Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

Meraki 以外のサイト間 VPN ピアのトラブルシューティング

MX セキュリティ アプライアンスは、Meraki 以外のデバイスに VPN トンネルを設定できます。 この記事では、Meraki 以外の VPN の考慮事項、構成時の必要な設定、MX と Meraki 以外のデバイス間の VPN 接続のトラブルシューティング方法について説明します。

Meraki 間の VPN のトラブルシューティングについては、「サイト間 VPN のトラブルシューティング」を参照してください。

Cisco Meraki VPN の設定と要件

VPN の概念が説明されているナレッジ ベースの記事「IPsec および IKE」を参照してください。 

Cisco Meraki デバイスには、Meraki 以外のピアとの間の VPN 接続に関する次の要件があります。

  • 事前共有キー(証明書は不要)
  • LAN のスタティック ルート(VPN インターフェイスのルーティング プロトコルは不要)
  • メイン モード(アグレッシブ モードはサポート対象外)の IKEv1(IKEv2 はサポート対象外)
  • UDP ポート 500 および 4500 を介したアクセス 

 

次の IKE および IPsec パラメータは、MX で使用されるデフォルト設定です。

  • フェーズ 1(IKE ポリシー):3DES、SHA1、DH グループ 2、ライフタイム 8 時間(28,800 秒)

  • フェーズ 2(IPsec ルール):3DES、DES、AES のいずれか、MD5 または SHA1 のいずれか、PFS 無効、ライフタイム 8 時間(28,800 秒)

できる限りこれらの設定をデフォルトのままにすることをお勧めします。リモート ピアで必要な場合は、カスタムの IPsec ポリシーを実装することによって、これらのパラメータを変更することができます。

 

注:Meraki 以外の VPN ピアは組織全体が対象になるため、ピアは組織内にあるこれらすべての MX デバイスに対して設定されます。 複数の MX を同じサードパーティの VPN ピアに接続するには、すべてに同じ共有秘密鍵が必要です。

 

Meraki 以外の VPN 接続は、プライマリ インターネット アップリンクを使用して確立されます。 プライマリ アップリンクに障害が生じると、VPN 接続はセカンダリ インターネット アップリンクを使用します。 フェールオーバーが発生したときのために、サードパーティのピアにはセカンダリ アップリンクの適切な IP アドレス設定が必要になることに注意してください。 プライマリ アップリンクの設定は、[構成(Configure)] > [トラフィック シェーピング(Traffic shaping)] > [アップリンク構成(Uplink configuration)] で確認できます。  

 

異なる組織にある 2 台の MX デバイス間で VPN を構築するには、Meraki 以外の VPN ピア接続が必要です。詳細については、Cisco Meraki のドキュメントを参照してください。

イベント ログを使用したトラブルシューティング

イベント ログは、[モニタ(Monitor)] > [イベント ログ(Event log)] で表示できます。 VPN を除くすべてのイベント ログ タイプの選択を解除し、[検索(Search)] ボタンをクリックします。 問題が発生した具体的な時間を知る必要がある場合は、特定の時間範囲を定義して結果を絞り込むことができます。  

次のログ エントリは、MX(IP:1.1.1.1)と Meraki 以外の VPN デバイス(IP:2.2.2.2)間の VPN 接続が正常であることを示しています。  

 

Jan 1 06:50:05 VPN msg: IPsec-SA established: ESP/Tunnel 1.1.1.1[4500]->2.2.2.2[4500] spi=122738512(0x750d750)
Jan 1 06:50:04 VPN msg: initiate new phase 2 negotiation: 1.1.1.1[4500]<=>2.2.2.2[4500]
Jan 1 06:50:04 VPN msg: ISAKMP-SA established 1.1.1.1[4500]-2.2.2.2[4500] spi:91f7c94b98a41ce8:85abf36d937b096f
Jan 1 06:50:03 VPN msg: initiate new phase 1 negotiation: 1.1.1.1[500]<=>2.2.2.2[500]

 

 フェーズ 1 または 2 のネゴシエーション中の障害を示すエントリがないかイベント ログを確認します。 以下はフェーズ 1 の障害を示すログ エントリの例です。  

 

May 8 07:23:53 VPN msg: failed to get valid proposal.
May 8 07:23:53 VPN msg: no suitable proposal found.
May 8 07:23:43 VPN msg: phase1 negotiation failed.

 

イベント ログ:「no-proposal-chosen received」(フェーズ 1)

エラーの説明:フェーズ 1 を確立できません。ダッシュボードのイベント ログにエラー「no-proposal-chosen received in informational exchange」が記録されています。

エラーの解決策:このエラーは通常、2 台の VPN アプライアンス間で設定が一致していないことが原因です。  次に示す手順は、問題のトラブルシューティングに役立ちます。

  1. フェーズ 1 のパラメータが一致していることを確認します。 
  2. 事前共有キーが同じであることを確認します。
  3. 双方から、トンネルに記述されているピア アドレスに到達できることを確認します。 
  4. ISAKMP が発信インターフェイスで有効になっていることを確認します。 

イベント ログ:「no-proposal-chosen received」(フェーズ 2)

エラーの説明:トンネルを確立できません。イベント ログによると、フェーズ 1 のネゴシエーションに問題はありませんが、フェーズ 2 の開始後にエラー メッセージ「no-proposal-chosen received in informational exchange」が記録されています。

エラーの解決策:これはフェーズ 2 のセキュリティ アソシエーションが一致していないために生じることがあります。サードパーティの VPN ピアがまったく同じフェーズ 2 パラメータを共有しており、次の要件を満たしていることを確認してください。

  • ライフタイム:時間に基づくライフタイム(データに基づくライフタイムは使用しない)
  • IKE のバージョン:v1(IKEv2 はサポートされていない)
  • ASA が、VPN のためにトランスポート モードではなくトンネル モードになっている必要があります。

イベント ログ:「failed to pre-process ph2 packet/failed to get sainfo」

エラーの説明:トンネルを確立できません。ダッシュボードのイベント ログにエラー「msg: failed to pre-process ph2 packet (side: 1, status: 1),  msg: failed to get sainfo」が記録されています。

エラーの解決策:これは IPsec トンネル定義のサブネットが一致していない(通常はサブネット マスクの不一致)ために生じることがあります。ローカルおよびリモート サブネットが VPN トンネルの両側で一致していることを確認します。 

注:このエラーは、Microsoft Azure を使用して VPN トンネルを確立しようとしたときに発生することがあります。詳細については、この記事の「Microsoft Azure のトラブルシューティング」の説明を参照してください。

 

イベント ログ:「invalid flag 0x08」

エラーの説明:MX は IKEv1 を使用したサイト間 VPN のみをサポートしています。 IKEv2 がリモート エンドで設定されている場合、メッセージ「invalid flag 0x08」がイベント ログに記録されることがあります。

エラーの解決策:リモート エンドで使用する IKE のバージョンを v2 から v1 に変更します。

イベント ログ:「exchange Aggressive not allowed in any applicable rmconf」

エラーの説明:MX はフェーズ 1 のネゴシエーションに対してメイン モードのみをサポートしています。Meraki 以外のピアがアグレッシブ モードを使用するように設定されている場合、トンネルを確立できなかったことを示すこのエラーがイベント ログに記録されることがあります。

エラーの解決策:フェーズ 1 ではメイン モードを使用するようにリモート ピアの設定を変更します。

イベント ログ:「exchange Identity Protection not allowed in any applicable rmconf.」

エラーの説明:1 つ以上のピアでフェーズ 1 が有効に設定されておらず、ピア間で不一致が生じています。これは、リモート ピアがアグレッシブ モードの ISAKMP 向けに設定されている場合(これは MX ではサポートされていない)、またはダッシュボードでまったく設定されていないサードパーティ ピアから MX が ISAKMP トラフィックを受信する場合にも発生する可能性があります。

エラーの解決策:両方のピアのフェーズ 1 の設定が一致していることを確認します。また、リモート ピアがメイン モード用に設定されていることを確認します。フォローアップ手順として、MX のプライマリ インターネット インターフェイスでパケット キャプチャを行います。また、IP アドレスでフィルタリングし、「isakmp」を実行して、両方のピアが通信できるようにします。さらに、IP アドレスをチェックして、それがダッシュボードで追加した有効なピアであることを確認します。

イベント ログ:「phase1 negotiation failed due to time up」

エラーの説明:VPN ピアがバインドされたトラフィックが、まだ確立されたトンネルがない Meraki 以外の VPN ピアに対して生成されました。 トンネルを確立するためにフェーズ 1 のネゴシエーションを開始しようとしましたが、リモート側から応答がありませんでした。

エラーの解決策:何らかの単純なテスト(ping など)を実施して、2 つのサイト間でパケット損失が発生していないかどうか確認します。また、パケット キャプチャを行い、ISAKMP トラフィックがローカル ピアから送信されていることを確認します。ISAKMP トラフィックが受信されても、リモート側が応答しない場合は、ローカル ピアとのトンネルを確立するようにリモート側が設定されていることを確認します。 

トンネルを介して通信できるホストとできないホストがある

エラーの説明:トンネルは正しく確立されていますが、一部のホストがトンネルを介して通信できません。

エラーの解決策:VPN トンネルによるトラフィックの送信で、一部のホストにのみ問題があり他のホストにはない場合、問題となっているクライアント システムのパケットが MX にルーティングされていない可能性が高いです。クライアント システムのゲートウェイまたはサブネット マスクが間違って設定されています。

一定時間の経過後、トンネルが定期的にダウンする

エラーの説明:トンネルが正しく確立され、トラフィックが通過できるにもかかわらず、一定時間の経過後にトンネルがダウンします。 

エラーの解決策:フェーズ 2 のライフタイムが MX とリモート ピアの間で一致しない場合でも、下位のフェーズ 2 のライフタイムが期限切れになるまでは、トンネルが確立され、正常に機能します。フェーズ 2 のライフタイムは両方のピアで同じに設定してください(MX のデフォルトは 28,800 秒です。MX はデータに基づくライフタイムをサポートしていません)。

まとめとベンダー固有の例

イベント ログでは、Meraki 以外の VPN 接続が正常かどうか判断できるほか、障害エントリを見てデバイス間で一致していない可能性のある設定をすばやく特定できます。 デバイス間で設定を正しく一致させると、VPN トンネルが正しく確立されたことを示すネゴシエーション メッセージが表示されます。   ベンダー固有の設定例については、次のリンクを参照してください。  

Microsoft Azure のトラブルシューティング

Cisco Meraki アプライアンスと Microsoft Azure 間におけるサイト間 VPN に関する最も一般的な問題の 1 つは、上記のとおり、ローカル/リモート サブネットの不一致が原因で発生します。   

Microsoft Azure での VPN の設定が完了したら、VPN トンネルを通過するように指定されているアドレス空間を確認してください。これには通常、スーパーネット(サマリー アドレス)とその個々のサブネットが含まれています。 たとえば、192.168.10.0/24 と 192.168.20.0/24 のネットワークをアドバタイズする場合、スーパーネットは 192.168.0.0/19 になります。 

また、ダッシュボードの [Meraki 以外のピア - プライベート サブネット(Non-Meraki Peer - Private Subnets)] フィールドに、個々のサブネットではなく Microsoft Azure ネットワークのスーパーネット(この例では 192.168.0.0/19)を追加してください。このようにしないと、サブネットの不一致によって VPN トンネルを確立できなくなります。

Google Cloud VPN のトラブルシューティング

Google Cloud は IPsec VPN の使用をサポートしているため、VPN ピアとして機能できます。Cisco Meraki セキュリティ アプライアンスでは IKEv1 しかサポートされていないことに注意してください。 Google 側で IKEv2 が設定されると、トンネルが機能しなくなります。また、Google 側のゲートウェイは ICMP に応答しないため、接続テストでの ping テストは妥当ではありません。

詳細については、Google のドキュメントで Cloud VPN の設定方法を確認してください。