VPN: サイト間VPN トンネルが有効にも関わらずトラフィックが通過できない

導入

サイト間IPSec VPN トンネルは2つのフェーズで成立します:

• フェーズ I: IKE (インターネット鍵交換)
• フェーズ II: IPSec (IP セキュリティ)

フェーズ Iで、IKEは2つのSonicWall UTM装置（IKE ピア）間で認証されたセキュア チャネルを生成します。これはUDPのポート 500を使用して行われます。フェーズ IIでは、IKEはIPSec セキュリティ アソシエーションを交渉し、IPSecのための鍵情報を生成します。これはIPSec プロトコル 50またはUDPのポート 4500のいずれかを使用します。後者のポートはNAT トラバーサルと呼ばれます。

フェーズ IIにおけるよくある問題と解決方法

• Proposal does not Match
• Invalid Cookies

問題: ローカルと対象先ネットワークの不一致で、これはSonicWallのログにエラーとして見ることができます。以下のようなエラーが確認できます:

解決方法: トンネルの両拠点のSonicWall装置に指定したローカルおよび対象先ネットワークを確認します。

問題: IPSec プロトコル 50やUDP ポート 4500がブロックされています。上流の装置、またはインターネット サービス プロバイダが内向きのIP プロトコル 50 (ESP) や UDP ポート 4500によるセッションをブロックしている場合、そのトンネルはトラフィックを通過させません。

解決方法: この問題を簡単にテストするにはグローバル VPN クライアントを利用します。グローバル VPN クライアント（GVC）はNAT トラバーサル (NAT-T)の執行の有無を強制することができます。コネクションのプロパティ内の、対岸候補で、NAT トラバーサル（NAT-T）を設定することができます。これは自動、強制使用または無効に設定できます。もしグローバル VPN コネクションがNAT トラバーサルの強制使用でトラフィックを通過させ、NAT トラバーサルを無効にすると通過させない場合は、IPSec プロトコル 50がブロックされています。もしグローバル VPN コネクションがNAT トラバーサルの無効でトラフィックを通過させ、NAT トラバーサルを強制使用にすると通過させない場合は、UDP ポート 4500がブロックされています。どちらの状況でも、上流の装置やインターネット サービス プロバイダの管理者と解決方法を確認してください。

問題: スタティック ルートが重複しています。既定で、SonicWallのスタティック ルートはVPN トンネルのルートよりも優先されます。もし宛先ネットワークでスタティック ルートが定義されている場合、VPN トンネルを経由する代わりにそのルートを使用します。

解決方法:

• SonicOS Enhanced 4.0以降では、, "VPN パスの優先を許可する"の新しいオプションが導入されました。
• システム > 診断 にある "ネットワーク パスの検索"ユーティリティを利用することで、SonicWallで重複ルートが設定されているかを簡単に確認することができます。VPN ポリシーのネットワーク タブですべてのVPN 対象先ネットワーク が定義されていることを確認します。お互いのネットワークでネットワーク パスの検索 診断ツールを使ってテストします。もしVPN トンネルに優先するスタティック ルートが無い場合、このユーティリティは対象のネットワークがリモート ゲートウェイのIP アドレスの背後か、あなたの既定のルータの背後であるWANに位置するとレポートします。ただしこのテストは重複するスタティック ルートがデフォルト ゲートウェイに向かうことを決定するものではありません。