워크의 리소스에 액세스하려면 Split Tunnel, NO NAT 컨피그레이션이 헤드 엔드 디바이스에 추가되었는지 확인합니다.
예
ASA/PIX |
---|
ciscoasa#show running-config !--- Split tunnel for the inside network access access-list vpnusers_spitTunnelAcl permit ip 10.10.10.0 255.255.0.0 any !--- Split tunnel for the DMZ network access access-list vpnusers_spitTunnelAcl permit ip 10.1.1.0 255.255.0.0 any !--- Create a pool of addresses from which IP addresses are assigned !--- dynamically to the remote VPN Clients. ip local pool vpnclient 192.168.1.1-192.168.1.5 !--- This access list is used for a nat zero command that prevents !--- traffic which matches the access list from undergoing NAT. !--- No Nat for the DMZ network. access-list nonat-dmz permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0 !--- No Nat for the Inside network. access-list nonat-in permit ip 10.10.10.0 255.255.255.0 192.168.1.0 255.255.255.0 !--- NAT 0 prevents NAT for networks specified in the ACL nonat . nat (DMZ) 0 access-list nonat-dmz nat (inside) 0 access-list nonat-in |
ASA 버전 8.3 구성:
이 컨피그레이션에서는 VPN 사용자가 DMZ 네트워크에 액세스할 수 있도록 DMZ 네트워크에 대한 NAT 예외를 구성하는 방법을 보여 줍니다.
object network obj-dmz subnet 10.1.1.0 255.255.255.0 object network obj-vpnpool subnet 192.168.1.0 255.255.255.0 nat (inside,dmz) 1 source static obj-dmz obj-dmz destination static obj-vpnpool obj-vpnpool
NAT 컨피그레이션에 대한 새 항목을 추가한 후 NAT 변환을 지웁니다.
Clear xlate Clear local
확인:
터널이 설정된 경우 Cisco VPN Client로 이동하여 DMZ 및 INSIDE 네트워크 모두에 대해 보안 경로가 표시되는지 확인하려면 Status(상태) > Route Details(경로 세부사항)를 선택합니다.
PIX/ASA 7.x 참조: DMZ(Demilitarized Zone) 네트워크에 있는 메일 서버에 액세스하기 위해 PIX 방화벽을 설정하는 방법에 대한 자세한 내용은 DMZ 컨피그레이션 예제의 Mail Server Access를 참조하십시오.
PIX/ASA 7.x 참조: 기존 L2L VPN에 새 터널 또는 원격 액세스를 추가하여 이미 존재하는 L2L VPN 구성에 새 VPN 터널 또는 원격 액세스 VPN을 추가하는 데 필요한 단계를 제공합니다.
PIX/ASA 7.x 참조: ASA 컨피그레이션 예제의 VPN 클라이언트에 대해 스플릿 터널링을 허용하여 VPN 클라이언트가 Cisco ASA(Adaptive Security Appliance) 5500 Series Security Appliance로 터널링되는 동안 인터넷에 액세스할 수 있는 방법에 대한 단계별 지침을 제공합니다.
Cisco VPN Client(4.x for Windows)와 PIX 500 Series Security Appliance 7.x 간의 원격 액세스 VPN 연결을 설정하는 방법에 대한 자세한 내용은 Windows 2003 IAS RADIUS를 사용하는 PIX/ASA 7.x 및 Cisco VPN Client 4.x(Active Directory에 대해) 인증 컨피그레이션 예를 참조하십시오.
터널이 설정된 후 VPN 클라이언트가 DNS를 확인할 수 없는 경우 헤드엔드 디바이스(ASA/PIX)의 DNS 서버 컨피그레이션이 문제가 될 수 있습니다. 또한 VPN 클라이언트와 DNS 서버 간의 연결을 확인합니다. DNS 서버 컨피그레이션은 그룹 정책에 따라 구성되어야 하며 터널 그룹 일반 특성의 그룹 정책에 적용되어야 합니다. 예를 들면 다음과 같습니다.
!--- Create the group policy named vpn3000 and !--- specify the DNS server IP address(172.16.1.1) !--- and the domain name(cisco.com) in the group policy. group-policy vpn3000 internal group-policy vpn3000 attributes dns-server value 172.16.1.1 default-domain value cisco.com !--- Associate the group policy(vpn3000) to the tunnel group !--- using the default-group-policy. tunnel-group vpn3000 general-attributes default-group-policy vpn3000
VPN 클라이언트가 이름으로 내부 서버를 연결할 수 없음
VPN 클라이언트가 원격 또는 헤드 엔드 내부 네트워크의 호스트 또는 서버를 이름으로 ping할 수 없습니다. 이 문제를 해결하려면 ASA에서 split-dns 구성을 활성화해야 합니다.
스플릿 터널링을 사용하면 원격 액세스 IPsec 클라이언트가 IPsec 터널을 통해 암호화된 형식으로 패킷을 조건부로 전송하거나, 해독된 일반 텍스트 형식으로 네트워크 인터페이스에 패킷을 리디렉션하여 최종 대상으로 라우팅할 수 있습니다. 스플릿 터널링은 기본적으로 비활성화되어 있으며, 이는 tunnelall 트래픽입니다.
split-tunnel-policy {tunnelall | tunnelspecified | excludespecified}
참고: 이 옵션은 EZVPN 클라이언트가 아니라 Cisco VPN 클라이언트에 대해서만 지원됩니다.
ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
스플릿 터널링의 자세한 컨피그레이션 예는 다음 문서를 참조하십시오.
이 기능은 인터페이스로 들어가지만 동일한 인터페이스에서 라우팅되는 VPN 트래픽에 유용합니다. 예를 들어 보안 어플라이언스가 허브이고 원격 VPN 네트워크가 스포크인 허브 및 스포크 VPN 네트워크가 있는 허브가 있는 경우 한 스포크가 다른 스포크와 통신하려면 트래픽이 보안 어플라이언스로 이동한 다음 다른 스포크로 다시 나가야 합니다.
트래픽이 동일한 인터페이스로 들어오고 나가도록 허용하려면 same-security-traffic 컨피그레이션을 사용합니다.
securityappliance(config)#same-security-traffic permit intra-interface
원격 액세스 사용자는 VPN에 연결되며 로컬 네트워크에만 연결할 수 있습니다.
자세한 컨피그레이션 예는 PIX/ASA 7.x를 참조하십시오. VPN 클라이언트에 대한 로컬 LAN 액세스를 허용합니다.
문제
터널 설정 후 내부 네트워크에 액세스할 수 없는 경우 헤드 엔드 디바이스 뒤의 내부 네트워크와 겹치는 VPN 클라이언트에 할당된 IP 주소를 확인합니다.
솔루션
VPN 클라이언트에 할당할 풀의 IP 주소, 헤드 엔드 장치의 내부 네트워크 및 VPN 클라이언트 내부 네트워크가 서로 다른 네트워크에 있어야 합니다. 서브넷이 서로 다른 동일한 주 네트워크를 할당할 수 있지만 라우팅 문제가 발생하는 경우도 있습니다.
자세한 예는 다이어그램 및 DMZ에서 서버에 액세스할 수 없음 섹션의 예를 참조하십시오.
ASA/PIX에 연결할 수 있는 VPN 클라이언트는 3개뿐입니다. 네 번째 클라이언트에 대한 연결이 실패합니다. 실패 시 이 오류 메시지가 표시됩니다.
Secure VPN Connection terminated locally by the client. Reason 413: User Authentication failed.
tunnel rejected; the maximum tunnel count has been reached
대부분의 경우 이 문제는 그룹 정책 및 최대 세션 제한 내에서 동시 로그인 설정과 관련이 있습니다.
이 문제를 해결하려면 다음 솔루션을 사용해 보십시오.
자세한 내용은 Cisco ASA 5500 Series, 버전 5.2에 대한 Selected ASDM VPN Configuration Procedures의 Configuring Group Policies(그룹 정책 구성) 섹션을 참조하십시오.
ASDM에서 Inherit(상속) 확인란을 선택하면 사용자에 대해 기본 동시 로그인 수만 허용됩니다. 동시 로그인의 기본값은 3입니다.
이 문제를 해결하려면 동시 로그인 값을 늘리십시오.
ASDM을 시작한 다음 Configuration(구성) > VPN > Group Policy(그룹 정책)로 이동합니다.
적절한 그룹을 선택하고 Edit 버튼을 클릭합니다.
General(일반) 탭에서 Connection Settings(연결 설정) 아래 Simultaneous Logins(동시 로그인)에 대한 Inherit(상속) 확인란을 취소합니다. 필드에서 적절한 값을 선택합니다.
참고: 이 필드의 최소값은 0이며, 이는 로그인을 비활성화하고 사용자 액세스를 차단합니다.
참고: 다른 PC의 동일한 사용자 계정을 사용하여 로그인하면 현재 세션(동일한 사용자 계정을 사용하여 다른 PC에서 설정된 연결)이 종료되고 새 세션이 설정됩니다. 이는 기본 동작이며 VPN 동시 로그인에 독립적입니다.
원하는 동시 로그인 수를 구성하려면 다음 단계를 완료하십시오. 이 예에서는 20이 원하는 값으로 선택되었습니다.
ciscoasa(config)#group-policy Bryan attributes ciscoasa(config-group-policy)#vpn-simultaneous-logins 20
이 명령에 대한 자세한 내용은 Cisco Security Appliance 명령 참조 버전 7.2를 참조하십시오.
VPN 세션을 보안 어플라이언스에서 허용하는 것보다 낮은 값으로 제한하려면 글로벌 컨피그레이션 모드에서 vpn-sessiondb max-session-limit 명령을 사용합니다. 세션 제한을 제거하려면 이 명령의 no 버전을 사용합니다. 현재 설정을 덮어쓰려면 명령을 다시 사용합니다.
vpn-sessiondb max-session-limit {session-limit}
다음 예에서는 최대 VPN 세션 제한을 450으로 설정하는 방법을 보여 줍니다.
hostname#vpn-sessiondb max-session-limit 450
오류 메시지
20932 10/26/2007 14:37:45.430 SEV=3 AUTH/5 RPT=1863 10.19.187.229 Authentication rejected: Reason = Simultaneous logins exceeded for user handle = 623, server = (none), user = 10.19.187.229, domain = <not specified>
솔루션
원하는 동시 로그인 수를 구성하려면 다음 단계를 완료하십시오. 또한 이 SA에 대해 Simultaneous Logins(동시 로그인)를 5로 설정할 수 있습니다.
Configuration > User Management > Groups > Modify 10.19.187.229 > General > Simultaneous Logins를 선택하고 로그인 수를 5로 변경합니다.
IPsec 터널 설정 후 애플리케이션 또는 세션이 터널을 통해 시작되지 않습니다.
ping 명령을 사용하여 네트워크를 확인하거나 네트워크에서 애플리케이션 서버에 연결할 수 있는지 여부를 확인합니다. 라우터 또는 PIX/ASA 디바이스를 통과하는 일시적인 패킷, 특히 SYN 비트가 설정된 TCP 세그먼트의 최대 세그먼트 크기(MSS)에 문제가 발생할 수 있습니다.
라우터의 외부 인터페이스(터널 엔드 인터페이스)에서 MSS 값을 변경하려면 다음 명령을 실행합니다.
Router>enable Router#configure terminal Router(config)#interface ethernet0/1 Router(config-if)#ip tcp adjust-mss 1300 Router(config-if)#end
다음 메시지는 TCP MSS에 대한 디버그 출력을 표시합니다.
Router#debug ip tcp transactions Sep 5 18:42:46.247: TCP0: state was LISTEN -> SYNRCVD [23 -> 10.0.1.1(38437)] Sep 5 18:42:46.247: TCP: tcb 32290C0 connection to 10.0.1.1:38437, peer MSS 1300, MSS is 1300 Sep 5 18:42:46.247: TCP: sending SYN, seq 580539401, ack 6015751 Sep 5 18:42:46.247: TCP0: Connection to 10.0.1.1:38437, advertising MSS 1300 Sep 5 18:42:46.251: TCP0: state was SYNRCVD -> ESTAB [23 -> 10.0.1.1(38437)]
MSS는 구성된 라우터에서 1300으로 조정됩니다.
자세한 내용은 PIX/ASA 7.x 및 IOS: VPN 조각화.
MTU 크기 오류 메시지 및 MSS 문제를 제공하므로 터널을 통해 인터넷에 제대로 액세스할 수 없거나 전송 속도가 느립니다. 문제를 해결하려면 다음 문서를 참조하십시오.
ASA/PIX 인터페이스에서 VPN 터널을 시작할 수 없으며, 터널 설정 후 원격 엔드/VPN 클라이언트가 VPN 터널에서 ASA/PIX의 내부 인터페이스를 ping할 수 없습니다. 예를 들어 vpn 클라이언트는 VPN 터널을 통해 ASA의 내부 인터페이스에 대한 SSH 또는 HTTP 연결을 시작할 수 없습니다.
PIX의 내부 인터페이스는 management-access 명령이 전역 컨피그레이션 모드에서 구성되지 않으면 터널의 다른 쪽 끝에서 ping할 수 없습니다.
PIX-02(config)#management-access inside PIX-02(config)#show management-access management-access inside
참고: 이 명령은 VPN 터널을 통해 ASA의 내부 인터페이스에 대한 ssh 또는 http 연결을 시작하는 데에도 도움이 됩니다.
참고: 이 정보는 DMZ 인터페이스도 참입니다. 예를 들어 PIX/ASA의 DMZ 인터페이스를 ping하거나 DMZ 인터페이스에서 터널을 시작하려면 management-access DMZ 명령이 필요합니다.
PIX-02(config)#management-access DMZ
참고: VPN 클라이언트가 연결할 수 없는 경우 ESP 및 UDP 포트가 열려 있는지 확인하십시오. 그러나 해당 포트가 열려 있지 않은 경우 VPN 클라이언트 연결 항목 아래에서 이 포트를 선택하여 TCP 1000에 연결하십시오. 마우스 오른쪽 버튼으로 modify > transport tab > IPsec over TCP를 클릭합니다. IPsec over TCP에 대한 자세한 내용은 PIX/ASA 7.x를 참조하여 모든 포트 컨피그레이션에서 IPsec over TCP 지원 예를 참조하십시오.
VPN 터널을 통해 트래픽을 전달할 수 없습니다.
이 문제는 Cisco 버그 ID CSCtb53186에 설명된 문제로 인해 발생합니다(등록된 고객만 해당). 이 문제를 해결하려면 ASA를 다시 로드하십시오. 자세한 내용은 버그를 참조하십시오.
이 문제는 ESP 패킷이 차단된 경우에도 발생할 수 있습니다. 이 문제를 해결하려면 VPN 터널을 다시 구성합니다.
이 문제는 데이터가 암호화되지 않고 VPN 터널을 통해 해독된 경우에만 발생할 수 있습니다.
ASA# sh crypto ipsec sa peer x.x.x.x peer address: y.y.y.y Crypto map tag: IPSec_map, seq num: 37, local addr: x.x.x.x access-list test permit ip host xx.xx.xx.xx host yy.yy.yy.yy local ident (addr/mask/prot/port): (xx.xx.xx.xx/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (yy.yy.yy.yy/255.255.255.255/0/0) current_peer: y.y.y.y #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 393, #pkts decrypt: 393, #pkts verify: 393 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0
이 문제를 해결하려면 다음을 확인하십시오.
암호화 액세스 목록이 원격 사이트와 일치하고 NAT 0 액세스 목록이 올바른 경우.
라우팅이 올바르고 트래픽이 내부 통과 외부 인터페이스에 도달하는 경우 샘플 출력은 암호 해독이 완료되었지만 암호화가 발생하지 않았음을 보여줍니다.
sysopt permit connection-vpn 명령이 ASA에 구성된 경우 구성되지 않은 경우 ASA가 인터페이스 ACL 검사에서 암호화된/VPN 트래픽을 제외하도록 허용하므로 이 명령을 구성합니다.
단일 vpn 터널에 여러 백업 피어를 사용하려는 경우
여러 피어를 구성하는 것은 폴백 목록을 제공하는 것과 같습니다. 각 터널에 대해 보안 어플라이언스는 목록의 첫 번째 피어와 협상을 시도합니다.
해당 피어가 응답하지 않을 경우, 보안 어플라이언스는 피어가 응답하거나 목록에 더 이상 피어가 없을 때까지 목록 아래로 작동합니다.
ASA에는 기본 피어로 이미 구성된 암호화 맵이 있어야 합니다. 보조 피어는 기본 피어 뒤에 추가할 수 있습니다.
다음 컨피그레이션에서는 기본 피어를 X.X.X.X로, 백업 피어는 Y.Y.Y.Y로 표시합니다.
ASA(config)#crypto map mymap 10 set peer X.X.X.X Y.Y.Y.Y
자세한 내용은 Cisco Security Appliance 명령 참조 버전 8.0의 Crypto map set peer 섹션을 참조하십시오.
VPN 터널을 일시적으로 비활성화하고 서비스를 다시 시작하려면 이 섹션에 설명된 절차를 완료합니다.
글로벌 컨피그레이션 모드에서 crypto map interface 명령을 사용하여 인터페이스에 대해 이전에 정의된 암호화 맵 집합을 제거합니다. 인터페이스에서 암호화 맵 세트를 제거하려면 이 명령의 no 형식을 사용합니다.
hostname(config)#no crypto map map-name interface interface-name
이 명령은 모든 활성 보안 어플라이언스 인터페이스에 대한 암호화 맵 세트를 제거하고 해당 인터페이스에서 IPsec VPN 터널을 비활성 상태로 만듭니다.
인터페이스에서 IPsec 터널을 다시 시작하려면 인터페이스에 암호화 맵 집합을 할당해야 해당 인터페이스에서 IPsec 서비스를 제공할 수 있습니다.
hostname(config)#crypto map map-name interface interface-name
VPN 게이트웨이에 많은 수의 터널이 구성되어 있으면 일부 터널이 트래픽을 전달하지 않습니다. ASA는 해당 터널에 대해 암호화된 패킷을 수신하지 않습니다.
이 문제는 ASA가 터널을 통해 암호화된 패킷을 전달하지 못했기 때문에 발생합니다. 중복 암호화 규칙은 ASP 테이블에 만들어집니다. 이는 알려진 문제이며 이 문제를 해결하기 위해 버그 ID CSCtb53186(등록된 고객만 해당)이 접수되었습니다. 이 문제를 해결하려면 ASA를 다시 로드하거나 소프트웨어를 이 버그가 수정된 버전으로 업그레이드하십시오.
%ASA-5-713904: Group = DefaultRAGroup, IP = 99.246.144.186, 클라이언트가 지원되지 않는 트랜잭션 모드 v2 버전을 사용하고 있습니다.Tunnel terminated 오류 메시지가 나타납니다.
트랜잭션 모드 v2 오류 메시지의 이유는 ASA가 이전 V2 모드 버전이 아닌 IKE 모드 구성 V6만 지원하기 때문입니다. 이 오류를 해결하려면 IKE Mode Config V6 버전을 사용합니다.
%ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x> Transmitting large packet 1220 (threshold 1206) 오류 메시지가 ASA 로그에 나타납니다. 이 로그는 무엇을 의미하며 이를 어떻게 해결할 수 있습니까?
이 로그 메시지는 대형 패킷이 클라이언트에 전송되었음을 나타냅니다. 패킷의 소스가 클라이언트의 MTU를 인식하지 못합니다. 압축할 수 없는 데이터의 압축 때문일 수도 있습니다. 해결 방법은 svc compression none 명령을 사용하여 SVC 압축을 해제하여 문제를 해결하는 것입니다.
버전 7.0.x를 실행하는 PIX/ASA에서 7.2.x를 실행하는 다른 보안 어플라이언스로 VPN 컨피그레이션을 전송하는 경우 다음 오류 메시지가 표시됩니다.
ERROR: The authentication-server-group none command has been deprecated. The "isakmp ikev1-user-authentication none" command in the ipsec-attributes should be used instead.
authentication-server-group 명령은 7.2(1) 이상에서 더 이상 지원되지 않습니다. 이 명령은 더 이상 사용되지 않으며 tunnel-group general-attributes 컨피그레이션 모드로 이동되었습니다.
이 명령에 대한 자세한 내용은 명령 참조의 isakmp ikev1-user-authentication 섹션을 참조하십시오.
VPN 터널의 한쪽 끝에서 QoS를 활성화한 경우 다음 오류 메시지가 표시될 수 있습니다.
IPSEC: Received an ESP packet (SPI= 0xDB6E5A60, sequence number= 0x7F9F) from 10.18.7.11 (user= ghufhi) to 172.16.29.23 that failed anti-replay checking
이 메시지는 일반적으로 터널의 한쪽 끝에서 QoS를 수행할 때 발생합니다. 이는 패킷이 잘못된 것으로 탐지될 때 발생합니다. QoS를 비활성화하여 중지할 수 있지만 트래픽이 터널을 통과할 수 있는 한 무시할 수 있습니다.
crypto map mymap 20 ipsec-isakmp 명령을 실행하면 다음 오류가 발생할 수 있습니다.
경고: 암호화 맵 항목이 완전하지 않습니다.
예를 들면 다음과 같습니다.
ciscoasa(config)#crypto map mymap 20 ipsec-isakmp WARNING: crypto map entry will be incomplete
이 경고는 새 암호화 맵을 정의할 때, 액세스 목록(일치 주소), 변형 집합 및 피어 주소와 같은 매개 변수가 작동하려면 먼저 구성해야 한다는 것을 알려 주는 일반적인 경고입니다. 암호화 맵을 정의하기 위해 입력한 첫 번째 행이 컨피그레이션에 표시되지 않는 것은 정상적인 현상입니다.
vpn 터널을 통해 큰 ping 패킷을 전달할 수 없습니다. 큰 ping 패킷을 전달하려고 하면 오류 %ASA-4-400024가 발생합니다. IDS:2151 인터페이스 외부에서 부터 인터페이스 외부로 대용량 ICMP 패킷
이 문제를 해결하려면 서명 2150 및 2151을 비활성화하십시오.서명이 비활성화되면 ping이 정상적으로 작동합니다.
시그니처를 비활성화하려면 다음 명령을 사용합니다.
ASA(config)#ip 감사 서명 2151 비활성화
ASA(config)#ip 감사 서명 2150 비활성화
ASA의 로그 메시지에서 이 오류를 받았습니다.
오류:- %PIX|ASA-4-402119: IPSEC: 원격 IP(사용자 이름)에서 재생 방지 검사에 실패한 local_IP로의 프로토콜 패킷(SPI=spi, sequence number= seq_num)을 받았습니다.
이 오류를 해결하려면 crypto ipsec security-association replay window-size 명령을 사용하여 창 크기를 변경합니다.
hostname(config)#crypto ipsec security-association replay window-size 1024
참고: Cisco에서는 재생 방지 문제를 해결하려면 전체 1024 윈도우 크기를 사용하는 것이 좋습니다.
일부 호스트에서 인터넷에 연결할 수 없으며 이 오류 메시지가 syslog에 나타납니다.
오류 메시지 - %PIX|ASA-4-407001: local-host interface_name:inside_address에 대한 트래픽 거부, 라이센스 제한 수 초과
사용자 수가 사용된 라이센스의 사용자 제한을 초과하면 이 오류 메시지가 표시됩니다. 라이센스를 더 많은 수의 사용자로 업그레이드하여 이 오류를 해결할 수 있습니다. 사용자 라이센스에는 필요에 따라 50, 100 또는 무제한 사용자를 포함할 수 있습니다.
오류 메시지 - %VPN_HW-4-PACKET_ERROR: 오류 메시지는 라우터에서 수신한 HMAC의 ESP 패킷이 일치하지 않음을 나타냅니다. 이 오류는 다음과 같은 문제로 인해 발생할 수 있습니다.
결함이 있는 VPN H/W 모듈
손상된 ESP 패킷
이 오류 메시지를 해결하려면 다음을 수행합니다.
트래픽 중단이 발생하지 않는 한 오류 메시지를 무시합니다.
트래픽 중단이 발생하면 모듈을 교체합니다.
이 오류 메시지는 스위치의 트렁크 포트에 허용되는 VLAN을 추가하려고 시도할 때 나타납니다. 명령이 거부되었습니다. 먼저 VLAN XXXX와 VLAN XXXX 간의 암호화 연결을 삭제합니다..
추가 VLAN을 허용하도록 WAN 에지 트렁크를 수정할 수 없습니다. 즉, IPSEC VPN SPA 트렁크에 VLAN을 추가할 수 없습니다.
이 명령을 허용하면 인터페이스의 허용된 VLAN 목록에 속하는 암호화 연결 인터페이스 VLAN이 발생하여 IPSec 보안 침해가 발생할 수 있으므로 이 명령이 거부됩니다. 이 동작은 모든 트렁크 포트에 적용됩니다.
no switchport trunk allowed vlan (vlanlist) 명령 대신 switchport trunk allowed vlan none 명령 또는 "switchport trunk allowed vlan remove (vlanlist)" 명령을 사용합니다.
이 오류는 VPN 터널의 먼 쪽 끝에 있는 디바이스에서 텔넷을 시도하거나 라우터 자체에서 텔넷을 시도할 때 발생합니다.
오류 메시지 - % FW-3-RESPONDER_WND_SCALE_INI_NO_SCALE: 패킷 삭제 - x.x.x.x:27331~x.x.x:23 [Initiator(flag 0,factor 0) Responder (flag 1, factor 2)] 세션의 Window Scale 옵션이 잘못되었습니다.
사용자 라이센스에는 필요에 따라 50, 100 또는 무제한 사용자를 포함할 수 있습니다. LFN(Long Fat Network)에서 데이터를 신속하게 전송할 수 있도록 윈도우 확장이 추가되었습니다. 이러한 연결은 일반적으로 대역폭이 매우 높지만 레이턴시도 높습니다. 위성 연결이 있는 네트워크는 LFN의 한 예입니다. 위성 링크는 항상 전파 지연이 높지만 일반적으로 대역폭이 높기 때문입니다. LFN을 지원하도록 창 크기 조정을 활성화하려면 TCP 창 크기가 65,535를 초과해야 합니다. TCP 창 크기를 65,535를 초과하여 증가시켜 이 오류 메시지를 해결할 수 있습니다.
이 오류 메시지는 VPN 터널이 나타나면 나타납니다.
%ASA-5-305013: 전달 및 역방향 확인을 위해 일치하는 비대칭 NAT 규칙. 이 문제 흐름을 업데이트하십시오.
NAT를 사용하는 호스트와 동일한 인터페이스에 없는 경우 이 문제를 해결하려면 실제 주소 대신 매핑된 주소를 사용하여 호스트에 연결합니다. 또한 애플리케이션에 IP 주소가 포함된 경우 inspect 명령을 활성화합니다.
이 오류 메시지는 VPN 터널이 나타나지 않을 경우 나타납니다.
%PIX|ASA-5-713068: 비루틴 알림 메시지 수신: notify_type
이 메시지는 컨피그레이션 오류(즉, 피어에서 정책 또는 ACL이 동일하도록 구성되지 않은 경우)로 인해 발생합니다. 정책과 ACL이 일치하면 터널이 문제 없이 나타납니다.
Cisco ASA(Adaptive Security Appliance)를 업그레이드하려고 할 때 다음 오류 메시지 중 하나가 나타납니다.
%ASA-5-720012: (VPN-Secondary) 스탠바이 유닛에서 IPSec 장애 조치 런타임 데이터를 업데이트하지 못했습니다.
%ASA-6-720012: (VPN-unit) 스탠바이 유닛에서 IPsec 장애 조치 런타임 데이터를 업데이트하지 못했습니다.
이러한 오류 메시지는 정보 관련 오류입니다. 메시지는 ASA 또는 VPN의 기능에 영향을 주지 않습니다.
이러한 메시지는 대기 유닛에서 해당 IPsec 터널이 삭제되었기 때문에 VPN 장애 조치 하위 시스템이 IPsec 관련 런타임 데이터를 업데이트할 수 없는 경우에 나타납니다. 이를 해결하려면 액티브 유닛에서 wr standby 명령을 실행합니다.
이러한 동작을 해결하고 이러한 버그가 수정된 ASA의 소프트웨어 버전으로 업그레이드하기 위해 두 개의 버그가 제출되었습니다. 자세한 내용은 Cisco 버그 ID CSCtj58420(등록된 고객만 해당) 및 CSCtn56517(등록된 고객만 해당)을 참조하십시오.
%ASA-3-713063: IKE Peer address not configured for destination 0.0.0.0 오류 메시지가 나타나고 터널이 나타나지 않습니다.
이 메시지는 IKE 피어 주소가 L2L 터널에 대해 구성되지 않은 경우 나타납니다. 이 오류는 암호화 맵의 시퀀스 번호를 변경한 다음 암호화 맵을 제거하고 다시 적용하여 해결할 수 있습니다.
%ASA-3-752006: 터널 관리자가 KEY_ACQUIRE 메시지를 디스패치하지 못했습니다.암호화 맵 또는 터널 그룹의 구성이 잘못된 것 같습니다." 오류 메시지가 Cisco ASA에 기록됩니다.
이 오류 메시지는 암호화 맵 또는 터널 그룹의 잘못된 컨피그레이션으로 인해 발생할 수 있습니다. 둘 다 올바르게 구성되었는지 확인합니다. 이 오류 메시지에 대한 자세한 내용은 오류 752006을 참조하십시오.
다음은 몇 가지 수정 조치입니다.
암호화 ACL을 제거합니다(예: 동적 맵과 연결).
사용하지 않는 IKEv2 관련 컨피그레이션이 있는 경우 제거합니다.
암호화 ACL이 올바르게 일치하는지 확인합니다.
중복 액세스 목록 항목이 있는 경우 제거합니다.
LAN-to-LAN VPN 터널 설정에서 이 오류는 하나의 엔드 ASA에서 수신됩니다.
캡슐화된 내부 패킷이 SA에서 협상된 정책과 일치하지 않습니다.
패킷은 목적지10.32.77.67, 소스10.105.30.1, 프로토콜을 icmp로 지정합니다.
SA는 로컬 프록시를 10.32.77.67/255.255.255.255/ip/0으로 지정하고 remote_proxy를 10.105.42.192/255.255.255.224/ip/0으로 지정합니다.
VPN 터널의 양쪽 끝에 정의된 흥미로운 트래픽 액세스 목록을 확인해야 합니다. 둘 다 정확한 미러 이미지와 일치해야 합니다.
AnyConnect가 연결 실패 시 오류 0xffffffff 로그 메시지가 수신되어 가상 어댑터를 사용하도록 64비트 VA 설치 프로그램을 시작하지 못했습니다.
이 문제를 해결하려면 다음 단계를 완료하십시오.
System(시스템) > Internet Communication Management(인터넷 통신 관리) > Internet Communication(인터넷 통신) 설정으로 이동하고 Turn Off Automatic Root Certificates Update(자동 루트 인증서 업데이트 끄기)가 비활성화되어 있는지 확인합니다.
비활성화된 경우 해당 컴퓨터에 할당된 GPO의 전체 관리 템플릿 부분을 비활성화하고 다시 테스트합니다.
자세한 내용은 자동 루트 인증서 업데이트 해제를 참조하십시오.
오류 5: 이 연결 항목에 대한 호스트 이름이 없습니다. 새 PC 설치 중에 VPN 연결 오류 메시지를 수신하도록 할 수 없습니다.
이 문제는 Cisco 버그 ID CSCso94244(등록된 고객만 해당) 때문입니다. 자세한 내용은 이 버그를 참조하십시오.
Cisco VPN Client는 Windows 7의 데이터 카드에서 작동하지 않습니다.
Windows 7에 설치된 Cisco VPN Client는 Windows 7 시스템에 설치된 VPN 클라이언트에서 데이터 카드가 지원되지 않으므로 3G 연결에서 작동하지 않습니다.
ASA의 외부 인터페이스에서 isakmp를 활성화하려고 할 때 다음 경고 메시지가 수신됩니다.
ASA(config)# crypto isakmp enable outside WARNING, system is running low on memory. Performance may start to degrade. VPN functionality may not work at all.
이때 ssh를 통해 ASA에 액세스합니다. HTTPS가 중지되고 다른 SSL 클라이언트도 영향을 받습니다.
이 문제는 로거 및 암호화 등 서로 다른 모듈의 메모리 요구 사항 때문입니다. logging queue 0 명령이 없는지 확인합니다. 큐 크기를 8192로 설정하고 메모리 할당이 실행됩니다.
ASA5505 및 ASA5510과 같은 플랫폼에서는 이러한 메모리 할당이 다른 모듈(IKE 등)에 메모리를 할당하는 경향이 있습니다. Cisco 버그 ID CSCtb58989(등록된 고객만 해당)가 유사한 유형의 동작을 해결하기 위해 기록되었습니다. 이 문제를 해결하려면 로깅 대기열을 더 낮은 값(예: 512)으로 구성합니다.
이 오류 메시지를 받았습니다.
%PIX|ASA-3-402130: CRYPTO: Received an ESP packet (SPI = 0xXXXXXXX, sequence number= 0xXXXX) from x.x.x.x (user= user) to y.y.y.y with incorrect IPsec padding
이 문제는 IPSec VPN이 해싱 알고리즘 없이 협상하기 때문에 발생합니다. 패킷 해싱을 통해 ESP 채널의 무결성 검사가 보장됩니다. 따라서 해싱이 없으면 형식이 잘못된 패킷이 Cisco ASA에서 탐지되지 않고 이러한 패킷의 해독을 시도합니다. 그러나 이러한 패킷의 형식이 잘못되었기 때문에 ASA는 패킷을 해독하는 동안 오류를 찾습니다. 이렇게 하면 표시되는 패딩 오류 메시지가 표시됩니다.
VPN에 대한 변형 집합에 해시 알고리즘을 포함하고 피어 간의 링크에 최소 패킷 악성코드가 있는지 확인하는 것이 좋습니다.
원격 사이트 전화에서 대기 중단 시간이 발생합니다. 이 문제는 어떻게 해결됩니까?
이 문제를 해결하려면 skinny 및 sip 검사를 비활성화합니다.
asa(config)# no inspect sip asa(config)# no inspect skinny
수명이 24시간 동안 설정되더라도 VPN 터널의 연결이 18시간마다 끊어집니다.
수명은 SA를 재키로 사용할 수 있는 최대 시간입니다. 수명으로 컨피그레이션에 입력하는 값은 SA의 키 재설정 시간과 다릅니다. 따라서 현재 SA가 만료되기 전에 새 SA(또는 IPsec의 경우 SA 쌍)를 협상해야 합니다. 첫 번째 키 다시 시도가 실패할 경우 여러 번 시도할 수 있도록 키 재설정 시간은 항상 수명보다 작아야 합니다. RFC는 키 재설정 시간을 계산하는 방법을 지정하지 않습니다. 이것은 시행자의 재량에 달려 있다. 따라서 사용된 플랫폼, 소프트웨어 버전 등에 따라 시간이 달라집니다.
일부 구현에서는 임의 계수를 사용하여 키 재설정 타이머를 계산할 수 있습니다. 예를 들어, ASA가 터널을 시작하는 경우 64800초 = 86400의 75%로 키를 다시 설정하는 것이 정상입니다. 라우터가 시작되면 ASA는 피어가 키 다시 시작 시간을 더 많이 줄 때까지 더 오래 기다릴 수 있습니다. 따라서 VPN 협상에 다른 키를 사용하기 위해 18시간마다 VPN 세션 연결이 끊기는 것은 정상입니다. 이로 인해 VPN 삭제 또는 문제가 발생하지 않아야 합니다.
LAN-to-LAN 터널이 재협상된 후에는 트래픽 흐름이 유지되지 않습니다.
ASA는 통과하는 모든 연결을 모니터링하고 애플리케이션 검사 기능에 따라 상태 테이블의 항목을 유지합니다. VPN을 통과하는 암호화된 트래픽 세부 정보는 SA(Security Association) 데이터베이스의 형태로 유지됩니다. LAN-to-LAN VPN 연결의 경우 두 개의 서로 다른 트래픽 흐름을 유지합니다. 하나는 VPN 게이트웨이 간의 암호화된 트래픽입니다. 다른 하나는 VPN 게이트웨이 뒤에 있는 네트워크 리소스와 다른 엔드 유저의 트래픽 흐름입니다. VPN이 종료되면 이 특정 SA에 대한 흐름 세부사항이 삭제됩니다. 그러나 ASA에서 이 TCP 연결에 대해 유지 관리하는 상태 테이블 항목은 활동이 없어 다운로드가 중단됩니다. 즉, ASA는 사용자 애플리케이션이 종료되는 동안 해당 특정 플로우에 대한 TCP 연결을 계속 유지합니다. 그러나 TCP 유휴 타이머가 만료되면 TCP 연결이 끊기고 결국 시간 초과됩니다.
이 문제는 Persistent IPSec Tunneled Flows라는 기능을 도입하여 해결되었습니다. VPN 터널의 재협상 시 상태 테이블 정보를 유지하기 위해 sysopt connection preserve-vpn-flows라는 새 명령이 Cisco ASA에 통합되었습니다. 기본적으로 이 명령은 비활성화되어 있습니다. 이를 활성화하면 L2L VPN이 중단으로부터 복구되고 터널을 다시 설정할 때 Cisco ASA는 TCP 상태 테이블 정보를 유지합니다.
이 오류 메시지는 2900 Series 라우터에서 수신됩니다.
오류: 3월 20일 10:51:29: %CERM-4-TX_BW_LIMIT: securityk9 기술 패키지 라이센스로 암호화 기능에 대한 최대 Tx 대역폭 제한인 85,000Kbps에 도달했습니다.
이는 미 정부의 엄격한 지침 때문에 발생하는 알려진 문제이다. 이에 따라, securityk9 라이센스는 페이로드 암호화를 최대 90Mbps까지 허용할 수 있으며 암호화된 터널/TLS 세션 수를 디바이스로 제한할 수 있습니다. 암호화 내보내기 제한에 대한 자세한 내용은 Cisco ISR G2 SEC 및 HSEC 라이센싱을 참조하십시오.
Cisco 디바이스의 경우 ISR G2 라우터에서 들어오고 나가는 단방향 트래픽이 85Mbps 미만이며 총 양방향 트래픽은 170Mbps입니다. 이 요건은 Cisco 1900, 2900 및 3900 ISR G2 플랫폼에 적용됩니다. 이 명령을 사용하면 다음 제한 사항을 볼 수 있습니다.
Router#show platform cerm-information Crypto Export Restrictions Manager(CERM) Information: CERM functionality: ENABLED ---------------------------------------------------------------- Resource Maximum Limit Available ---------------------------------------------------------------- Tx Bandwidth(in kbps) 85000 85000 Rx Bandwidth(in kbps) 85000 85000 Number of tunnels 225 225 Number of TLS sessions 1000 1000 ---Output truncated----
이 동작을 해결하는 버그가 있습니다. 자세한 내용은 Cisco 버그 ID CSCtu24534(등록된 고객만 해당)를 참조하십시오.
이 문제를 방지하려면 HSECK9 라이센스를 구매해야 합니다. "hseck9" 기능 라이센스는 향상된 VPN 터널 수 및 보안 음성 세션을 통해 향상된 페이로드 암호화 기능을 제공합니다. Cisco ISR 라우터 라이센스에 대한 자세한 내용은 소프트웨어 활성화를 참조하십시오.
이 문제는 여러 키 재설정 후 IPsec 연결에서 관찰되었지만 트리거 조건이 명확하지 않습니다. 이 문제의 존재 여부는 show asp drop 명령의 출력을 확인하고 전송된 각 아웃바운드 패킷에 대해 Expired VPN 컨텍스트 카운터가 증가하는지 확인하여 설정할 수 있습니다. 자세한 내용은 Cisco 버그 ID CSCtd36473(등록된 고객만 해당)을 참조하십시오.
터널이 시작되지 않으면 AG_INIT_EXCH 메시지가 show crypto isakmp sa 명령의 출력과 디버그 출력에도 나타납니다. 그 이유는 isakmp 정책이 일치하지 않거나 포트 udp 500이 도중에 차단되는 경우 발생할 수 있습니다.
이 메시지는 정보 제공용이며 VPN 터널의 연결 해제와 아무런 관련이 없습니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
31-Mar-2014 |
최초 릴리스 |