Top > StrongSwan > トラブルシューティング

Last-modified: 2017-01-10 (火) 23:26:16

StrongSwan/トラブルシューティング

概要 †

strongSwanのトラブルシューティング手法です。
トラブルシュートが終了したら、適切な設定に戻してください。

サーバー側 †

• リトライをしないように変更

  1. /etc/ipsec.conf
     

     1 2 3

     - !

     # 例 conn %default keyingtries = 0

• ログレベルと出力先を変更

  1. /etc/strongswan.conf
     詳細は公式サイトで
     

     1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

     - ! - ! - | | | | !

     charon { # 調査のためのログ filelog { /var/log/charon.log { time_format = %b %e %T append = no # まずは全体を1(default)にしてサブシステムにあたりをつけてから、サブシステムごとに2ないし、3または4で仔細を見る default = 1 # こんな感じでサブシステムごとにログレベルを変えられる #net = 2 #enc = 2 #ike = 2 #tls = 2 flush_line = yes } } }

  2. 再起動
     

     1 2 3 4 5

     - | !

     service strongswan restart # あとは好きなように監視する # 例 tail /var/log/charon.log -f -n 30

• tcpdumpでパケットを追う
  

  1 2 3 4 5 6 7 8 9

  - ! - ! - !

  # 俯瞰でみたい場合 tcpdump host <IP> # 暗号化前のIKEv2パケットの中身をある程度見やすく表示 tcpdump host <IP> -v # SSHなど別の通信が発生している場合 tcpdump host <IP> and port 500 or port 4500 tcpdump host <IP> and not port 22

クライアント側 †

• Windowsの場合
  • WireSharkでパケットを追う
    

    1 2 3 4 5

    - ! - !

    # IKEv2, NAT traversal udp.port==500 || udp.port==4500 # IKEv2, NAT traversal + IPフラグメント udp.port==500 || udp.port==4500 || ip.addr==<VPNサーバーのIP>

  • イベントログに、ソースRASClientで、ゴミみたいな役に立たないログが出ている（Windows標準クライアントで接続した場合）
• Androidの場合
  • strongSwanクライアントで、strongSwanのログが見れる
• iPhoneの場合
  • OS固有の問題に当たったことがないので、調べていない
• macOSの場合
  • OS固有の問題に当たったことがないので、調べていない

検証時の環境 †

• サーバー
  • Debian jessie x64
    • StrongSwan 5.2.1
  • Ubuntu 16.04.1 LTS x64
    • StrongSwan 5.3.5
  • Raspbian jessie
    • StrongSwan 5.2.1

• 接続クライアント
  • Windows Server 2012 R2 x64
  • Windows 10 Pro x64
  • OS X El Captan x64
  • iOS 9.3.4
  • Android 4.2.2

チートシート カテゴリ 索引 プロフィール RSS

Creation time: 0.012 sec. Void of knowledge Copyright © 2008 paburica.