{"id":161469,"date":"2024-09-03T12:06:59","date_gmt":"2024-09-03T11:06:59","guid":{"rendered":"https:\/\/www.avanet.com\/kb\/sophos-firewall-ipsec-troubleshooting\/"},"modified":"2024-09-03T12:09:50","modified_gmt":"2024-09-03T11:09:50","slug":"sophos-firewall-ipsec-troubleshooting","status":"publish","type":"kb","link":"https:\/\/www.avanet.com\/fr\/kb\/sophos-firewall-ipsec-troubleshooting\/","title":{"rendered":"Sophos Firewall &#8211; D\u00e9pannage et r\u00e9solution des probl\u00e8mes de connexion IPsec"},"content":{"rendered":"\n<p>Les connexions IPsec site \u00e0 site (S2S) sont un \u00e9l\u00e9ment essentiel de nombreux r\u00e9seaux, en particulier lorsqu&rsquo;il s&rsquo;agit de relier diff\u00e9rents sites en toute s\u00e9curit\u00e9.\nCependant, si une telle connexion n&rsquo;est pas stable ou ne peut pas \u00eatre \u00e9tablie, cela peut avoir de graves cons\u00e9quences sur l&rsquo;ensemble des communications r\u00e9seau.\nCet article s&rsquo;adresse aux administrateurs informatiques qui cherchent des solutions aux probl\u00e8mes IPsec courants sur Sophos Firewall.\nIl d\u00e9crit les \u00e9tapes et les commandes que vous pouvez utiliser pour r\u00e9soudre les probl\u00e8mes.   <\/p>\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Th\u00e8mes<\/h2><nav><ul><li class=\"\"><a href=\"#warum-i-psec-verbindungen-probleme-bereiten-konnen\"><a href=\"#warum-i-psec-verbindungen-probleme-bereiten-konnen\">Pourquoi les connexions IPsec peuvent poser probl\u00e8me<\/a><\/a><\/li><li class=\"\"><a href=\"#erste-schritte-logs-und-debugging\"><a href=\"#erste-schritte-logs-und-debugging\">Premiers pas : logs et d\u00e9bogage<\/a><\/a><ul><li class=\"\"><a href=\"#echtzeit-logs-uberwachen\"><a href=\"#echtzeit-logs-uberwachen\">Surveiller les logs en temps r\u00e9el<\/a><\/a><\/li><li class=\"\"><a href=\"#debug-modus-fur-den-strong-swan-dienst-aktivieren\"><a href=\"#debug-modus-fur-den-strong-swan-dienst-aktivieren\">Activer le mode de d\u00e9bogage pour le service StrongSwan<\/a><\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#haufige-probleme-und-deren-behebung\"><a href=\"#haufige-probleme-und-deren-behebung\">Probl\u00e8mes courants et leur r\u00e9solution<\/a><\/a><ul><li class=\"\"><a href=\"#falsche-traffic-selectors\"><a href=\"#falsche-traffic-selectors\">Mauvais s\u00e9lectionneurs de trafic<\/a><\/a><\/li><li class=\"\"><a href=\"#keine-ike-konfiguration-gefunden\"><a href=\"#keine-ike-konfiguration-gefunden\">Aucune configuration IKE trouv\u00e9e<\/a><\/a><\/li><li class=\"\"><a href=\"#peer-authentifizierung-fehlgeschlagen\"><a href=\"#peer-authentifizierung-fehlgeschlagen\">\u00c9chec de l&rsquo;authentification par les pairs<\/a><\/a><\/li><li class=\"\"><a href=\"#kein-traffic-durch-den-i-psec-tunnel\"><a href=\"#kein-traffic-durch-den-i-psec-tunnel\">Pas de trafic \u00e0 travers le tunnel IPsec<\/a><\/a><\/li><li class=\"\"><a href=\"#ungultiger-hash-v-1-payload\"><a href=\"#ungultiger-hash-v-1-payload\">Charge utile HASH_V1 non valide<\/a><\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#abschluss\"><a href=\"#abschluss\">Cl\u00f4ture<\/a><\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 class=\"wp-block-heading\" id=\"warum-i-psec-verbindungen-probleme-bereiten-konnen\">Pourquoi les connexions IPsec peuvent poser probl\u00e8me<\/h2>\n\n<p>Les connexions IPsec peuvent devenir instables ou \u00e9chouer pour diverses raisons.\nLes causes les plus courantes sont <\/p>\n\n<ul class=\"wp-block-list\">\n<li>Configurations incorrectes des r\u00e9seaux de part et d&rsquo;autre du tunnel<\/li>\n\n\n\n<li>Versions IKE non concordantes<\/li>\n\n\n\n<li>Mismatches dans les identifiants de connexion<\/li>\n\n\n\n<li>Cl\u00e9s pr\u00e9-partag\u00e9es erron\u00e9es<\/li>\n\n\n\n<li>R\u00e8gles de pare-feu mal configur\u00e9es<\/li>\n<\/ul>\n\n<p>Ces probl\u00e8mes peuvent avoir de graves cons\u00e9quences sur la fonctionnalit\u00e9 de la connexion VPN et n\u00e9cessitent un d\u00e9pannage minutieux.<\/p>\n\n<h2 class=\"wp-block-heading\" id=\"erste-schritte-logs-und-debugging\">Premiers pas : logs et d\u00e9bogage<\/h2>\n\n<p>Avant d&rsquo;identifier et de r\u00e9soudre des probl\u00e8mes sp\u00e9cifiques, il est essentiel de collecter les bonnes informations.\nLes journaux et les outils de d\u00e9bogage disponibles sur Sophos Firewall peuvent vous aider dans cette t\u00e2che. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"echtzeit-logs-uberwachen\">Surveiller les logs en temps r\u00e9el<\/h3>\n\n<p>Pour obtenir une vue d\u00e9taill\u00e9e du service IPsec en cours d&rsquo;ex\u00e9cution, il est utile de surveiller les journaux en temps r\u00e9el.\nCela peut \u00eatre fait en utilisant la commande suivante dans la CLI de Sophos Firewall : <\/p>\n\n<pre class=\"wp-block-code\"><code>tail -f \/log\/strongswan.log | grep azure-vpn<\/code><\/pre>\n\n<p><br\/>Cette commande filtre les entr\u00e9es du journal en fonction du tunnel sp\u00e9cifique (dans cet exemple, \u00ab\u00a0azure-vpn\u00a0\u00bb) et n&rsquo;affiche que les informations pertinentes.\nCeci est particuli\u00e8rement utile pour voir ce qui se passe exactement pendant l&rsquo;\u00e9tablissement de la connexion ou en cas d&rsquo;erreur. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"debug-modus-fur-den-strong-swan-dienst-aktivieren\">Activer le mode de d\u00e9bogage pour le service StrongSwan<\/h3>\n\n<p><br\/>Si les journaux standard ne suffisent pas \u00e0 diagnostiquer le probl\u00e8me, le mode de d\u00e9bogage du service Strongswan peut \u00eatre activ\u00e9.\nCela permet d&rsquo;obtenir des informations plus d\u00e9taill\u00e9es : <\/p>\n\n<pre class=\"wp-block-code\"><code>service strongswan:debug -ds nosync<\/code><\/pre>\n\n<p><br\/>Le mode de d\u00e9bogage offre une vision plus approfondie des op\u00e9rations du service IPsec, ce qui facilite le diagnostic des probl\u00e8mes complexes.<\/p>\n\n<p>\u26a0\ufe0f Le journal IPsec peut rapidement prendre beaucoup d&rsquo;espace sur les disques SSD, c&rsquo;est pourquoi le mode de d\u00e9bogage doit \u00eatre d\u00e9sactiv\u00e9 imm\u00e9diatement apr\u00e8s l&rsquo;analyse.<\/p>\n\n<h2 class=\"wp-block-heading\" id=\"haufige-probleme-und-deren-behebung\">Probl\u00e8mes courants et leur r\u00e9solution<\/h2>\n\n<p>Une fois les logs et les informations de d\u00e9bogage collect\u00e9s, vous pouvez commencer \u00e0 identifier et \u00e0 corriger des probl\u00e8mes sp\u00e9cifiques.<\/p>\n\n<h3 class=\"wp-block-heading\" id=\"falsche-traffic-selectors\">Mauvais s\u00e9lectionneurs de trafic<\/h3>\n\n<p>Un probl\u00e8me courant avec les connexions IPsec est que les s\u00e9lecteurs de trafic (\u00e9galement appel\u00e9s associations de s\u00e9curit\u00e9 ou SA) de chaque c\u00f4t\u00e9 du tunnel ne correspondent pas.\nCela peut entra\u00eener l&rsquo;\u00e9tablissement incorrect du tunnel.\nIl est important de s&rsquo;assurer que les r\u00e9seaux \u00e0 connecter via le tunnel sont configur\u00e9s de mani\u00e8re identique des deux c\u00f4t\u00e9s.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"keine-ike-konfiguration-gefunden\">Aucune configuration IKE trouv\u00e9e<\/h3>\n\n<p>Un autre probl\u00e8me se produit lorsque les versions IKE ne correspondent pas de part et d&rsquo;autre de la connexion.\nSi c&rsquo;est le cas, la connexion n&rsquo;est pas \u00e9tablie et un message d&rsquo;erreur appara\u00eet dans le journal.\nIl faut v\u00e9rifier que les versions d&rsquo;IKE correspondent sur les deux pare-feux et les modifier en cons\u00e9quence.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"peer-authentifizierung-fehlgeschlagen\">\u00c9chec de l&rsquo;authentification par les pairs<\/h3>\n\n<p>Si l&rsquo;authentification par les pairs \u00e9choue, c&rsquo;est souvent parce que les ID de connexion ne correspondent pas.\nVous devez vous assurer que les ID de connexion locale et distante sont correctement configur\u00e9es des deux c\u00f4t\u00e9s.\nCes identifiants doivent \u00eatre identiques pour que la phase 1 de la connexion puisse se terminer avec succ\u00e8s.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"kein-traffic-durch-den-i-psec-tunnel\">Pas de trafic \u00e0 travers le tunnel IPsec<\/h3>\n\n<p>Si le tunnel est \u00e9tabli mais que le trafic ne passe pas, le probl\u00e8me est souvent d\u00fb aux r\u00e8gles du pare-feu.\nIl faut s&rsquo;assurer que les r\u00e8gles sont correctement configur\u00e9es pour autoriser le trafic VPN.\nDe plus, il faut v\u00e9rifier que la priorit\u00e9 des routes VPN et statiques est correctement d\u00e9finie afin de s&rsquo;assurer que le trafic est achemin\u00e9 via le tunnel.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"ungultiger-hash-v-1-payload\">Charge utile HASH_V1 non valide<\/h3>\n\n<p>Une charge utile HASH_V1 non valide indique g\u00e9n\u00e9ralement une cl\u00e9 pr\u00e9-partag\u00e9e incorrecte.\nIl faut v\u00e9rifier la cl\u00e9 pr\u00e9-partag\u00e9e sur les deux pare-feux pour s&rsquo;assurer qu&rsquo;ils correspondent.\nUne cl\u00e9 incorrecte entra\u00eene l&rsquo;impossibilit\u00e9 d&rsquo;authentifier la connexion et emp\u00eache donc l&rsquo;\u00e9tablissement du tunnel avec succ\u00e8s.  <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"abschluss\">Cl\u00f4ture<\/h2>\n\n<p>Le d\u00e9pannage des connexions IPsec sur Sophos Firewall peut \u00eatre complexe, mais avec les bons outils et les bonnes m\u00e9thodes, il est possible d&rsquo;identifier et de r\u00e9soudre la plupart des probl\u00e8mes.\nEn surveillant les journaux en temps r\u00e9el et en activant le mode de d\u00e9bogage, on obtient les informations n\u00e9cessaires pour rechercher sp\u00e9cifiquement la cause des probl\u00e8mes de connexion.\nEn connaissant les probl\u00e8mes les plus courants et leurs solutions, vous serez en mesure de faire fonctionner les connexions IPsec de mani\u00e8re stable et fiable.  <\/p>\n\n<p>Si toutefois vous rencontrez des probl\u00e8mes qui ne peuvent pas \u00eatre r\u00e9solus, il peut \u00eatre utile de <a href=\"https:\/\/www.avanet.com\/fr\/kb\/sophos-firewall-tcpdump-tool-collecter-les-logs\/\">collecter<\/a> les <a href=\"https:\/\/www.avanet.com\/fr\/kb\/sophos-firewall-tcpdump-tool-collecter-les-logs\/\">journaux avec TCPDump pour analyse<\/a> et de nous les transmettre ou de les transmettre au support technique Sophos pour obtenir une assistance suppl\u00e9mentaire.<\/p>\n\n<p><strong>Autres aides<\/strong><\/p>\n\n<p>Si le d\u00e9pannage de la connexion IPsec sur Sophos Firewall continue de poser probl\u00e8me, il existe des ressources suppl\u00e9mentaires qui peuvent \u00eatre utiles.\nCelles-ci comprennent des instructions d\u00e9taill\u00e9es et des r\u00e9solutions de probl\u00e8mes courantes : <\/p>\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/community.sophos.com\/sophos-xg-firewall\/f\/recommended-reads\/123740\/sophos-firewall-troubleshooting-site-to-site-ipsec-vpn-issues\" target=\"_blank\" rel=\"noopener\">Sophos Firewall : d\u00e9pannage des probl\u00e8mes de VPN IPsec de site \u00e0 site<\/a> &#8211; un guide d\u00e9taill\u00e9 de d\u00e9pannage des connexions IPsec de site \u00e0 site sur Sophos Firewall.<\/li>\n\n\n\n<li><a href=\"https:\/\/support.sophos.com\/support\/s\/article\/KBA-000006520?language=en_US\" target=\"_blank\" rel=\"noopener\">Support Sophos : KBA pour le d\u00e9pannage des probl\u00e8mes IPsec<\/a> &#8211; un article de la base de connaissances qui d\u00e9crit les probl\u00e8mes IPsec les plus courants et leurs solutions.<\/li>\n<\/ul>\n\n<p>Ces sources fournissent des informations pr\u00e9cieuses et peuvent aider \u00e0 r\u00e9soudre avec succ\u00e8s les probl\u00e8mes persistants li\u00e9s aux connexions IPsec.<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"template":"","format":"standard","kb_kategorie":[407],"class_list":["post-161469","kb","type-kb","status-publish","format-standard","hentry","kb_kategorie-sophos-firewall"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb\/161469","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb"}],"about":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/types\/kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/media?parent=161469"}],"wp:term":[{"taxonomy":"kb_kategorie","embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb_kategorie?post=161469"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}