Si les examens dans Dépannage des systèmes lorsqu'IPsec est en cours d'exécution ne résolvent pas le problème, le problème se situe probablement au niveau de la sémantique de configuration plutôt que dans la syntaxe de vos fichiers ou la configuration des services.
Si les deux instances de service ike:default et ike:ikev2 sont activées, assurez-vous que les règles IKEv2 et IKEv1 ne se chevauchent pas. Règles qui s'appliquent à la, peut rendre la même redondantes aux extrémités de réseaux les SA IPsec et la connectivité est susceptible de générer un manque de dans certaines situations.
Règle si vous modifiez une règle IKE, reportez-vous à la rubrique dans le noyau.
# ikeadm -v[1|2] read rule
Si vous exécutez IKEv1, assurez-vous que les mécanismes d'algorithme utilisés dans vos règles sont disponibles sur le système IKEv1 auquel vous vous connectez. Pour visualiser les algorithmes disponibles, exécutez la commande ikeadm dump algorithms sur le système ne prenant pas en charge IKEv2 :
# ikeadm dump groupsAvailable Diffie-Hellman groups # ikeadm dump encralgsAll IKE encryption algorithms # ikeadm dump authalgsAll IKE authentication algorithms
Corrigez les deux fichiers de stratégie IPsec et IKEv1 afin d'utiliser des algorithmes disponibles sur les deux systèmes. Redémarrez ensuite le service IKEv1 et actualisez le service IPsec.
# svcadm restart ike:default; svcadm refresh ipsec/policy
Si vous utilisez IKEv1 avec des clés prépartagées et que le système IKEv1 distant est réinitialisé, exécutez la commande ipseckey flush sur le système local.
Si vous utilisez des certificats autosignés, vérifiez auprès de l'autre administrateur que un certificat avec le même n'a pas fait l'objet d'une nouvelle DN créé et que les valeurs de hachage de vos certificats pour qu'il y ait correspondance. Pour les étapes de la vérification, reportez-vous à l'Step 4 dans Configuration d'IKEv2 avec des certificats de clés publiques autosignés.
Si le certificat est mis à jour, importez le nouveau certificat, puis actualisez et redémarrez le service IKEv2.
Utilisez la commande ikeadm -v2 dump | get pour afficher la configuration actuelle d'IKEv2. Pour un résumé de l'utilisation, reportez-vous à Affichage des informations IKE.
Utilisez la commande kstat pour afficher les statistiques IPsec. Pour plus d'informations, reportez-vous à la page de manuel kstat(1M).
# kstat -m ipsecesp # kstat -m ipsecah # kstat -m ip
La sortie kstat dans l'exemple suivant signifie qu'il n'y a aucun problème dans le module ipsecesp.
# kstat -m ipsecesp
module: ipsecesp instance: 0
name: esp_stat class: net
acquire_requests 18
bad_auth 0
bad_decrypt 0
bad_padding 0
bytes_expired 0
crtime 4.87974774
crypto_async 0
crypto_failures 0
crypto_sync 172
good_auth 86
keysock_in 135
num_aalgs 9
num_ealgs 13
out_discards 0
out_requests 86
replay_early_failures 0
replay_failures 0
sa_port_renumbers 0
snaptime 5946769.7947628
Utilisez la commande snoop pour afficher le trafic non protégé. L'application Wireshark peut lire la sortie de snoop. Pour obtenir un exemple de sortie snoop, reportez-vous à Vérification de la protection des paquets par IPsec.