RTX1100 リモートアクセスVPN確認コマンド
RTX1100にてリモートアクセスVPNを構築した後に
いろいろ確認する時に使用するコマンドをメモ
show status pp anonymous
ppインターフェースに接続してきたユーザーのユーザー名と
払い出しをしたIPアドレスなどの情報が確認できる。
またPPTPなのかL2TPなのかの確認もここでできる。
<出力例>
ANONYMOUS[01]:
PPTPセッションは接続されています →PPTPでのVPN接続
接続相手:
通信時間: 2時間9分50秒
受信: 1024 パケット [64534 オクテット]
送信: 1053 パケット [338945 オクテット]
PPPオプション
LCP Local: CHAP Magic-Number MRU, Remote: Magic-Number ACCM
IPCP Local: IP-Address, Remote: IP-Address
PP IP Address Local: 192.168.100.1, Remote: 192.168.100.150 →Remoteが払い出しされたIPアドレス
IPV6CP Local: Interface-ID, Remote: Interface-ID
PP Interface-ID Local:02a0defffe35537a, Remote:baf6b1fffe11f9ed
CCP: Mppe-128bit
受けとったUserId: hogetaro →ユーザーID
ANONYMOUS[02]:
L2TPセッションは接続されています
接続相手: hogehanako-PC
通信時間: 14秒
受信: 187 パケット [29782 オクテット]
送信: 38 パケット [1758 オクテット]
PPPオプション
LCP Local: CHAP Magic-Number MRU, Remote: Magic-Number MRU
IPCP Local:, Remote: IP-Address
PP IP Address Local: Unnumbered, Remote: 192.168.100.151
IPV6CP Local: Interface-ID, Remote: Interface-ID
PP Interface-ID Local:02a0defffe35537a, Remote:78d409d3c3a51daa
CCP: None
受けとったUserId: hogehanakoshow status pptp
PPTPで接続された通信のステータスを表示する。
どのトンネルインターフェースに接続されているのかや、接続元のIPアドレスも確認できる。
<出力例>
------------------- PPTP INFORMATION -------------------
Number of control table using
Tunnel Control: 1, Call Control: 1, GRE Control: 1
TUNNEL[11] Information →トンネルインターフェースの11に接続
TCP status: established
PPTP Call status: established
PPTP Service type: server
PAC status: established
Remote IP Address: XXX.XXX.XXX.XXX →接続元のグローバルIPアドレス(外部からの場合)
Local IP Address: 192.168.100.1
GRE status: open
Transmitted: 1086 packets [340381 octets]
Received: 1059 packets [66264 octets]
Transmit left: 0 packet
Transmitted ack number: 1038 times
Transmit ready timeout: 2124 times
Received ack number: 680 times
Received invalid sequence: 0 packet
Received delayed sequence: 3 packets
Received invalid ack: 0 packet
Received delayed ack: 3 packets
Received out of sequence: 13 packets
Received no data packet: 0 packet
MPPE Information
Rx key changed: 702
Tx key changed: 721
synchronized: 4
received delay: 0 time
lost detected: 22 times
reset condition: 0 time
reset done: 0 timeshow status l2tp
L2TPで接続された通信のステータスを表示する。
どのトンネルインターフェースに接続されているのかや、接続元のIPアドレスも確認できる。
<出力例>
------------------- L2TP INFORMATION -------------------
Number of control table using
Tunnel Control: 1, Session Control: 1
TUNNEL[1] Information →トンネルインターフェースの1に接続
Tunnel State: established
Local Tunnel ID: 26354
Remote Tunnel ID: 4
Local IP Address: 192.168.100.1
Remote IP Address: XXX.XXX.XXX.XXX →接続元のグローバルIPアドレス(外部からの場合)
Local Src Port: 1701
Remote Src Port: 1701
PP bind: ANONYMOUS[2]
Vendor: Microsoft
Hostname: hogehanako-PC
Tunnel has 1 session.
Session Information
Session State: established
Local Session ID: 9098
Remote Session ID: 1
Received: 604 packets [80712 octets]
Transmitted: 78 packets [4202 octets]show log show log reverse L2TP設定のところで「l2tp keepalive log on」「l2tp syslog on」と設定したり ip filter設定のところでpass-logなどの設定をしていると、logに詳細な情報が出力されるので トラブルシューティングの際に便利です。 ※ただ通常のときもにしているとログバッファがすぐいっぱいになります。 <出力例> PPTP接続時のログ 2015/03/24 16:46:05: PP[ANONYMOUS02] Remote PP IP address 192.168.100.151 2015/03/24 16:46:05: PP[ANONYMOUS02] Local PP IP address 0.0.0.0 2015/03/24 16:46:05: PP[ANONYMOUS02] PPP/IPCP up (Local: None, Remote: 192.168.100.151) 2015/03/24 16:46:05: ff 03 80 21 02 09 00 0a 03 06 c0 a8 64 97 2015/03/24 16:46:05: PP[ANONYMOUS02] SEND IPCP ConfAck in ACKRCVD | | | 2015/03/24 16:46:02: PP[ANONYMOUS02] SEND LCP ConfRej in REQSENT 2015/03/24 16:46:02: 12 da 07 02 08 02 0d 03 06 2015/03/24 16:46:02: ff 03 c0 21 01 00 00 15 01 04 05 78 05 06 29 02 2015/03/24 16:46:02: PP[ANONYMOUS02] RECV LCP ConfReq in REQSENT 2015/03/24 16:46:02: 81 05 06 2d 7c 15 ba 2015/03/24 16:46:02: ff 03 c0 21 01 01 00 13 01 04 07 00 03 05 c2 23 2015/03/24 16:46:02: PP[ANONYMOUS02] SEND LCP ConfReq in STARTING 2015/03/24 16:46:02: PP[ANONYMOUS02] PPTP Connect 2015/03/24 16:46:02: TUNNEL[12] PPTP connection is established: XXX.XXX.XXX.XXX L2TP keepaleveのログ 2015/03/24 16:45:28: [L2TP] recv ZLB from XXX.XXX.XXX.XXX 2015/03/24 16:45:28: [L2TP] keepalive HELLO send to XXX.XXX.XXX.XXX この他の情報も出てくる。
show ipsec sa L2TP/IPsecで接続した場合のSA情報を確認できるコマンド。 <出力例> sa sgw connection dir life[s] remote-id -------------------------------------------------------------------------- 1 1 isakmp - 28790 XXX.XXX.XXX.XXX 2 1 tra[001]esp send 3590 XXX.XXX.XXX.XXX 3 1 tra[001]esp recv 3590 XXX.XXX.XXX.XXX SA[1] 寿命: 28790秒 自分側の識別子: 192.168.100.1 相手側の識別子: XXX.XXX.XXX.XXX プロトコル: IKE NATトラバーサル: あり, キープアライブ: なし SPI: 73 0c da e6 ad 7a ae c6 a3 0d ed 0a ba d5 de 36 鍵 : ** ** ** ** ** (confidential) ** ** ** ** ** ---------------------------------------------------- SA[2] 寿命: 3590秒 250000キロバイト 自分側の識別子: 192.168.100.1 相手側の識別子: XXX.XXX.XXX.XXX 送受信方向: 送信 プロトコル: ESP (モード: transport) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: 32 de 27 5d 鍵 : ** ** ** ** ** (confidential) ** ** ** ** ** ---------------------------------------------------- SA[3] 寿命: 3590秒 249985キロバイト 自分側の識別子: 192.168.100.1 相手側の識別子: XXX.XXX.XXX.XXX 送受信方向: 受信 プロトコル: ESP (モード: transport) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: e6 3f bc fd 鍵 : ** ** ** ** ** (confidential) ** ** ** ** ** ---------------------------------------------------- IsakmpのSAの寿命はデフォルトで8時間(28800秒)みたい。 IPsecのSAの寿命はデフォルトで1時間(3600秒)みたい。
ちなみに、VPN接続が何らかの要因で正常終了しなかった場合には
SA情報にゴミが残る事があります。
この場合、L2TP/IPsecの再接続を行おうとすると接続できません。
logを確認すると
l2tp access duplicatedという重複していますよというエラーがでます。
show ipsec sa で表示された情報 sa sgw connection dir life[s] remote-id -------------------------------------------------------------------------- 2 2 tra[002]esp recv 173 XXX.XXX.XXX.XXX SA[2] 寿命: 173秒 自分側の識別子: 192.168.100.1 相手側の識別子: XXX.XXX.XXX.XXX 送受信方向: 受信 プロトコル: ESP (モード: transport) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: 09 4c f9 43 鍵 : ** ** ** ** ** (confidential) ** ** ** ** ** ---------------------------------------------------- 通常時と違って、isakmpのSAとsendのSAがありません。
その場合には、SA寿命が終了するまで待つか
ipsec refresh sa か ipsec sa delete all
コマンドにてSA情報を手動で更新すると再度接続できるようになります。
ipsec refresh allは対向先にSA削除を通知しないで、削除するようです。
リモートアクセスVPNなどで対向先がPCなどの場合はipsec refresh saでいいかもしれません。
拠点間VPNなどの場合は、対向先にSA削除を通知するipsec sa delete allコマンドを
使った方がいいかもしれません。
何はともあれ、使えるルーターですね。
 おすすめ商品!□♪YAMAHA イーサアクセス VPNルーター RTX1100 【中古】 |
Crucial MX100 2.5インチ内蔵型SSD 512GB SATAIII CT512MX100SSD1
- 出版社/メーカー: Crucial Technology
- 発売日: 2014/06/05
- メディア: Personal Computers
- この商品を含むブログを見る
