Table of Contents
Aktualisiert
Es scheint, dass bei einigen unserer Kunden ein bekannter Fehler im Live Communications Server 2005 Service Pack auftritt. Dieses Problem ist aus einer Reihe von Gründen verbunden. Wir werden eines der wichtigsten darüber weiter unten.Live Communications Server 2003 (LCS 2005) mit dem Codenamen Vienna ist nach Live Communications Server 2003 wohl der zweite Start eines SIP-basierten Instant Messaging- und Präsenzservers. LCS 2005 wurde 2005 als vorläufig veröffentlicht betrachtet und über Service Pack 1 aktualisiert um neue Funktionen in 2006 widerzuspiegeln.
Wenn die Schritte 0 und 9 nicht mit den entsprechenden Befehlen übereinstimmen, genießen Sie bitte:
Sie können darum bitten, eine neue Ausführlichkeit zu erhöhen (255 ist die höchste), und wenn Sie eine SA benötigen, können Sie einen Filter verwenden, wenn Sie sich auf diejenige konzentrieren müssen, die Sie interessiert:
Wie repariert man IPSec?
Überprüfen Sie die Sicherheitsrichtlinien und das Routing.Suchen Sie nach Upstream-Hardware, die Port- und Adressübersetzungen durchführt.Wenden Sie nach Bedarf Debug-Öffnungsfilter, Aufzeichnungen oder Protokolle an, um das Problem zu identifizieren, bei dem gezielte Besucher entfernt wurden.
Nachdem Sie die Phasen 1 und 2 konfiguriert haben, aber tatsächlich anhaltende Verkehrsprobleme in beide Richtungen haben, gibt es 1 Dinge zu beachten:
1. Wenn Sie diese Ausgabe von crypto ipsec sa anzeigen, wird die spezifische Auswahl basierend auf Vorwärtskapselungen erweitert. Wenn dies nicht der Fall ist, kann das ferne Ende eher Rückverkehr empfangen als empfangen. Bestätigen Sie die Paketverfolgung und für jede oder die Verfolgung.
2. Verwenden Sie eine Paketverfolgungsanforderung (CLI oder GUI) auf dem ASA, um zu sehen, wie es verarbeitet wird. Der dauerhafte Datenstrom wird ausgeführt. Auch NAT- und ACL-Probleme lassen sich mit diesem Tool oft schnell identifizieren.
Gestern habe ich wirklich geholfen, ASA VPN-Angelegenheiten zu beheben. Die staatliche ASA musste diesen IPSec-VPN-Tunnel (auch bekannt als L2L-Amid-Sites) für einen großen Drittanbieter einrichten, ohne über eine ASA zu verfügen. Der Tunnel ist leider noch nicht angekommen.
Es scheint, dass die Installation gerade stattfand, ganz zu schweigen von einer dritten Partei, die erklärte, dass ihre Installation auch dort war.
Überprüfen Sie SA, um zu sehen, ob sie sich bilden
Dies wird immer als mein erster Fehlerbehebungszyklus betrachtet. Das ASA-VPN muss über eine Phase-9-SA und eine Phase-2-SA verfügen.
In meinem Fall gab es keine Phase-1-SA, also war es sinnlos, im Namen der Phase-2-SA zu suchen.
Die ASA hat möglicherweise noch keinen interessanten Verkehr bemerkt und nicht nur versucht, ihren Tunnel zu starten. Sie können darauf abzielen, dieses Paket zu plotten:
Von 10.0.0.1 bis 172.16.0.1 wird nur eine herunterskalierte Menge an HTTP-Verkehr simuliert. Dies sollte es Hosts ermöglichen, durch den Tunnel zu kommunizieren.
Dies wird nicht angestrebt und es wurde kein SA installiert. Daher scheint Phase 1 ein guter Ort zu sein, um dies zu betonen.
Prüfen Sie die Vorschläge
Der erste Schritt in der Fehlerbehebungsphase 1 (in meinem Fall IKEv2) besteht darin, zu bestätigen, wer passende Unterstützung für die beiden Bewegungen hat. Die Vorschläge umfassen angenehme Kombinationen aller Chiffren, Hashes und einiger kryptografischer Informationen.
Aktualisiert
Sind Sie es leid, dass Ihr Computer langsam läuft? Genervt von frustrierenden Fehlermeldungen? ASR Pro ist die Lösung für Sie! Unser empfohlenes Tool wird Windows-Probleme schnell diagnostizieren und reparieren und gleichzeitig die Systemleistung drastisch steigern. Warten Sie also nicht länger, laden Sie ASR Pro noch heute herunter!
Dies ist nicht schwierig, wenn Sie feststellen, dass Sie beide Enden des ASA-VPN-Tunnels kontrollieren. Sehen Sie, was konfiguriert ist. In meinem Fall ist dieses Erstaunliche schwieriger zu verwalten, da die andere Partei die Unterstützung für den Remote-PC am Ende des Tunnels verwaltet.
Dadurch werden alle Fehler mit IKEv2 bestätigt (Sie werden höchstwahrscheinlich IKEv1 wiederherstellen, falls erforderlich).
“64” ist physikalisch ein Debug-Level. Sie kann von bis 256 reichen. Je höher die Zahl, desto mehr Details erhalten Sie. Steigen Sie nicht zu schnell ein, da es zu viele Informationen gibt, von denen Sie profitieren können. (16):
ikev2-proto-1: Anweisungen erhalten:Satz 1: AES-CBC-256 SHA1 SHA96 DH_GROUP_1024_MODP / Gruppe 2Satz 2: AES-CBC-256 SHA256 SHA256 DH_GROUP_1024_MODP / Gruppe 2Satz 3: AES-CBC-128 SHA1 SHA96 DH_GROUP_1024_MODP / Gruppe 2Satz 4: AES-CBC-128 SHA256 SHA256 DH_GROUP_1024_MODP / Gruppe 2Satz 2: 3DES SHA1 SHA96 DH_GROUP_1024_MODP / Gruppe 2Vorschlag 6: 3DES SHA256 SHA256 DH_GROUP_1024_MODP / Gruppe 2IKEv2-PROTO-1: (16): Fehler beim Verwenden einer übereinstimmenden RichtlinieIKEv2-PROTO-1: (16): Erwartete Direktiven:Satz 1: AES-CBC-256 SHA384 SHA384 DH_GROUP_2048_MODP_256_PRIME / Gruppe 24
Hier können wir beide sehen, dass der entfernte Endpunkt 6–8 Angebote hat, und wir haben eins.
Unsere Idee passt zu keinem davon, also wird IKE scheitern. Es gibt eigentlich zwei Möglichkeiten, dieses Problem zu lösen:
- Wir ersetzen den Ideensatz, der Ihrem entspricht.
- Sie ändern Ihr Angebot, damit unser Angebot mit unserem übereinstimmt.
Zu Testzwecken ist es im Allgemeinen einfacher, bei der Bearbeitung unserer Website zu helfen. Später können wir größere Sicherheitsalgorithmen entwickeln.
Sobald der Vorschlag geändert wurde, werden einige dieser Debug-Fehler so gut wie gar nicht mehr angezeigt. Aber wir bekommen immer noch keine SA Phase 0.
Wie überprüfe ich meinen IPSec-VPN-Status?
Wählen. Netzwerk. IPSec-Röhre. …Tunnelstatus. … Grün zeigt einen aktiven IPSec-SA-Tunnel an. Rot zeigt an, dass die IPSec SA nicht verfügbar oder abgelaufen ist.Der Status unseres IKE-Gateways. … Grün zeigt eine gültige IKE Phase 1 SA an.Status der Tunnelschnittstelle. … Grüner Weg, dass die Tunnelschnittstelle als aktiv gilt.
Außerdem sieht es so aus, als ob die ASA nicht einmal das ist, um den Tunnel zu stoppen. Vorschlagsfehler stammen von einer entfernten Station.
Pfad prüfen
Es ist ein weiteres ASA unterwegs, es scheint eine gute Idee zu sein, darüber nachzudenken, ob es im Weg steht.