L2TP/IPsecの設定を行って1台はつながったが2台目が繋がらない時に見ていくポイントをメモ。
利用するトンネル分を作成されているか確認
トンネルはクライアント端末1台につき、1つ利用します。
1つトンネルを作れば何台でも接続できるわけではありません。
[show config]や[show status tunnel]コマンドで、
接続したい台数分のトンネルが存在するか確認しましょう。
また、ルーターによってトンネルを作成できる対地数が変わってきます。
L2TP/IPsecの対地数は、
RTX1220だと100本
NVR510は4本
機種によって差があります。
バインドしているトンネルインターフェイスを確認
トンネルが作成されている事が確認出来たら、
それをバインドしているかも確認しましょう。
[show config]コマンドで設定されているコマンドを表示したら、
pp select anonymous
pp bind tunnel1 tunnel2 tunnel3
こういった記述のある部分を探しましょう。
pp bindに続く、tunnelNが、利用するトンネルの番号を指定します。
複数トンネルを指定する場合は、
pp bind tunnel1 tunnel2 tunnel3のようにスペース区切りでトンネルを指定するか、
連番の場合、pp bind tunnel1-tunnel3と「ー(ハイフン)」で指定します。
:
show ipsec saを確認
設定が正しく入っているのに接続できないときは、
[show ipsec sa]の状態を確認してみましょう。
[show ipsec sa]を実行すると、下記のような結果がでてきます。
■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□
# show ipsec sa
sa sgw connection dir life[s] remote-id
--------------------------------------------------------------------------
1 1 isakmp - 25252 xxx.1.1.1
2 1 tun[001]esp send 25252 xxx.1.1.1
3 1 tun[001]esp recv 25252 xxx.1.1.1
※ 対向先1つに対し3つの鍵が作成される
1つのトンネルにつき、3つの鍵が生成されますが、
ここに何列も鍵情報が掲載されていたら、
実際の立ち上がっているトンネルの数とSAの情報に相違があります。
こういう時に1台目はつながるけど、2台目が繋がらないというような症状が発生します。
これをいったんリフレッシュしてあげることで正常に接続できるケースがあります。
- ipsec sa delete N(SAのIDを指定)
- ipsec sa delete all(全てのSA)・・・ほかの拠点間IPsec等も切断されるので注意。
