アライドファン.comは、佐々木ネットワークテクノロジーズが運営する、ネットワーク技術情報サイトです。

【質問】

VPNルータ(AR560S)で、create isakmp pol コマンドによりIKEネゴシエーション要求を受け入れるISAKMPポリシーを作成したが、ISAKMP SA（フェーズ1）のネゴシエーションも鍵の交換も行われず、VPN接続ができない。
ログを確認しても、何も記録されておらず、原因がわからない。
原因及び解消法は？



（この下は自動配信されるネット広告スペースです）

---

【回答】

アライドテレシスのルータで create isakmp pol コマンドのデフォルト設定によってISAKMPポリシーを作成した場合、「ルータ起動時に自動的にIKEのネゴシエーションを行わない」、かつ「ネゴシエーションがISAKMPメッセージの再送期間中（約１〜２分）に正常に完了しなかった場合は、それ以上のリトライを行わずそのまま停止する」ように設定されます。そのためデフォルト設定のままでは、ISAKMP SA（フェーズ1）ネゴシエーションが行われない場合があります。

まず、ルータ起動時に自動的にISAKMP SA（フェーズ1）ネゴシエーションを行うように、create isakmp polコマンドに以下のオプションを設定して下さい。
prenegotiate=true

但しこの設定を行った場合でも、コマンドによってVPNを追加しただけ（再起動を行わない場合）では、ISAKMP SA（フェーズ1）のネゴシエーションが実行されません。また、ISAKMPポリシーの設定にミスがあった場合、ISAKMPメッセージの再送期間（デフォルトでは4秒以上の間隔を開けて8回再送する）に設定が修正されない場合は、リトライが停止してしまいます。
そのため、ISAKMP SA（フェーズ1）ネゴシエーションが停止している場合には、reset isakmp policyコマンドにより、強制的にISAKMPポリシーをリセットする必要があります。

(例)
create isakmp pol="ike2" pe=11.22.33.44 srci=ppp0 mod=aggressive key=1 pre=true sendn=true hear=BOTH localid="abc123"
reset isakmp policy="ike2"

但し上記例では
・ 追加したisakmpポリシー名「ike2」
・ 接続先ルータのグローバルIPアドレス 11.22.33.44 (アグレッシブモード)
・ REMOTEIDパラメータ「abc123」
・事前共有鍵番号 1
とします。


また、IPSec ポリシーを作成した場合も、そのままではISAKMP/IKEのネゴシエーション（フェーズ2）は行われません。VPNトンネルを通過するパケットをルータが受信して、初めてフェーズ2のネゴシエーションが実施されます。
強制的にISAKMP/IKEのネゴシエーション（フェーズ2）をさせたい場合は、VPN接続先ルータのLAN側に向かってpingコマンドを実行して下さい。