Sur les systèmes en cours d'exécution qui échangent ou tentent d'échanger des paquets à l'aide d'IKE, la commande ikeadm permet d'afficher les statistiques, les règles, les clés prépartagées et d'autres choses. Vous pouvez également utiliser les fichiers journaux et des outils comme sélectionné Wireshark application.
Sur le système test suivant, le service manual-key est utilisé pour gérer les clés :
% svcs -a | grep ipsec online Feb_04 svc:/network/ipsec/manual-key:default online Feb_04 svc:/network/ipsec/ipsecalgs:default online Feb_04 svc:/network/ipsec/policy:default disabled Feb_28 svc:/network/ipsec/ike:ikev2 disabled Feb_28 svc:/network/ipsec/ike:default
Si le service est désactivé, activez-le .
Vous pouvez utiliser à la fois des services IKE via le programme de traitements simultanés. Vous pouvez également utiliser simultanément de clés manuelles, et cette configuration IKE, il est possible que vous obteniez mais qui ne figurent pas dans oddities dépannage.
# svcs -xL ikev2 svc:/network/ipsec/ike:ikev2 (IKEv2 daemon) State: disabled since October 10, 2013 10:10:40 PM PDT Reason: Disabled by an administrator. See: http://support.oracle.com/msg/SMF-8000-05 See: in.ikev2d(1M) See: /var/svc/log/network-ipsec-ike:ikev2.log Impact: This service is not running. Log: Oct 01 13:20:20: (1) Property "debug_level" set to: "op" Oct 01 13:20:20: (1) Errors and debug messages will be written to: /var/log/ikev2/in.ikev2d.log [ Oct 10 10:10:10 Method "start" exited with status 0. ] [ Oct 10 10:10:40 Stopping because service disabled. ] [ Oct 10 10:10:40 Executing stop method (:kill). ] Use: 'svcs -Lv svc:/network/ipsec/ike:ikev2' to view the complete log.
# ikeadm set debug verbose /var/log/ikev2/in.ikev2d.log Successfully changed debug level from 0x80000000 to 0x6204 Debug categories enabled: Operational / Errors Config file processing Interaction with Audit Verbose Operational
# ipsecconf #INDEX 14 ... { laddr 10.133.66.222 raddr 10.133.64.77 } ipsec { encr_algs aes(256) encr_auth_algs sha512 sa shared } ... { laddr 10.134.66.122 raddr 10.132.55.55 } ipsec { encr_algs aes(256) encr_auth_algs sha512 sa shared } # cat /etc/inet/ipsecinit.conf ... { laddr 10.133.66.222 raddr 10.133.64.77 } ipsec { encr_algs aes(256) encr_auth_algs sha512 sa shared } { laddr 10.134.66.122 raddr 10.132.55.55 } ipsec { encr_algs aes(256) encr_auth_algs sha512 sa shared }
Si aucun résultat n'est imprimé pour la commandeipsecconf, assurez-vous que la stratégie service est activé et actualisez le service.
% svcs policy STATE STIME FMRI online Apr_10 svc:/network/ipsec/policy:default
Si la sortie affiche une erreur, modifiez le fichier ipsecinit.conf pour corriger l'erreur puis actualisez le service.
Pour les sorties de configuration qui ont éventuellement besoin d'être réparées, reportez-vous aux exemples suivants : Example 11–1 et Example 11–2. La sortie dans l'exemple suivant indique que la configuration est correcte.
# /usr/lib/inet/in.ikev2d -c Feb 04 12:08:25: (1) Reading service properties from smf(5) repository. Feb 04 12:08:25: (1) Property "config_file" set to: "/etc/inet/ike/ikev2.config" Feb 04 12:08:25: (1) Property "debug_level" set to: "all" Feb 04 12:08:25: (1) Warning: debug output being written to stdout. Feb 04 12:08:25: (1) Checking IKE rule #1: "Test 104 to 113" Feb 04 12:08:25: (1) Configuration file /etc/inet/ike/ikev2.config is valid. Feb 04 12:08:25: (1) Pre-shared key file /etc/inet/ike/ikev2.preshared is valid.
Dans les lignes Checking IKE rule, assurez-vous que les règles IKE connectent les adresses IP correctes. Par exemple, les entrées suivantes pour qu'il y ait correspondance. La valeur laddr du fichier ipsecinit.conf correspond à la valeur local_addr du fichier ikev2.config et les adresses distantes correspondent.
{ laddr 10.134.64.104 raddr 10.134.66.113 } /** ipsecinit.conf **/ ipsec {encr_algs aes encr_auth_algs sha512 sa shared} local_addr 10.134.64.104 /** ikev2.config **/ remote_addr 10.134.66.113 /** ikev2.config **/
Si les entrées ne correspondent pas, corrigez-les pour identifier le bon de configuration des adresses IP.
Si la ligne Pre-shared key file indique que le fichier n'est pas valide, réparez le fichier.
Vérifiez si la saisie comporte des erreurs. Dans IKEv2, assurez-vous aussi que la valeur de l'étiquette dans ikev2.config correspond à celle du fichier ikev2.preshared. Ensuite, si vous utilisez deux local des clés prépartagées, vérifiez que le système effectue le rapprochement entre clé sur une clé prépartagée sur son pair distant et que le système à distance, la clé correspond à la clé local sur le pair.
Si votre configuration ne fonctionne toujours pas, reportez-vous à la section Dépannage des erreurs sémantiques dans IPsec et IKE
Dans la sortie suivante, la durée de vie du SA IKE est trop court.
# /usr/lib/inet/in.ikev2d -c ... May 08 08:52:49: (1) WARNING: Problem in rule "Test 104 to 113" May 08 08:52:49: (1) HARD lifetime too small (60 < 100) May 08 08:52:49: (1) -> Using 100 seconds (minimum) May 08 08:52:49: (1) Checking IKE rule #1: "config 10.134.13.113 to 10.134.13.104" ...
Cette valeur est définie explicitement dans le fichier ikev2.config. Pour supprimer l'avertissement, augmentez la valeur du délai à au moins 100 et actualisez le service.
# pfedit /etc/inet/ike/ikev2.config ... ## childsa_lifetime_secs 60 childsa_lifetime_secs 100 ... # /usr/lib/inet/in.ikev2d -c ... # svcadm refresh ikev2Exemple 11-2 Correction en cas de message signalant l'absence de règle correspondante
Dans la sortie suivante, une clé prépartagée est définie mais n'est pas utilisée dans une règle.
# /usr/lib/inet/in.ikev2d -c Feb 4 12:58:31: (1) Reading service properties from smf(5) repository. Feb 4 12:58:31: (1) Property "config_file" set to: "/etc/inet/ike/ikev2.config" Feb 4 12:58:31: (1) Property "debug_level" set to: "op" Feb 4 12:58:31: (1) Warning: debug output being written to stdout. Feb 4 12:58:31: (1) Checking IKE rule #1: "Test 104 to 113" Feb 4 12:58:31: (1) Configuration file /etc/inet/ike/ikev2.config is valid. Feb 4 12:58:31: (1) No matching IKEv2 rule for pre-shared key ending on line 12 Feb 4 12:58:31: (1) Pre-shared key file /etc/inet/ike/ikev2.preshared is valid.
La sortie indique qu'une seule règle existe.
Si la règle requiert une clé prépartagée, alors l'étiquette de la clé prépartagée ne correspond pas à l'étiquette de la règle. Réparez l'étiquette de règle ikev2.config et l'étiquette de clé ikev2.preshared de façon qu'elles correspondent.
Si la règle utilise un certificat, vous pouvez supprimer ou commenter la clé prépartagée à la ligne 12 du fichier ikev2.preshared pour éviter l'affichage du message No matching.
Dans la sortie suivante, la sortie de débogage est définie sur all dans le service ikev2.
# /usr/lib/inet/in.ikev2d -c Feb 4 12:58:31: (1) Reading service properties from smf(5) repository. ... Feb 4 12:58:31: (1) Property "debug_level" set to: "all" ...
Si vous avez réalisé l'Step 2 dans Dépannage de systèmes avant l'exécution d'IPsec et IKE et que la sortie de débogage est toujours op au lieu de all, utilisez la commande ikeadm pour fixer le niveau de débogage du démon IKE en cours d'exécution.
# ikeadm set debug_level all