Surveiller et Dépanner les Tunnels BOVPN
Les tunnels Branch Office VPN (BOVPN) nécessitent une connexion fiable et des paramètres de configuration VPN identiques sur les deux endpoints VPN. Un problème de connectivité réseau ou une erreur de configuration peut entraîner des problèmes.
Après avoir configuré un nouveau tunnel BOVPN, vérifiez qu'il fonctionne :
- Envoyer le trafic à travers le tunnel
- Surveiller le status du tunnel
Envoyer le Trafic à Travers le Tunnel
Votre Firebox ne négocie un tunnel VPN que lorsque le trafic doit utiliser le tunnel. Pour tester un nouveau tunnel VPN, vous devez essayer d'envoyer des données à une adresse IP sur le réseau distant. Le tunnel VPN n'est généralement pas créé tant que vous n'essayez pas d'envoyer des données. La source et la destination des données que vous envoyez doivent être autorisées par la route de tunnel configurée pour ce VPN.
Par exemple, lorsque vous envoyez une requête ping à un périphérique sur le réseau distant, la requête ping échoue si :
- Le tunnel est en panne.
- L'adresse IP source ou de destination n'est pas autorisée par la route du tunnel dans la configuration VPN.
- Le périphérique distant est hors ligne ou ne répond pas à un ping. Cependant, si le périphérique distant est hors ligne ou ne répond pas à un ping, le trafic ping fait toujours remonter le tunnel.
Dépanner les Problèmes
Pour dépanner un BOVPN, nous vous recommandons de vous concentrer sur les paramètres VPN, les messages et les journaux :
- Vérifiez que les paramètres VPN sont les mêmes sur les deux appareils.
Par exemple, vérifiez que les clés pré-partagées, les paramètres Phase 1 et Phase 2 sont identiques sur les deux périphériques. - Dans les paramètres de routage du tunnel pour les deux périphériques, vérifiez que les adresses IP et les masques de sous-réseau sont corrects :
- Pour les BOVPN manuels, l'adresse IP locale doit correspondre à l'adresse IP d'un hôte ou d'un réseau local.
- L'adresse IP distante doit être l'adresse IP d'un hôte ou d'un réseau privé sur la passerelle VPN distante.
- Pour les interfaces virtuelles BOVPN, spécifiez une route qui existe sur le site distant. Si vous spécifiez une route inexistante sur le site distant, le trafic ne transite pas comme escompté, même si le tunnel VPN s'établit.
- Les routes du tunnel sur les deux périphériques doivent être inversées lorsqu'elles sont vues côte à côte.
- Affichez les messages de diagnostic VPN.
- Exécuter le rapport de diagnostic VPN
- Passez en revue les messages de journal IKE sur chaque périphérique pendant la négociation du tunnel.
- Pour une connexion qui expire complètement, essayez d'envoyer une requête ping à l'interface externe du périphérique distant pour vérifier la connectivité.
Assurez-vous que le périphérique distant est configuré pour répondre aux pings. Pour permettre à un Firebox de répondre à un ping sur l'interface externe, vous devez modifier la stratégie de ping pour autoriser les pings de l'alias Tout-Externe. - Enregistrez un fichier de capture de paquets (.PCAP) pour diagnostiquer les problèmes liés au trafic BOVPN.
Pour de plus amples informations concernant l'exécution des tâches de diagnostic de Fireware telles que ping et TCP dump, consultez la section :
- Exécuter les Tâches de Diagnostic sur Votre Firebox (Fireware Web UI)
- Exécuter des Tâches de diagnostic pour en savoir plus sur les Messages de journal (WatchGuard System Manager)
Surveiller l'État du Tunnel VPN
Pour plus d'informations sur la surveillance de l'état VPN à partir de Fireware Web UI, consultez Statistiques de VPN.
Lorsque vous êtes connecté au Firebox, vous pouvez consulter l'état actuel des tunnels Branch Office VPN dans l'onglet Panneau Avant de Firebox System Manager ou l'onglet État du Périphérique de WatchGuard System Manager. Pour consulter l'état de la passerelle et du tunnel et les éventuels messages de diagnostic VPN en cas d'échec de la connexion du tunnel VPN, développez la passerelle. Vous pouvez faire un clic droit sur une passerelle dans Firebox System Manager pour exécuter le Rapport de Diagnostic VPN ou forcer le renouvellement des clés de tous les tunnels associés.
Pour plus d'informations sur le contrôle de l'état du VPN dans Firebox System Manager, consultez État du Tunnel VPN et des services d'abonnement.
Utiliser les Rapports et les Messages de Diagnostic VPN
Pour dépanner la cause d'un problème de tunnel Branch Office VPN, vous pouvez :
- Utiliser les Messages de Diagnostic de Réseau Privé VPN
- Utiliser le Rapport de diagnostique VPN
- Utiliser les Rapports de Configuration BOVPN
- Filtrer les messages de journal Branch Office VPN
Si vous avez vérifié que vos endpoints Branch Office VPN sont actifs et ont des paramètres VPN correspondants mais que votre VPN ne fonctionne pas correctement, envisagez d'autres circonstances qui peuvent créer des problèmes avec un Branch Office VPN et les mesures que vous pouvez prendre pour améliorer la disponibilité du VPN.
Pour plus d'informations, consultez Améliorer la disponibilité d'un Tunnel Branch Office VPN (BOVPN).
Surveiller le Répondeur
Lorsque vous configurez un VPN, le tunnel n'est établi que lorsque le Firebox a besoin de router du trafic via le tunnel. L'endpoint de passerelle qui essaie la première de router du trafic via le tunnel initie la négociation du tunnel. Pour toutes les négociations Branch Office VPN, chaque endpoint de passerelle a l'un des deux rôles suivants :
- L'initiateur est l'endpoint qui commence la négociation du tunnel. Il envoie des propositions de Phase 1 et de Phase 2 au endpoint distant pour commencer la négociation.
- Le répondeur reçoit les propositions VPN de Phase 1 et de Phase 2 et accepte les propositions si elles correspondent aux paramètres configurés localement. Les propositions sont rejetées si ce n'est pas le cas.
Lorsque vous dépannez un Branch Office VPN, il est utile de regarder les messages de diagnostic VPN et d'exécuter le Rapport de Diagnostic VPN sur le répondeur. Le répondeur contient des informations sur les deux paramètres proposés par l'initiateur et les paramètres configurés localement. Par conséquent, les messages de diagnostic VPN et le Rapport de Diagnostic VPN du répondeur apportent des informations plus complètes.
Si le BOVPN utilise IKEv2, les messages de journal de diagnostic du répondeur contiennent des informations plus complètes sur les paramètres qui ne correspondent pas. Pour plus d'informations sur les paramètres IKEv2, consultez Configurer les Paramètres IPSec de Phase 1.
Pour que votre Firebox soit le répondeur lorsque vous contrôlez les négociations de tunnel, vous pouvez :
- Essayez d'envoyer du trafic via le tunnel avec un périphérique du réseau distant.
- Demandez à l'administrateur de l'endpoint de la passerelle distante de forcer le renouvellement de la clé du tunnel.
Pour plus d'informations sur les négociations IPSec VPN, consultez À propos des Négociations VPN IPSec.
À Propos des Limites de Route de Tunnel
Il est possible de configurer un nombre de routes de tunnel Branch Office VPN supérieur au nombre de routes de tunnel actives prises en charge par le Firebox. Un Firebox ne peut pas établir un nombre de routes de tunnels Branch Office VPN supérieur au maximum autorisé par sa licence dans la clé de fonctionnalité. Si le périphérique tente d'établir un tunnel BOVPN qui serait au-delà de la limite, le message suivant s'affiche dans le fichier journal :
Application de la licence (BOVPN_TUNNEL) : nombre maximum de tunnels atteint.
Un avertissement apparaît également dans l'onglet Panneau avant de Firebox System Manager et sur la page État du Système > Statistiques VPN de Fireware Web UI.
Pour plus d'informations sur les limites de tunnels imposées par la licence et leurs avertissements, consultez Capacité et Octroi de Licence pour Tunnel VPN.
Autres Outils de Dépannage
Si vous n'arrivez pas à vous connecter aux ressources réseau via un tunnel VPN établi, consultez Dépanner la Connectivité Réseau pour plus d'informations sur les autres actions que vous pouvez entreprendre pour identifier et résoudre le problème.