RTX1100 リモートアクセスVPN確認コマンド
RTX1100にてリモートアクセスVPNを構築した後に
いろいろ確認する時に使用するコマンドをメモ
show status pp anonymous ppインターフェースに接続してきたユーザーのユーザー名と 払い出しをしたIPアドレスなどの情報が確認できる。 またPPTPなのかL2TPなのかの確認もここでできる。 <出力例> ANONYMOUS[01]: PPTPセッションは接続されています →PPTPでのVPN接続 接続相手: 通信時間: 2時間9分50秒 受信: 1024 パケット [64534 オクテット] 送信: 1053 パケット [338945 オクテット] PPPオプション LCP Local: CHAP Magic-Number MRU, Remote: Magic-Number ACCM IPCP Local: IP-Address, Remote: IP-Address PP IP Address Local: 192.168.100.1, Remote: 192.168.100.150 →Remoteが払い出しされたIPアドレス IPV6CP Local: Interface-ID, Remote: Interface-ID PP Interface-ID Local:02a0defffe35537a, Remote:baf6b1fffe11f9ed CCP: Mppe-128bit 受けとったUserId: hogetaro →ユーザーID ANONYMOUS[02]: L2TPセッションは接続されています 接続相手: hogehanako-PC 通信時間: 14秒 受信: 187 パケット [29782 オクテット] 送信: 38 パケット [1758 オクテット] PPPオプション LCP Local: CHAP Magic-Number MRU, Remote: Magic-Number MRU IPCP Local:, Remote: IP-Address PP IP Address Local: Unnumbered, Remote: 192.168.100.151 IPV6CP Local: Interface-ID, Remote: Interface-ID PP Interface-ID Local:02a0defffe35537a, Remote:78d409d3c3a51daa CCP: None 受けとったUserId: hogehanako
show status pptp PPTPで接続された通信のステータスを表示する。 どのトンネルインターフェースに接続されているのかや、接続元のIPアドレスも確認できる。 <出力例> ------------------- PPTP INFORMATION ------------------- Number of control table using Tunnel Control: 1, Call Control: 1, GRE Control: 1 TUNNEL[11] Information →トンネルインターフェースの11に接続 TCP status: established PPTP Call status: established PPTP Service type: server PAC status: established Remote IP Address: XXX.XXX.XXX.XXX →接続元のグローバルIPアドレス(外部からの場合) Local IP Address: 192.168.100.1 GRE status: open Transmitted: 1086 packets [340381 octets] Received: 1059 packets [66264 octets] Transmit left: 0 packet Transmitted ack number: 1038 times Transmit ready timeout: 2124 times Received ack number: 680 times Received invalid sequence: 0 packet Received delayed sequence: 3 packets Received invalid ack: 0 packet Received delayed ack: 3 packets Received out of sequence: 13 packets Received no data packet: 0 packet MPPE Information Rx key changed: 702 Tx key changed: 721 synchronized: 4 received delay: 0 time lost detected: 22 times reset condition: 0 time reset done: 0 time
show status l2tp L2TPで接続された通信のステータスを表示する。 どのトンネルインターフェースに接続されているのかや、接続元のIPアドレスも確認できる。 <出力例> ------------------- L2TP INFORMATION ------------------- Number of control table using Tunnel Control: 1, Session Control: 1 TUNNEL[1] Information →トンネルインターフェースの1に接続 Tunnel State: established Local Tunnel ID: 26354 Remote Tunnel ID: 4 Local IP Address: 192.168.100.1 Remote IP Address: XXX.XXX.XXX.XXX →接続元のグローバルIPアドレス(外部からの場合) Local Src Port: 1701 Remote Src Port: 1701 PP bind: ANONYMOUS[2] Vendor: Microsoft Hostname: hogehanako-PC Tunnel has 1 session. Session Information Session State: established Local Session ID: 9098 Remote Session ID: 1 Received: 604 packets [80712 octets] Transmitted: 78 packets [4202 octets]
show log show log reverse L2TP設定のところで「l2tp keepalive log on」「l2tp syslog on」と設定したり ip filter設定のところでpass-logなどの設定をしていると、logに詳細な情報が出力されるので トラブルシューティングの際に便利です。 ※ただ通常のときもにしているとログバッファがすぐいっぱいになります。 <出力例> PPTP接続時のログ 2015/03/24 16:46:05: PP[ANONYMOUS02] Remote PP IP address 192.168.100.151 2015/03/24 16:46:05: PP[ANONYMOUS02] Local PP IP address 0.0.0.0 2015/03/24 16:46:05: PP[ANONYMOUS02] PPP/IPCP up (Local: None, Remote: 192.168.100.151) 2015/03/24 16:46:05: ff 03 80 21 02 09 00 0a 03 06 c0 a8 64 97 2015/03/24 16:46:05: PP[ANONYMOUS02] SEND IPCP ConfAck in ACKRCVD | | | 2015/03/24 16:46:02: PP[ANONYMOUS02] SEND LCP ConfRej in REQSENT 2015/03/24 16:46:02: 12 da 07 02 08 02 0d 03 06 2015/03/24 16:46:02: ff 03 c0 21 01 00 00 15 01 04 05 78 05 06 29 02 2015/03/24 16:46:02: PP[ANONYMOUS02] RECV LCP ConfReq in REQSENT 2015/03/24 16:46:02: 81 05 06 2d 7c 15 ba 2015/03/24 16:46:02: ff 03 c0 21 01 01 00 13 01 04 07 00 03 05 c2 23 2015/03/24 16:46:02: PP[ANONYMOUS02] SEND LCP ConfReq in STARTING 2015/03/24 16:46:02: PP[ANONYMOUS02] PPTP Connect 2015/03/24 16:46:02: TUNNEL[12] PPTP connection is established: XXX.XXX.XXX.XXX L2TP keepaleveのログ 2015/03/24 16:45:28: [L2TP] recv ZLB from XXX.XXX.XXX.XXX 2015/03/24 16:45:28: [L2TP] keepalive HELLO send to XXX.XXX.XXX.XXX この他の情報も出てくる。
show ipsec sa L2TP/IPsecで接続した場合のSA情報を確認できるコマンド。 <出力例> sa sgw connection dir life[s] remote-id -------------------------------------------------------------------------- 1 1 isakmp - 28790 XXX.XXX.XXX.XXX 2 1 tra[001]esp send 3590 XXX.XXX.XXX.XXX 3 1 tra[001]esp recv 3590 XXX.XXX.XXX.XXX SA[1] 寿命: 28790秒 自分側の識別子: 192.168.100.1 相手側の識別子: XXX.XXX.XXX.XXX プロトコル: IKE NATトラバーサル: あり, キープアライブ: なし SPI: 73 0c da e6 ad 7a ae c6 a3 0d ed 0a ba d5 de 36 鍵 : ** ** ** ** ** (confidential) ** ** ** ** ** ---------------------------------------------------- SA[2] 寿命: 3590秒 250000キロバイト 自分側の識別子: 192.168.100.1 相手側の識別子: XXX.XXX.XXX.XXX 送受信方向: 送信 プロトコル: ESP (モード: transport) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: 32 de 27 5d 鍵 : ** ** ** ** ** (confidential) ** ** ** ** ** ---------------------------------------------------- SA[3] 寿命: 3590秒 249985キロバイト 自分側の識別子: 192.168.100.1 相手側の識別子: XXX.XXX.XXX.XXX 送受信方向: 受信 プロトコル: ESP (モード: transport) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: e6 3f bc fd 鍵 : ** ** ** ** ** (confidential) ** ** ** ** ** ---------------------------------------------------- IsakmpのSAの寿命はデフォルトで8時間(28800秒)みたい。 IPsecのSAの寿命はデフォルトで1時間(3600秒)みたい。
ちなみに、VPN接続が何らかの要因で正常終了しなかった場合には
SA情報にゴミが残る事があります。
この場合、L2TP/IPsecの再接続を行おうとすると接続できません。
logを確認すると
l2tp access duplicatedという重複していますよというエラーがでます。
show ipsec sa で表示された情報 sa sgw connection dir life[s] remote-id -------------------------------------------------------------------------- 2 2 tra[002]esp recv 173 XXX.XXX.XXX.XXX SA[2] 寿命: 173秒 自分側の識別子: 192.168.100.1 相手側の識別子: XXX.XXX.XXX.XXX 送受信方向: 受信 プロトコル: ESP (モード: transport) アルゴリズム: AES-CBC (認証: HMAC-SHA) SPI: 09 4c f9 43 鍵 : ** ** ** ** ** (confidential) ** ** ** ** ** ---------------------------------------------------- 通常時と違って、isakmpのSAとsendのSAがありません。
その場合には、SA寿命が終了するまで待つか
ipsec refresh sa か ipsec sa delete all
コマンドにてSA情報を手動で更新すると再度接続できるようになります。
ipsec refresh allは対向先にSA削除を通知しないで、削除するようです。
リモートアクセスVPNなどで対向先がPCなどの場合はipsec refresh saでいいかもしれません。
拠点間VPNなどの場合は、対向先にSA削除を通知するipsec sa delete allコマンドを
使った方がいいかもしれません。
何はともあれ、使えるルーターですね。
おすすめ商品!□♪YAMAHA イーサアクセス VPNルーター RTX1100 【中古】 |
Crucial MX100 2.5インチ内蔵型SSD 512GB SATAIII CT512MX100SSD1
- 出版社/メーカー: Crucial Technology
- 発売日: 2014/06/05
- メディア: Personal Computers
- この商品を含むブログを見る