不到一个月前,我们不得不用新的 SRX 300 替换旧的 SRX 210 HE 设备,因为旧设备开始变得不可靠。我们有两条通往两个不同地方的 IPSeC 隧道,它们都运行正常。然而,在我们根据从 SRX 210 HE 中提取的配置重建 SRX 300 设备的配置后,只有一条 IPSeC 隧道连接上了。
看来 IKE 第 1 阶段不起作用。输入:
show security ike security-associations
给出以下输出
Index State Initiator cookie Responder cookie Mode Remote Address
1897066 UP 4cbbffa7700d641b d57600a59dc24c3a Main xxx.xxx.xxx.xxx
1897435 DOWN c3cf8b4f3a140154 0000000000000000 Main xxx.xxx.xxx.xxx
由于 Responder cookie 为 00000000000000000,这意味着没有收到对方的回复。我咨询了他们,他们的日志显示以下错误:
IP = xxx.xxx.xxx.xxx, Received an un-encrypted NO_PROPOSAL_CHOSEN notify message, dropping
另一方面,我们的日志出现以下错误:
xxx.xxx.xxx.xxx:500 (Initiator) <-> xxx.xxx.xxx.xxx:500 { 0ecdfc62 8ee2e521 - 00000000 00000000 [-1] / 0x00000000 } IP; Connection timed out or error, calling callback
发生此错误时没有发送响应是正常行为吗?显然这应该是由于 IKE 提议不匹配造成的,但我们已经仔细检查了提议设置,它们应该是兼容的,特别是因为隧道在我们切换设备之前就正常工作了。他们的日志似乎没有包含比这更具体的信息,这将有助于解决问题。
提案设置如下。
我们的:
authentication-method pre-shared-keys
dh-group group14
authentication-algorithm sha1
encryption-algorithm aes-256-cbc
lifetime-seconds 28800
他们的:
Authentication pre-share
D-H Group 14
Hash sha
Encryption aes-256
Lifetime(seconds) 28800
唯一可能出错的是预共享密钥,但我尝试多次设置它,以防我输入错误。不匹配的预共享密钥不应该给出更具体的错误吗?
有人能帮助我找出可能导致 IKE 第 1 阶段问题的原因吗?
编辑:
有一次,在检查 ike security-associations 时,我发现了一个不同之处。设备似乎收到了响应者 cookie,但模式未知且状态为关闭。我从日志中找到了此错误。
Initiate IKE P1 SA 1898475 delete. curr ref count 2, del flags 0x3. Reason: Internal Error: Unknown event (0)
安全关联如下:
Index State Initiator cookie Responder cookie Mode Remote Address
1897579 UP e828d4c3cf65dea4 0a7d6e8c8a5f7fa1 Main xxx.xxx.xxx.xxx
1897673 DOWN ed7d4957fd811775 49d7f52a48f53679 Unknown xxx.xxx.xxx.xxx