[RTX] VPN ipsec IKEV2 で自動再接続に必要なコマンド

RTX

概要

IKEV2 で接続しているVPNが何らかの理由でダウン。再接続を試みてくれるはずだが,トンネルダウンのまま。ステータス表示では IKEキープアライブがOKであるが,「トンネルインターフェースは接続されていません」となっている

対応

自動的に再接続させるために必要なコマンド

tunnel select トンネル番号
ipsec ike keepalive use トンネル番号 on rfc4306 間隔(秒) 回数
ipsec auto refresh トンネル番号 on

ポイント
IKEV2の場合,RTXで対応しているキープアライブ方式は rfc4306かICMP Echo のどちらかです。仮に上記のコマンドで on heartbeat としてもコマンドエラーとなりませんが,rfc4306 方式に内部変更されます。show status tunne トンネル番号 で確認(記事下参照)すると,何でキープアライブしているかわかります。
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ipsec/ipsec_ike_keepalive_use.html

補足
rfc4306 でのキープアライブにおいても再接続しない場合は,icmp-echo 方式に変更するしかありません。他社メーカーとの接続の場合,IKEキープアライブは正常OKとなっているのに,「トンネルインターフェースは接続されていません」となる場合などです。(RTXと Palo Alto PA-3220 での ikev2 による接続の場合…PA3220の設定によるのかもしれませんが)
ipsec ike keepalive use トンネル番号 on icmp-echo 相手先IPアドレス 間隔(秒) 回数

トンネルの状況確認のコマンド

show status tunnel トンネル番号。RFC4306でキープアライブがなされている。

show status tunnel

プロパティ

RTX1210 Rev.14.01.26
Palo Alto Networks PA-3220 (対向検証用として)

コメント

タイトルとURLをコピーしました