拠点間VPNゲートウェイ:ログ
VPN接続時のログが確認出来ます。
VPN接続に失敗する場合に、ログを確認する事で原因を切り分けることが出来ます。
ログ確認方法
拠点間VPNゲートウェイのログ確認方法は以下をご覧ください。
エラーログ解析機能
拠点間VPNゲートウェイのログには設定不備の場合に表示されるログを解析し、原因と解決方法を確認する事が出来ます。
以下のVPN接続エラーリストに記載されているエラーログのサンプルは、各値を下記の通り記載しています。
| 項目 | 値 |
|---|---|
| お客様拠点のグローバルIP | 203.0.113.234 |
| 拠点間VPNゲートウェイのグローバルIP | 198.51.100.123 |
| プライベートLAN | 172.16.1.0/24 |
| お客様拠点LAN | 192.168.1.0/24 |
VPN接続エラーリスト v4.0 以降
| エラー番号 | エラー概要 | IKEバージョン | エラーログ | 原因 | 解決方法 |
|---|---|---|---|---|---|
| V003000 | 対向機器IPアドレスの設定間違い | IKEv1, IKEv2 | 08[IKE] no IKE config found for 198.51.100.123…203.0.113.234, sending NO_PROPOSAL_CHOSEN | VPNコネクションの対向機器IPアドレスの設定が間違っている可能性があります。 | VPNコネクションの設定を確認し、対向機器IPアドレスが実際のIPアドレスと一致しているか確認してください。 |
| V003001 | 事前共有鍵の設定間違い | IKEv1, IKEv2 | 09[IKE] tried 1 shared key for ‘198.51.100.123’ - ‘203.0.113.234’, but MAC mismatched | VPNコネクションと対向機器の事前共有鍵(preshared secret)が一致していない可能性があります。 | VPNコネクションの事前共有鍵(preshared secret)を確認し、対向機器に同じものが設定されているか確認してください。 |
| V003003 | プロキシIDの設定間違い | IKEv1, IKEv2 | 09[IKE] traffic selectors 172.16.1.0/24 === 192.168.1.0/24 inacceptable | VPNコネクションの設定の“対向機器LAN側IPアドレス帯”が間違っている可能性があります。 | VPNコネクションの設定の“対向機器LAN側IPアドレス帯”の設定を確認してください。 |
| V003005 | IKEパラメーターの設定間違い | IKEv1, IKEv2 | 03[IKE] received proposals inacceptable | 対向機器の設定で、IKEで用いる暗号化アルゴリズム、認証アルゴリズム、DHグループ(Deffie-Hellman グループ)の設定が間違っている可能性があります。 | “対向機器側のIKEの設定でDHグループ(Deffie-Hellman グループ)が 2(modp 1024bit)に設定されているか確認してください。対向機器側のIKEの暗号化アルゴリズムと認証アルゴリズムの設定がVPNコネクションの設定と一致しているか確認してください。” |
| V003006 | ESPパラメーターの設定間違い | IKEv1, IKEv2 | 05[IKE] no acceptable proposal found | 対向機器の設定で、ESPで用いる暗号化アルゴリズム、認証アルゴリズムの設定が間違っている可能性があります。 | 対向機器側のESPの暗号化アルゴリズムと認証アルゴリズムの設定がVPNコネクションの設定と一致しているか確認してください。 |
| V003007 | 途中経路上のFW設定間違い | IKEv1, IKEv2 | 04[IKE] received retransmit of request with ID 0, retransmitting response | 拠点間VPNゲートウェイと対向機器の間のファイアウォール等の機器でIPsecパケットが破棄されている可能性があります。 | 途中経路のファイアウォール機器の設定を確認してください。拠点間VPNゲートウェイと対向機器の間のESP(プロトコル番号50)とUDPポート番号500、UDPポート番号4500の通信が許可されているか確認してください。 |
VPN接続エラーリスト v3.3 以前
| エラー番号 | エラー概要 | IKEバージョン | エラーログ | 原因 | 解決方法 |
|---|---|---|---|---|---|
| V001000 | 対向機器IPアドレスの設定間違い | IKEv1 | packet from 203.0.113.234:500: initial Main Mode message received on 198.51.100.123:500 but no connection has been authorized with policy=PSK | VPNコネクションの設定でIKEのバージョンをIKEv1に設定した場合、もしくはIKEのバージョンを選択できない古い拠点間VPNゲートウェイをご利用の場合、VPNコネクションの対向機器IPアドレスの設定が間違っている可能性があります。 | VPNコネクションの設定を確認し、対向機器IPアドレスが実際のIPアドレスと一致しているか確認してください。 |
| V002000 | 対向機器IPアドレスの設定間違い | IKEv2 | 08[IKE] no IKE config found for 198.51.100.123…203.0.113.234, sending NO_PROPOSAL_CHOSEN | VPNコネクションの対向機器IPアドレスの設定が間違っている可能性があります。 | VPNコネクションの設定を確認し、対向機器IPアドレスが実際のIPアドレスと一致しているか確認してください。 |
| V001001 | 事前共有鍵の設定間違い | IKEv1 | “peer-203.0.113.234-tunnel-1” #2: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet | VPNコネクションと対向機器の事前共有鍵(preshared secret)が一致していない可能性があります。 | VPNコネクションの事前共有鍵(preshared secret)を確認し、対向機器に同じものが設定されているか確認してください。 |
| V002001 | 事前共有鍵の設定間違い | IKEv2 | 09[IKE] tried 1 shared key for ‘198.51.100.123’ - ‘203.0.113.234’, but MAC mismatched | VPNコネクションと対向機器の事前共有鍵(preshared secret)が一致していない可能性があります。 | VPNコネクションの事前共有鍵(preshared secret)を確認し、対向機器に同じものが設定されているか確認してください。 |
| V001002 | IKEフェーズ1IDの設定間違い | IKEv1 | “peer-203.0.113.234-tunnel-1” #2: no suitable connection for peer ‘192.168.1.1’ | 対向機器がIKEのフェーズ1 IDとしてグローバルIPアドレスとは異なるIPアドレスを指定している可能性があります。 | デフォルトでは拠点間VPNゲートウェイはIKEのフェーズ1 IDにグローバルIPアドレスを期待します。対向機器側でこの値を変更できないときはVPNコネクションの設定の“対向機器LAN側IPアドレス”に、このエラーメッセージの末尾に表示されたIPアドレス(上記の例では192.168.1.1)を設定してください。 |
| V001003 | プロキシIDの設定間違い | IKEv1 | “peer-203.0.113.234-tunnel-1” #3: cannot respond to IPsec SA request because no connection is known for 172.16.1.0/24===198.51.100.123[198.51.100.123]…203.0.113.234[203.0.113.234]===192.168.1.0/24 | VPNコネクションの設定の“対向機器LAN側IPアドレス帯”が間違っている可能性があります。 | VPNコネクションの設定の“対向機器LAN側IPアドレス帯”の設定を確認してください。 |
| V002003 | プロキシIDの設定間違い | IKEv2 | 09[IKE] traffic selectors 172.16.1.0/24 === 192.168.1.0/24 inacceptable | VPNコネクションの設定の“対向機器LAN側IPアドレス帯”が間違っている可能性があります。 | VPNコネクションの設定の“対向機器LAN側IPアドレス帯”の設定を確認してください。 |
| V001004 | PFSの設定間違い | IKEv1 | “peer-203.0.113.234-tunnel-1” #3: we require PFS but Quick I1 SA specifies no GROUP_DESCRIPTION | 対向機器の設定でPFS(Perfect Forward Secrecy)が無効化されている可能性があります。 | 拠点間VPNゲートウェイは PFS が有効であることを期待します。対向機器の設定で PFS を有効化してください。 |
| V001005 | IKEパラメーターの設定間違い | IKEv1 | “peer-203.0.113.234-tunnel-1” #4: no acceptable Oakley Transform | 対向機器の設定で、IKEで用いる暗号化アルゴリズム、認証アルゴリズム、DHグループ(Deffie-Hellman グループ)の設定が間違っている可能性があります。 | “対向機器側のIKEの設定でDHグループ(Deffie-Hellman グループ)が 2(modp 1024bit)に設定されているか確認してください。対向機器側のIKEの暗号化アルゴリズムと認証アルゴリズムの設定がVPNコネクションの設定と一致しているか確認してください。” |
| V002005 | IKEパラメーターの設定間違い | IKEv2 | 03[IKE] received proposals inacceptable | 対向機器の設定で、IKEで用いる暗号化アルゴリズム、認証アルゴリズム、DHグループ(Deffie-Hellman グループ)の設定が間違っている可能性があります。 | “対向機器側のIKEの設定でDHグループ(Deffie-Hellman グループ)が 2(modp 1024bit)に設定されているか確認してください。対向機器側のIKEの暗号化アルゴリズムと認証アルゴリズムの設定がVPNコネクションの設定と一致しているか確認してください。” |
| V001006 | ESPパラメーターの設定間違い | IKEv1 | “peer-203.0.113.234-tunnel-1” #5: no acceptable Proposal in IPsec SA | 対向機器の設定で、ESPで用いる暗号化アルゴリズム、認証アルゴリズムの設定が間違っている可能性があります。 | 対向機器側のESPの暗号化アルゴリズムと認証アルゴリズムの設定がVPNコネクションの設定と一致しているか確認してください。 |
| V002006 | ESPパラメーターの設定間違い | IKEv2 | 05[IKE] no acceptable proposal found | 対向機器の設定で、ESPで用いる暗号化アルゴリズム、認証アルゴリズムの設定が間違っている可能性があります。 | 対向機器側のESPの暗号化アルゴリズムと認証アルゴリズムの設定がVPNコネクションの設定と一致しているか確認してください。 |
| V001007 | 途中経路上のFW設定間違い | IKEv1 | “peer-203.0.113.234-tunnel-0” #2: max number of retransmissions (x) reached STATE_MAIN_R1 | 拠点間VPNゲートウェイと対向機器の間のファイアウォール等の機器でIPsecパケットが破棄されている可能性があります。 | 途中経路のファイアウォール機器の設定を確認してください。拠点間VPNゲートウェイと対向機器の間のESP(プロトコル番号50)とUDPポート番号500、UDPポート番号4500の通信が許可されているか確認してください。 |
| V002007 | 途中経路上のFW設定間違い | IKEv2 | 04[IKE] received retransmit of request with ID 0, retransmitting response | 拠点間VPNゲートウェイと対向機器の間のファイアウォール等の機器でIPsecパケットが破棄されている可能性があります。 | 途中経路のファイアウォール機器の設定を確認してください。拠点間VPNゲートウェイと対向機器の間のESP(プロトコル番号50)とUDPポート番号500、UDPポート番号4500の通信が許可されているか確認してください。 |
| V001008 | 対向機器のNAT機能の設定間違い | IKEv1 | packet from 203.0.113.234:1234: initial Main Mode message received on 198.51.100.123:500 but no connection has been authorized with policy=PSK | 対向機器のNAT機能によってUDPポート番号500の通信が他のポート番号に変換されている可能性があります。 | 対向機器にUDPポート番号500の通信が他のポート番号に変換されないための設定が入っているか確認してください。 |
| V001009 | 対向機器ISAKMPメッセージの交換モード設定間違い | IKEv1 | packet from 203.0.113.234:500: unsupported exchange type ISAKMP_XCHG_AGGR in message | 対向機器の設定で、ISAKMPメッセージの交換手順としてAggressiveモードを使用している可能性があります。 | 対向機器の設定で、ISAKMPメッセージの交換手順としてMainモードを使用するように設定してください。 |
| V001010 | 対向機器からの応答なし | IKEv1 | “peer-203.0.113.234-tunnel-0” #2: max number of retransmissions (x) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message | 対向機器がインターネットに接続されていない、もしくはVPNコネクションの対向機器IPアドレスの設定が間違っていることにより対向機器から応答がない状態となっています。拠点間VPNゲートウェイと対向機器の間のファイアウォール等の機器が存在する場合、IPsecパケットが破棄されていることにより対向機器から応答がない状態となっている可能性があります。 | 対向機器がインターネットに接続されているか確認してください。また、VPNコネクション設定の“対向機器IPアドレス”が間違っていないか確認してください。拠点間VPNゲートウェイと対向機器の間のファイアウォール等の機器が存在する場合、ESP(プロトコル番号50)とUDPポート番号500、UDPポート番号4500の通信が許可されているか確認してください。 |
