IPsec のメッセージには次のようなタイプがあります。
以下のメッセージは,IPsec が正しくインストールされ,有効になっていることを示します。
IPSEC: Initializing engine
説明: IPsec モジュールがカーネルにロードされ,初期化されています。
IPSEC: Attaching to the TCP/IP stack
説明: IPsec モジュールは IP パケットを処理しています。 システムは IP セキュア・モードです。
IPSEC: Detaching from the TCP/IP stack
説明: IPsec モジュールは IP パケットを処理していません。 システムは IP セキュア・モードではありません。
ここには,一般的な起動時のエラー・メッセージと,手動鍵接続のエラー・メッセージを記載します。
B.2.1 一般的な起動時のエラー・メッセージ
次のようなエラー・メッセージが,画面やコンソールに出力されるか,または
syslogd
デーモンに送られます。
Can not open connection with the packet processing engine.
Check that the engine module is loaded into
kernel, the
device used on communication
exists, and you have
permission to open that
device.
This process must be run
on super-user
privileges.
説明: 次のような原因が考えられます。
デーモンがすでに実行されている。
デバイス特殊ファイルの
/dev/ipsec_engine
が削除されている。
IPsec サブセットのインストールで問題が発生した。
Could not read configuration file `file':
not reconfiguring
説明: IPsec の再構成が指示されたが,IPsec ポリシ・ファイルのいずれかが存在しないか,読み取れなくなっています。
Could not start the cryptography system
説明: IPsec が,CDSA (Common Data Security Architecture) サブシステムと通信できないために起動できません。 CDSA サブセットが削除されているか,CDSA ライブラリまたはデータベースが壊れている可能性があります。
Dropping
IPprotocol
packet
source->dest
proto:port->port
説明: どのセキュア接続とも一致しないパケットのロギングが有効になり,IPsec が IPsec ポリシのどの規則とも一致しないパケットを受信しました。
SPD: could not decode certificate `name':
number
説明: 証明書ファイルのフォーマットが無効です。
SPD: Could not decode local-address of connection `name'
説明: 接続のローカル・アドレスが有効な IPv4 または IPv6 アドレス,サブネット,アドレス・レンジではありません。
SPD: Could not decode remote-address of connection `name'
説明: 接続のリモート・アドレスが有効な IPv4 または IPv6 アドレス,サブネット,アドレス・レンジではありません。
SPD: Could not handle local-address of type
n
for connection `name'
説明: 接続のローカル・アドレスが有効な IPv4 または IPv6 アドレス,サブネット,アドレス・レンジではありません。
SPD: Could not handle remote-address of type
n
for connection `name'
説明: 接続のリモート・アドレスが有効な IPv4 または IPv6 アドレス,サブネット,アドレス・レンジではありません。
SPD: could not read certificate `name'
of the connection `name'
説明: root が証明書ファイルを読み取れません。
SPD: could not read CRL `name'
説明: CA 証明書に CRL (Certificate Revocation List) があるというマークがついていますが,IPsec が CRL ファイルを読み取れません。
SPD: could not read private key `name'
説明: IPsec が非公開鍵ファイルを読み取れません。 このファイルは root による読み取りが可能で,有効な非公開鍵を含んでいなければなりません。
SPD: Invalid local-gw specification
id
説明: ローカル・ゲートウェイの指定が無効な IPv4 または IPv6 アドレスになっています。
SPD: Invalid remote-gw specification
id
説明: リモート・ゲートウェイの指定が無効な IPv4 または IPv6 アドレスになっています。
SPD: local and remote selectors specify different IP protocol
ID.
Skipping connection `name'
説明: 接続にローカル IPv4 アドレスとリモート IPv6 アドレス (またはその逆) が指定されていますが無効です。 接続は無視されます。
SPD: no certificate file name specified for the certificate
`name'
説明: 証明書定義内のファイル名が無効です。
SPD: no private key file specified for the authentication certificate
`name'
説明: このホストの認証に証明書を使用していますが,非公開鍵ファイルを指定していません。 非公開鍵ファイルは root による読み取りが可能で,有効な非公開鍵を含んでいなければなりません。
SPD: Policy not instantiated due to errors.
説明: SPD (Security Policy Database) ファイルに重大なエラーが見つかりました。 IPsec はこのセキュリティ・ポリシでは起動しません。
SPD: port selectors specified for protocol `proto' which
is not TCP or UPD:
port selectors ignored for connection `name'
説明: 接続にポート番号を指定しましたが,プロトコルとして TCP や UDP 以外のものを指定しています。
SPD: the certificate `name' is a
CA certificate but
is not marked as trusted.
The certificate is not
configured in the
certificate manager.
説明: 証明書の内部属性では,これは CA 証明書であるとされていますが,IPsec 構成ではそのようなマークが付いていません。 証明書は無視されます。
SPD: the private key `name' is broken
説明: IPsec が非公開鍵ファイルを読み取れません。 非公開鍵ファイルは root による読み取りが可能で,有効な非公開鍵を含んでいなければなりません。
SPD: the trusted certificate `name'
does not contain
the Basic Constraints extension.
This is against RFC-2459.
However, forcing
the certificate as a point of trust
because
of the flag `trusted'.
説明: 証明書には CA (Certification Authority) 証明書であるというマークが付いていますが,通常 CA 証明書にあるような内部属性がありません。 この証明書は,CA 証明書として信頼されます。
ここで述べるエラー・メッセージはセキュリティ・アソシエーション (SA) の作成時のメッセージなので,起動時に表示されます。
AH or ESP authentication key is not long enough for the specified
algorithm at connection
id
説明: 接続に指定された手動鍵が有効な長さではありません。 各暗号化アルゴリズムや HMAC アルゴリズムには,鍵の長さが規定されています。
ESP cipher key is not long enough for the specified algorithm
at Connection
id: got
n,
minimum
n
説明: 接続に指定された手動鍵が有効な長さではありません。 各暗号化アルゴリズムや HMAC アルゴリズムには,鍵の長さが規定されています。
SPD: Algorithms for manually keyed connection
id
can not be determined.
The
proposal-list is missing, or
it does not
contain exactly one proposal.
説明: 手動鍵による接続には,プロポーザルを 1 つだけ含むプロポーザル・リストが必要です。 プロポーザルはチェーンになることもありますが,プロトコルのインスタンスを 1 つだけ含んでいなければなりません (AH,ESP,IPcomp など)。 各プロトコルには,受信と送信の鍵を指定する必要があります。
SPD: invalid number of cipher or HMAC algorithm names in proposal
`name' for manually keyed connection `name'
説明: プロポーザルに,必要な数の暗号化アルゴリズムまたはハッシング・アルゴリズムの名前がありません。 手動鍵による接続には,プロポーザルを 1 つだけ含むプロポーザル・リストが必要です。 プロポーザルはチェーンになることもありますが,プロトコルのインスタンスを 1 つだけ含んでいなければなりません (AH,ESP,IPcomp など)。 各プロトコルには,受信と送信の鍵を指定する必要があります。
SPD: invalid number of compression algorithm names in proposal
`name' for manually keyed connection `name'
説明: プロポーザルに,必要な数の圧縮アルゴリズム名がありません。 手動鍵による接続には,プロポーザルを 1 つだけ含むプロポーザル・リストが必要です。 プロポーザルはチェーンになることもありますが,プロトコルのインスタンスを 1 つだけ含んでいなければなりません (AH,ESP,IPcomp など)。 各プロトコルには,受信と送信の鍵を指定する必要があります。
SPD: invalid number of HMAC names in proposal `name' for manually keyed connection `name'
説明: プロポーザルに,必要な数のハッシング・アルゴリズム名がありません。 手動鍵による接続には,プロポーザルを 1 つだけ含むプロポーザル・リストが必要です。 プロポーザルはチェーンになることもありますが,プロトコルのインスタンスを 1 つだけ含んでいなければなりません (AH,ESP,IPcomp など)。 各プロトコルには,受信と送信の鍵を指定する必要があります。
SPD: invalid number of proposals in the proposal list `name' of the manually keyed connection `name'
説明: 指定されたプロポーザル・リストに必要な数のプロポーザルがありません。 手動鍵による接続には,プロポーザルを 1 つだけ含むプロポーザル・リストが必要です。 プロポーザルはチェーンになることもありますが,プロトコルのインスタンスを 1 つだけ含んでいなければなりません (AH,ESP,IPcomp など)。 各プロトコルには,受信と送信の鍵を指定する必要があります。
SPD: invalid transform type in transform `name' for manually keyed connection `name'
説明: 手動鍵による接続には,プロポーザルを 1 つだけ含むプロポーザル・リストが必要です。 プロポーザルはチェーンになることもありますが,プロトコルのインスタンスを 1 つだけ含んでいなければなりません (AH,ESP,IPcomp など)。 各プロトコルには,受信と送信の鍵を指定する必要があります。
SPD: The number of keys
n
for connection
id
does not match protocol count
n
説明: 指定された手動鍵の数が,接続に指定されたプロトコルの数と一致しません。 手動鍵による接続には,プロポーザルを 1 つだけ含むプロポーザル・リストが必要です。 プロポーザルはチェーンになることもありますが,プロトコルのインスタンスを 1 つだけ含んでいなければなりません (AH,ESP,IPcomp など)。 各プロトコルには,受信と送信の鍵を指定する必要があります。
SPD: too few keys for manually keyed connection `name'
説明: 接続に必要な数の鍵を指定していません。 各プロトコルには,受信と送信の鍵を指定する必要があります。
SPI for connection
id
is not specified
or is less than 256.
説明: この手動鍵接続の鍵のいずれかに対する SPI 値が存在しないか,無効になっています。 有効な値は,256 より大きい値です。
Transport endpoints not specified for Connection
id.
For IKE these can be left
out, but for manually keyed connection they must be present.
説明: 接続のローカル・アドレスまたはリモート・アドレス,あるいはその両方が指定されていません。 手動鍵接続のパラメータは,接続に定義しなければなりません。
Truncating key
name
ciph len
n
to required
n
bits
説明: 接続に指定した手動鍵が有効な長さではありません。 各暗号化アルゴリズムや HMAC アルゴリズムには,鍵の長さが規定されています。
ここには,IKE フェーズ 1 およびフェーズ 2 の折衝に関するエラー・メッセージを記載します。
B.3.1 フェーズ 1 のエラー・メッセージ
フェーズ 1 折衝の問題に関するメッセージを以下に示します。
Can not decode certificate out from BER encoded blob.
The certificate may be corrupt, or should be decoded
to binary BER blob before inserting (file format
may be wrong?)
説明: セキュリティ・ポリシで指定した証明書ファイルが読み取れないか,無効になっています。 証明書は無視されます。
Can not decode CRL out from BER encoded blob.
The
CRL input may be corrupted, or should be decoded to
binary BER blob before inserting (file format may be wrong?).
説明: セキュリティ・ポリシで指定した CRL ファイルが読み取れないか,無効になっています。 CRL は無視されます。
Can not get policy for
id
<->
id
説明: リモート・システムが IKE 折衝を開始しましたが,ローカル IKE はリモート・システムに一致するポリシを見つけることができませんでした。
Can not get subject name from a CA certificate.
This
certificate is not usable as an IPsec authenticator,
and is not inserted into local list of trusted roots.
説明: セキュリティ・ポリシに指定された CA 証明書に,IPsec で使用するための正しい情報がありません。
Certificate contains bad IP address: length=n
説明: IP アドレスを含む無効な subjectAltName 属性が証明書に含まれています。
CRL issuer name does not appear at the CRL.
Can not check the
CRL validity.
Discarding the CRL.
説明: セキュリティ・ポリシに指定された CRL ファイルが読み取れないか無効です。 CRL は無視されます。
CRL issuer public key was not found from the local database.
Can not check the CRL validity.
Discarding the CRL.
説明: CRL に関連する CA 証明書が構成されていません。
Phase-1 [<initiator/responder>] between
id
and
id
failed;
reason
説明: IKE は,表示された理由でフェーズ 1 SAの折衝ができません。
Phase-1 lifetime is too short (prop=n,
min=n)
説明: フェーズ 1 の存続期間が短すぎます。 要求された存続期間は,最低限の値に置き換えられます。
Phase-1 notify
string
"(size
n
bytes) from
string:string
for protocol=n
spi(n)=string"
説明: リモート・システムが,表示した理由で IKE 折衝を拒否または変更するという通知メッセージを送信しました。
Policy manager didn't find private key
説明: IPsec は,認証の証明書に合った非公開鍵を見つけることができませんでした。 非公開鍵ファイルが構成されていないか,間違ったファイルが使用されています。
Policy manager didn't find public key
説明: IKE は,証明書ベースの IKE 交換を認証するための,正しい公開鍵を見つけることができませんでした。 必要な証明書または CA 証明書が構成されていないか,または証明書の ID が間違っています。
Received error notify from
remote address
:
reason.
Deleting ISAKMP SA.
説明: リモート・システムは,表示した理由で IKE 折衝を拒否したという通知メッセージを送信しました。
Sending notification to
remote-address
:
reason
説明: ローカル IKE は IKE 折衝を拒否または変更し,リモート IKE に通知を送信しています。
SPD: Phase-1 policy; No security policy available.
説明: IKE が実行中で,リモート・ピアからメッセージを受信しましたが,有効なローカル・セキュリティ・ポリシがロードされていません。
SPD rejected conn using selectors
id
<->
id
説明: IKE 折衝を受信しましたが,指定されたリモード・アドレスに合うポリシがありません。
The Phase-1 remote
id
is not an
IP-address, check the peer/gw address.
説明: 構成されたアドレスが IP アドレスではありません。 セレクタとゲートウェイ・アドレスに対して IP アドレスを指定する必要があります。 IPsec ポリシを変更する必要があります。
フェーズ 2 折衝の問題に関するメッセージを以下に示します。
IKE Phase-2; Could not select any protocols from IPSEC SA
n
説明:ローカル・ノードとリモート・ノードのセキュリティ・ポリシの間に,IPsec 保護に関する共通のプロポーザルがありません。 どちらかを変更する必要があります。
IKE Quick-Mode negotiation between
id
<->
id
failed:
reason
説明: 提示した理由で IPsec SA の折衝が失敗しました。
Phase-2 [role] for
id
and
id
failed;
reason.
説明:提示した理由で,指定されたシステム (開始システムと応答システム) 間のフェーズ 2 折衝が失敗しました。
Phase-2 lifetime is too short, reset to min (prop=n, min=n)
説明: リモート・システムが要求するフェーズ 2 存続期間が短すぎます。 適用できる最短期間を代わりに使用します。
QM notification
n
(reason) (size
n
bytes) from
remote-address
for protocol=n
spi(n)=spi-value
説明: リモート・システムが,提示した理由でフェーズ 2 折衝を拒否または変更したことを示す通知メッセージを送信しました。
Received responder lifetime notification: "life_secs=n, life_kbytes=n
説明: リモート・システムは,フェーズ 2 SA に対して間違った存続期間の値を選択しました。
Requested to delete SA
protocol[spi-value]
説明: リモート・システムが,指定された SA を削除するようにという要求を送信しました。 これは,リモートが IPsec の処理をシャットダウンしたか停止したことを示します。
SA-per-host specified and the remote requested addresses range
or subnet ->
rejecting connection.
説明: ローカル・ポリシは,接続ルールに一致する各ホストに対して一意の SA を作成するように指定しています。 ただし,リモート・ポリシでは一致する全ホストに対して単一の SA を使用するようになっています。
SA-per-host specified without remote addresses given and the
remote did not request QM for itself ->
rejecting connection.
説明: ローカル・ポリシでは,認証されたすべてのリモート・ホストに対してこの接続の使用を許可しています。 これを安全に行うには,リモート・ポリシでは自分のアドレスに関してのみ,SA の折衝を行う必要があります。 これにより,リモート VPN ゲートウェイは,受信する予定のないパケットを要求することがなくなります。
The bundle
n
to be installed does
not contain any inbound SA's.
Not installing it.
説明: フェーズ 2 折衝で何らかの問題が発生して完了しなかったため,SA が作成されていません。 この問題は,手動鍵接続にエラーがあった場合にも発生します。
The bundle
n
to be installed does
not contain any outbound SA's.
Not installing it.
説明: フェーズ 2 折衝で何らかの問題が発生して完了しなかったため,SA が作成されていません。 この問題は,手動鍵接続にエラーがあった場合にも発生します。
Tunnel endpoints not specified for Connection
id
説明: IKE は,指定された接続のセキュア・ゲートウェイ・アドレスとして省略時の値を選択できませんでした。 いずれか,または両方のセキュア・ゲートウェイのアドレスを,接続に指定する必要があります。
以下のメッセージは,ipsecd
デーモンが一時的に過負荷になっているか,IPsec カーネル・モジュールからの情報に応答していないことを示しています。
これらの状態は,必ずしも問題を示しているとは限りませんが,これらのメッセージが高い頻度で表示される場合,ipsecd
デーモンがハングアップして,再起動が必要であるという可能性があります。
ssh_send_to_ipm: queue full,
priority
message dropped, len=n
type=n
queue_size=n
ssh_send_to_ipm: dropping entry to make space for important
packet
ssh_send_to_ipm: WARNING: queue full, important packet dropped
len = 0xn, type =
n