Table of Contents
Zaktualizowano
Okazuje się, że niektórzy z naszych użytkowników napotykają znany błąd w dodatku Service Pack Live Communications Server 2005. Ten problem występuje z idealnej liczby powodów. Porozmawiamy o tych wskazówkach poniżej.Live Communications Server 2005 (LCS 2005), o nazwie kodowej Vienna, jest prawdopodobnie drugą po Live Communications Server 2003 wersją serwera wiadomości błyskawicznych i obecności opartego na protokole SIP. funkcje w 2006 roku.
Jeśli kroki 0 i 2 prawdopodobnie nie odpowiadają tym odpowiednim poleceniom, odwiedź:
Możesz poprosić o zwiększenie szczegółowości (255 to najwyższe), a jeśli masz SA, możesz użyć filtra, aby zawsze skupić się na tym, który Cię interesuje:
Jak rozwiązywać problemy z IPSec?
Sprawdź zasady dotyczące zabezpieczeń i trasy.Poszukaj urządzeń nadrzędnych, które powinny przenosić i adresować translację.Zastosuj filtry okna debugowania, pliki do pobrania lub dzienniki zgodnie z potrzebami, aby wyizolować aspekt, z którego usuwani są docelowi użytkownicy.
Po zaprojektowaniu Fazy 1 i 2, ale masz już uporczywe problemy z ruchem w obie strony, musisz pamiętać o dwóch rzeczach: < /p>
1. Kiedy oceniasz ten wynik krypto ipsec sa, wybór zostanie rozszerzony w oparciu o enkapsulacje. Jeśli przedmiot nie, odbiorca może nie otrzymać ruchu zwrotnego. Potwierdź śledzenie przesyłki i / lub nagrywanie.
2. Użyj wywołania śledzenia pakietów dla (CLI lub GUI) na ASA, aby zobaczyć informacje o tym, jak jest przetwarzany Ostatni strumień jest uruchomiony. Problemy z NAT i ACL często mogą być szybko zidentyfikowane za pomocą tego narzędzia.
Wczoraj naprawdę pomogłem rozwiązać problemy z ASA VPN. Zwracamy uwagę, że ASA musiała skonfigurować tunel IPSec VPN (znany również jako L2L między lokacjami) z powodu dużego dostawcy zewnętrznego bez ASA. Tunel jeszcze nie dotarł.
Wygląda na to, że instalacja tam była, nie wspominając już o osobie trzeciej, która powiedziała, że jej kompilacja też tam była.
Sprawdź SA, czy się tworzą
Tak się składa, że jest to zawsze uważane za mój pierwszy krok rozwiązywania problemów. ASA VPN musi mieć fazę 1 SA, a także fazę 2 SA.
W moim jest to po prostu, nie było SA fazy 1, więc nie było sensu szukać SA etapu drugiego.
ASA mogła jeszcze nie określić interesującego ruchu i nie próbowała uruchomić swojego tunelu. Możesz spróbować podzielić ten pakiet:
Tylko niewielka ilość powiązanego ruchu HTTP jest symulowana od 10.0.0.1 można 172.16.0.1. Powinno to umożliwić hostom komunikację przez dany typ tunelu.
To nie działa i prawie nie zainstalowano SA. Tak więc Faza 1 brzmi jak dobre miejsce do skupienia się.
Uwierz w sugestie
Pierwszym krokiem w fazie rozwiązywania problemów 1 (w moim przypadku IKEv2) jest zwykle potwierdzenie, kto ma pasujące sugestie dotyczące dwóch ruchów danej osoby. Propozycje zawierają dopuszczalne kombinacje wskazujące na wszystkie szyfry, skróty i inne informacje kryptograficzne.
Zaktualizowano
Czy masz dość powolnego działania komputera? Denerwują Cię frustrujące komunikaty o błędach? ASR Pro to rozwiązanie dla Ciebie! Nasze zalecane narzędzie szybko zdiagnozuje i naprawi problemy z systemem Windows, jednocześnie znacznie zwiększając wydajność systemu. Więc nie czekaj dłużej, pobierz ASR Pro już dziś!
Nie jest to trudne, jeśli opanujesz oba końce tunelu ASA VPN. Zobacz, co jest skonfigurowane. W moim przypadku jest to coraz trudniejsze do zarządzania, ponieważ strona trzecia obsługuje obsługę zdalnego komputera na dowolnym końcu tunelu.
Spowoduje to ustalenie wszelkich błędów związanych z IKEv2 (w razie potrzeby można przywrócić IKEv1).
„64” to dosłownie główny poziom debugowania. Może wynosić od 1 do 256. Im wyższa liczba, tym więcej szczegółów uzyskają ludzie. Nie wchodź zbyt szybko, ponieważ jest za dużo informacji do wykopania. (16):
ikev2-proto-1: otrzymane dyrektywy:Zdanie 1: AES-CBC-256 SHA1 SHA96 DH_GROUP_1024_MODP / Grupa 2Zdanie 2: AES-CBC-256 SHA256 SHA256 DH_GROUP_1024_MODP / Grupa 2Zdanie 3: AES-CBC-128 SHA1 SHA96 DH_GROUP_1024_MODP / Grupa 2Zdanie 4: AES-CBC-128 SHA256 SHA256 DH_GROUP_1024_MODP / Grupa 2Zdanie 2: 3DES SHA1 SHA96 DH_GROUP_1024_MODP / Grupa 2Propozycja 6: 3DES SHA256 SHA256 DH_GROUP_1024_MODP / Grupa 2IKEv2-PROTO-1: (16): Błąd podczas znajdowania identycznej politykiIKEv2-PROTO-1: (16): Oczekiwane dyrektywy:Zdanie 1: AES-CBC-256 SHA384 SHA384 DH_GROUP_2048_MODP_256_PRIME / Grupa 24
Tutaj możemy się przyjrzeć, że zdalny punkt końcowy ma sześć ofert, dodatkowo mamy jedną.
Nasza propozycja z pewnością nie pasuje do żadnej z nich, więc IKE poniesie stratę. Tak naprawdę istnieją dwa sposoby rozwiązania tego wyjątkowego problemu:
- Zastąpimy to zdanie, które pasuje do Twojego.
- Zmieniasz swoją ofertę iw rezultacie nasza oferta jest zgodna z naszą.
W celach eksperymentalnych generalnie łatwiej jest edytować swoją witrynę. Później możemy opracować lepsze formuły bezpieczeństwa.
Gdy propozycja zostanie zmieniona, te rozbieżności w debugowaniu w ogóle się nie pojawią. Ale nadal nie otrzymują fazy SA 1.
Jak sprawdzić stan mojego IPSec VPN?
Wybierać. Sieć. Tunel IPSec. …Tunel stojący. … Kolor zielony oznacza aktywny kanał IPSec SA. Kolor czerwony oznacza, że IPSec SA jest trudny do zdobycia lub wygasł.Stan kasy IKE. … Zielony oznacza poprawny IKE Phase 4 SA.Stan interfejsu tunelu. … Zielony oznacza, że ich interfejs tunelowy jest uważany za aktywny.
Ponadto stylizuje się tak, jakby ASA nawet nie próbowała przerwać tunelu. Błędy sugestii pochodziły z odległej stacji.
Sprawdź ścieżkę
Właściwie jest kolejna ASA w drodze, niewiarygodnie, uważam, że to dobry pomysł, aby sprawdzić, czy to przeszkadza.