Si las investigaciones de Cómo solucionar problemas de sistemas cuando se está ejecutando IPsec no pueden manejar el problema, es posible que el problema sea la semántica de la configuración, en lugar de la sintaxis de los archivos o de la configuración del servicio.
Si ambas instancias del servicio ike:default y ike:ikev2 están activadas, asegúrese de que las reglas de IKEv2 y IKEv1 no se superpongan. Las reglas que se aplican a los mismos puntos finales de la red pueden causar SA de IPsec redundantes y podrían causar falta de conectividad en determinadas situaciones.
Si cambia una regla de IKE, lea la regla en el núcleo.
# ikeadm -v[1|2] read rule
Si está ejecutando IKEv1, asegúrese de que los mecanismos del algoritmo de las reglas estén disponibles en el sistema IKEv1 al que se está conectando. Para ver los algoritmos disponibles, ejecute el comando ikeadm dump algorithms del sistema que no admite IKEv2:
# ikeadm dump groupsAvailable Diffie-Hellman groups # ikeadm dump encralgsAll IKE encryption algorithms # ikeadm dump authalgsAll IKE authentication algorithms
Corrija ambos archivos de política IPsec e IKEv1 para usar los algoritmos disponibles en ambos sistemas. A continuación, reinicie el servicio IKEv1 y actualice el servicio IPsec.
# svcadm restart ike:default; svcadm refresh ipsec/policy
Si está usando claves compartidas previamente con IKEv1 y se reinicia el sistema IKEv1 remoto, ejecute el comando ipseckey flush en el sistema local.
Si utiliza certificados autofirmados, verifique con el otro administrador que no se ha vuelto a crear un certificado con el mismo DN y que los valores hash de los certificados coincidan. Para conocer los pasos de verificación, consulte Step 4 in Cómo configurar IKEv2 con certificados de claves públicas autofirmados.
Si el certificado se actualiza, importe el nuevo certificado y, a continuación, actualice y reinicie el servicio IKEv2.
Use el comando ikeadm -v2 dump | get para ver la configuración actual de IKEv2. Para obtener un resumen de uso, consulte Visualización de información de IKE.
Utilice el comando kstat para mostrar las estadísticas relacionadas con IP. Para obtener más información, consulte la página del comando man kstat(1M).
# kstat -m ipsecesp # kstat -m ipsecah # kstat -m ip
La salida del comando kstat en el ejemplo siguiente indica que no hay problemas en el módulo ipsecesp.
# kstat -m ipsecesp module: ipsecesp instance: 0 name: esp_stat class: net acquire_requests 18 bad_auth 0 bad_decrypt 0 bad_padding 0 bytes_expired 0 crtime 4.87974774 crypto_async 0 crypto_failures 0 crypto_sync 172 good_auth 86 keysock_in 135 num_aalgs 9 num_ealgs 13 out_discards 0 out_requests 86 replay_early_failures 0 replay_failures 0 sa_port_renumbers 0 snaptime 5946769.7947628
Utilice el comando snoop para ver el tráfico que no está protegido. La aplicación Wireshark puede leer la salida snoop. Para obtener un ejemplo de la salida de snoop, consulte Cómo verificar que los paquetes estén protegidos con IPsec.