제 머리 속에 떠오른 모든 세부사항은 제목에 있지만, 다른 유용한 정보가 있다면 알려주세요. 그런데 이런 상황이 발생하는 원인은 무엇일까요? 지금은 터널이 연결되어 있지만, 앞으로 이런 일이 발생하지 않도록 원인을 알고 싶어요.
1단계 또는 2단계 타이머가 일치하지 않나요?
좀 더 많은 세부 정보가 필요합니다.
이게 IKEv1인가요, IKEv2인가요?
양쪽에서 1단계는 어떤 상태였나요?
양쪽에서 2단계는 어떤 상태였나요?
일부 시스템은 연결 시작이 차단될 수 있고, 반대로 한쪽은 연결 시작만 가능하며 다른 쪽은 불가능할 수 있는데, 이는 보통 방화벽이나 보안 장치 또는 VPN 구성 오류 때문일 수 있습니다.
양쪽 터널의 원시 로그를 확인하여 모든 것이 일치하는지 보는 것이 좋습니다. 예를 들어, 한 시스템이 INIT를 보내고 있다고 하면, 다른 쪽에서도 그것을 보아야 합니다.
이런 VPN 터널 문제의 약 25%는 패킷이 실제 VPN 시스템(이 경우 ASA)에 수신되지 않아서 발생하므로, 방화벽 로그를 확인하여 패킷이 실제로 수신되고 허용되는지 확인하세요.
이런 일이 전에 발생했던 적이 있는데, dead peer detection이 활성화되지 않았을 때죠. 한 쪽은 다운되었는데, 다른 쪽은 그것을 인지하지 못하고 재협상하지 않으며, 다시 시작하거나 타이머가 만료될 때까지 기다려야 합니다.
“죽은 쪽”에서 오래된 VPN 연결이 유지되고 있죠, 포트를 재시작해서 터널을 재생성하세요. 그러면 새로운 정보와 함께 연결이 새로 만들어집니다.
유용한 정보를 일부 누락했음을 알았습니다. 하지만 일치한다는 것을 확인했고, 2단계는 3600초, 1단계는 86400초입니다. 이 터널은 최소 몇 주 동안 연결되어 있었기 때문에, 이 시간 초과 내에 문제가 발생했을 가능성은 낮다고 생각됩니다.
IKEv2입니다. 한쪽은 1단계와 2단계 모두 연결되어 있었는데, 다른 쪽은 모두 끊어진 상태였습니다.
방화벽 로그에서 차단된 것은 없습니다.
‘다운’ 쪽에서는 인증 교환 실패라고 나왔는데, 이는 암호화 프로필의 불일치를 나타내는 것 같지만, 그렇다면 ‘업’ 쪽에서 재시작한 후에도 같은 불일치가 발생하지 않았을까요?
감사합니다. 그들의 쪽에서도 확인해야겠어요.
Phase 1에 PSK 기반 인증이라면, 터널 그룹 설정에 올바른 로컬 및 원격 PSK가 구성되어 있나요?
양쪽 모두 Cisco ASA입니다. 코드 버전은 알 수 없지만, 우리 쪽은 오래되거나 하진 않고, 상대 회사는 보안에 매우 집중하기 때문에 최근 버전일 것이라고 생각해요.
네, 그렇습니다. 만약 이것들이 문제였다면 전혀 연결되지 않았을 거라고 확신합니다.