[OCI,RTX]Oracle Cloud InfrastructureとRTXでVPN(IPsec)接続できない場合のチェックポイント

Oracle Cloud

チェック項目

基本的に,以下のサイトで紹介されている 設定 で接続可能です。

Oracle Cloud InfrastructureとVPN(IPsec)接続するルーターの設定 : コマンド設定
ヤマハのネットワーク機器の設定例ページで...

検証日:2020/9/30
RTX1210 Rev.14.01.38
RTX830 Rev.15.02.17 , Rev.15.02.13

RTXファームウェアのバージョン

ファームウェアが古いと対応していないようです。Yamahaのサイトで対応バージョンかどうか確認し必要に応じてアップデートしなければなりません。

ip pp address (ルーターのグローバルIPアドレス) が記述されているか

トンネルの設定部分を注視しがちですが,PP インターフェースに
ip pp address (ルーターのグローバルIPアドレス) ・・・※1
が記述されているでしょうか。

nat descriptor address inner xx (ルーターのグローバルIPアドレスが含まれている,またはAuto)
この場合,上記の※1がなければリンクアップしないか,IPSECフェーズ2が失敗します。

nat descriptor address inner xx (ローカルアドレスのみ)
この場合,上記の※1はなくてもOCIに接続できていました。

メモ

ip pp address を設定すると,いわゆる「ヘアピンNAT」が無効になります。
ルーター配下に WEBサーバーなどNATを使って稼働させている場合は注意が必要です。
ルーター配下のPCからグローバルIPでWEBサーバーに接続できなくなります。
この場合,WEBサーバーのローカルIPで接続させるよう変更しなければなりません。
社内から接続するURLを別のものにするか,社内PCが使用するDNSサーバーを調整してローカルIPを返すようにするか。

ipsec ike nat-traversal x on になっているか

OCIのサイト側はNATトラバーサルを使用しません。Yamahaルーターもインターネットに直接つながっているのでOFFでもいいかと思いますが,ON でないと リンクアップしませんでした。

VPNはUP, IPSECは稼働中となっているのにPINGが飛ばない

考えられる要素は大きく3つ

●OCIで設定しているルーティングの設定またはYamahaルーターに設定しているルーティング設定に問題があるかもしれない

●単にOCI側のルーティングの設定反映に時間がかかっているだけ
 メモ:私の場合,ルーティング設定に問題がなかったが,OCIにあるインスタンスとCPE側にあるすべての端末が通信できるようになるまで2日ほどかかった。2日間かけて,徐々に通信できる端末が増えていき,またPINGがNGでもTCP通信を行うアプリが使えるなど不思議な状況に見舞われた。いずれにせよ設定を変えることなく2日間放置していただけ。

●OCIまたはCPE側のファイアウォールでブロックされている
OCI側としては,セキュリティリストの設定を見直すことと。インスタンス(仮想サーバー)に設定されているファイアウォールがどうなっているか。同様に,CPE側でもファイアウォールでブロックされていないかどうか。

調査やサポート受けるために

show ipsec sa

SA が作成されているかどうかを確認できる。SAが作成されていなければ,WANやフィルターの設定,IPSEC SA policy の設定を見直す

packetdump pp x

実際に 何が起きているのか パケットキャプチャ を行える。OCIと何かしらやり取りできているのか,それともまったく通信ができていなか参考になる。

syslog debug on が必要

43.10 パケットダンプの設定

Yamahaのサポートに提出するファイルを取得する

もしYamahaのサポートにヘルプを求める場合は,ルーターのWEB設定画面にアクセスして 右上にある TECHINFO からテキストファイルを取得し提出する。

コメント

タイトルとURLをコピーしました