B    IPsec のメッセージ

IPsec のメッセージには次のようなタイプがあります。

B.1    正常なステータス・メッセージ

以下のメッセージは,IPsec が正しくインストールされ,有効になっていることを示します。

IPSEC: Initializing engine

説明: IPsec モジュールがカーネルにロードされ,初期化されています。

IPSEC: Attaching to the TCP/IP stack

説明: IPsec モジュールは IP パケットを処理しています。 システムは IP セキュア・モードです。

IPSEC: Detaching from the TCP/IP stack

説明: IPsec モジュールは IP パケットを処理していません。 システムは IP セキュア・モードではありません。

B.2    起動時のエラー・メッセージ

ここには,一般的な起動時のエラー・メッセージと,手動鍵接続のエラー・メッセージを記載します。

B.2.1    一般的な起動時のエラー・メッセージ

次のようなエラー・メッセージが,画面やコンソールに出力されるか,または syslogd デーモンに送られます。

Can not open connection with the packet processing engine.Check that the engine module is loaded into kernel, thedevice used on communication exists, and you havepermission to open that device. This process must be runon super-user privileges.

説明: 次のような原因が考えられます。

Could not read configuration file `file': not reconfiguring

説明: IPsec の再構成が指示されたが,IPsec ポリシ・ファイルのいずれかが存在しないか,読み取れなくなっています。

Could not start the cryptography system

説明: IPsec が,CDSA (Common Data Security Architecture) サブシステムと通信できないために起動できません。 CDSA サブセットが削除されているか,CDSA ライブラリまたはデータベースが壊れている可能性があります。

Dropping IPprotocol packet source->dest proto:port->port

説明: どのセキュア接続とも一致しないパケットのロギングが有効になり,IPsec が IPsec ポリシのどの規則とも一致しないパケットを受信しました。

SPD: could not decode certificate `name': number

説明: 証明書ファイルのフォーマットが無効です。

SPD: Could not decode local-address of connection `name'

説明: 接続のローカル・アドレスが有効な IPv4 または IPv6 アドレス,サブネット,アドレス・レンジではありません。

SPD: Could not decode remote-address of connection `name'

説明: 接続のリモート・アドレスが有効な IPv4 または IPv6 アドレス,サブネット,アドレス・レンジではありません。

SPD: Could not handle local-address of type n for connection `name'

説明: 接続のローカル・アドレスが有効な IPv4 または IPv6 アドレス,サブネット,アドレス・レンジではありません。

SPD: Could not handle remote-address of type n for connection `name'

説明: 接続のリモート・アドレスが有効な IPv4 または IPv6 アドレス,サブネット,アドレス・レンジではありません。

SPD: could not read certificate `name' of the connection `name'

説明: root が証明書ファイルを読み取れません。

SPD: could not read CRL `name'

説明: CA 証明書に CRL (Certificate Revocation List) があるというマークがついていますが,IPsec が CRL ファイルを読み取れません。

SPD: could not read private key `name'

説明: IPsec が非公開鍵ファイルを読み取れません。 このファイルは root による読み取りが可能で,有効な非公開鍵を含んでいなければなりません。

SPD: Invalid local-gw specification id

説明: ローカル・ゲートウェイの指定が無効な IPv4 または IPv6 アドレスになっています。

SPD: Invalid remote-gw specification id

説明: リモート・ゲートウェイの指定が無効な IPv4 または IPv6 アドレスになっています。

SPD: local and remote selectors specify different IP protocol ID. Skipping connection `name'

説明: 接続にローカル IPv4 アドレスとリモート IPv6 アドレス (またはその逆) が指定されていますが無効です。 接続は無視されます。

SPD: no certificate file name specified for the certificate `name'

説明: 証明書定義内のファイル名が無効です。

SPD: no private key file specified for the authentication certificate `name'

説明: このホストの認証に証明書を使用していますが,非公開鍵ファイルを指定していません。 非公開鍵ファイルは root による読み取りが可能で,有効な非公開鍵を含んでいなければなりません。

SPD: Policy not instantiated due to errors.

説明: SPD (Security Policy Database) ファイルに重大なエラーが見つかりました。 IPsec はこのセキュリティ・ポリシでは起動しません。

SPD: port selectors specified for protocol `proto' which is not TCP or UPD: port selectors ignored for connection `name'

説明: 接続にポート番号を指定しましたが,プロトコルとして TCP や UDP 以外のものを指定しています。

SPD: the certificate `name' is a CA certificate but is not marked as trusted. The certificate is not configured in the certificate manager.

説明: 証明書の内部属性では,これは CA 証明書であるとされていますが,IPsec 構成ではそのようなマークが付いていません。 証明書は無視されます。

SPD: the private key `name' is broken

説明: IPsec が非公開鍵ファイルを読み取れません。 非公開鍵ファイルは root による読み取りが可能で,有効な非公開鍵を含んでいなければなりません。

SPD: the trusted certificate `name' does not contain the Basic Constraints extension. This is against RFC-2459. However, forcing the certificate as a point of trust because of the flag `trusted'.

説明: 証明書には CA (Certification Authority) 証明書であるというマークが付いていますが,通常 CA 証明書にあるような内部属性がありません。 この証明書は,CA 証明書として信頼されます。

B.2.2    手動鍵接続のエラー・メッセージ

ここで述べるエラー・メッセージはセキュリティ・アソシエーション (SA) の作成時のメッセージなので,起動時に表示されます。

AH or ESP authentication key is not long enough for the specified algorithm at connection id

説明: 接続に指定された手動鍵が有効な長さではありません。 各暗号化アルゴリズムや HMAC アルゴリズムには,鍵の長さが規定されています。

ESP cipher key is not long enough for the specified algorithm at Connection id: got n, minimum n

説明: 接続に指定された手動鍵が有効な長さではありません。 各暗号化アルゴリズムや HMAC アルゴリズムには,鍵の長さが規定されています。

SPD: Algorithms for manually keyed connection id can not be determined. The proposal-list is missing, or it does not contain exactly one proposal.

説明: 手動鍵による接続には,プロポーザルを 1 つだけ含むプロポーザル・リストが必要です。 プロポーザルはチェーンになることもありますが,プロトコルのインスタンスを 1 つだけ含んでいなければなりません (AH,ESP,IPcomp など)。 各プロトコルには,受信と送信の鍵を指定する必要があります。

SPD: invalid number of cipher or HMAC algorithm names in proposal `name' for manually keyed connection `name'

説明: プロポーザルに,必要な数の暗号化アルゴリズムまたはハッシング・アルゴリズムの名前がありません。 手動鍵による接続には,プロポーザルを 1 つだけ含むプロポーザル・リストが必要です。 プロポーザルはチェーンになることもありますが,プロトコルのインスタンスを 1 つだけ含んでいなければなりません (AH,ESP,IPcomp など)。 各プロトコルには,受信と送信の鍵を指定する必要があります。

SPD: invalid number of compression algorithm names in proposal `name' for manually keyed connection `name'

説明: プロポーザルに,必要な数の圧縮アルゴリズム名がありません。 手動鍵による接続には,プロポーザルを 1 つだけ含むプロポーザル・リストが必要です。 プロポーザルはチェーンになることもありますが,プロトコルのインスタンスを 1 つだけ含んでいなければなりません (AH,ESP,IPcomp など)。 各プロトコルには,受信と送信の鍵を指定する必要があります。

SPD: invalid number of HMAC names in proposal `name' for manually keyed connection `name'

説明: プロポーザルに,必要な数のハッシング・アルゴリズム名がありません。 手動鍵による接続には,プロポーザルを 1 つだけ含むプロポーザル・リストが必要です。 プロポーザルはチェーンになることもありますが,プロトコルのインスタンスを 1 つだけ含んでいなければなりません (AH,ESP,IPcomp など)。 各プロトコルには,受信と送信の鍵を指定する必要があります。

SPD: invalid number of proposals in the proposal list `name' of the manually keyed connection `name'

説明: 指定されたプロポーザル・リストに必要な数のプロポーザルがありません。 手動鍵による接続には,プロポーザルを 1 つだけ含むプロポーザル・リストが必要です。 プロポーザルはチェーンになることもありますが,プロトコルのインスタンスを 1 つだけ含んでいなければなりません (AH,ESP,IPcomp など)。 各プロトコルには,受信と送信の鍵を指定する必要があります。

SPD: invalid transform type in transform `name' for manually keyed connection `name'

説明: 手動鍵による接続には,プロポーザルを 1 つだけ含むプロポーザル・リストが必要です。 プロポーザルはチェーンになることもありますが,プロトコルのインスタンスを 1 つだけ含んでいなければなりません (AH,ESP,IPcomp など)。 各プロトコルには,受信と送信の鍵を指定する必要があります。

SPD: The number of keys n for connection id does not match protocol count n

説明: 指定された手動鍵の数が,接続に指定されたプロトコルの数と一致しません。 手動鍵による接続には,プロポーザルを 1 つだけ含むプロポーザル・リストが必要です。 プロポーザルはチェーンになることもありますが,プロトコルのインスタンスを 1 つだけ含んでいなければなりません (AH,ESP,IPcomp など)。 各プロトコルには,受信と送信の鍵を指定する必要があります。

SPD: too few keys for manually keyed connection `name'

説明: 接続に必要な数の鍵を指定していません。 各プロトコルには,受信と送信の鍵を指定する必要があります。

SPI for connection id is not specified or is less than 256.

説明: この手動鍵接続の鍵のいずれかに対する SPI 値が存在しないか,無効になっています。 有効な値は,256 より大きい値です。

Transport endpoints not specified for Connection id. For IKE these can be left out, but for manually keyed connection they must be present.

説明: 接続のローカル・アドレスまたはリモート・アドレス,あるいはその両方が指定されていません。 手動鍵接続のパラメータは,接続に定義しなければなりません。

Truncating key name ciph len n to required n bits

説明: 接続に指定した手動鍵が有効な長さではありません。 各暗号化アルゴリズムや HMAC アルゴリズムには,鍵の長さが規定されています。

B.3    IKE 折衝のエラー・メッセージ

ここには,IKE フェーズ 1 およびフェーズ 2 の折衝に関するエラー・メッセージを記載します。

B.3.1    フェーズ 1 のエラー・メッセージ

フェーズ 1 折衝の問題に関するメッセージを以下に示します。

Can not decode certificate out from BER encoded blob. The certificate may be corrupt, or should be decoded to binary BER blob before inserting (file format may be wrong?)

説明: セキュリティ・ポリシで指定した証明書ファイルが読み取れないか,無効になっています。 証明書は無視されます。

Can not decode CRL out from BER encoded blob. The CRL input may be corrupted, or should be decoded to binary BER blob before inserting (file format may be wrong?).

説明: セキュリティ・ポリシで指定した CRL ファイルが読み取れないか,無効になっています。 CRL は無視されます。

Can not get policy for id <-> id

説明: リモート・システムが IKE 折衝を開始しましたが,ローカル IKE はリモート・システムに一致するポリシを見つけることができませんでした。

Can not get subject name from a CA certificate. This certificate is not usable as an IPsec authenticator, and is not inserted into local list of trusted roots.

説明: セキュリティ・ポリシに指定された CA 証明書に,IPsec で使用するための正しい情報がありません。

Certificate contains bad IP address: length=n

説明: IP アドレスを含む無効な subjectAltName 属性が証明書に含まれています。

CRL issuer name does not appear at the CRL. Can not check the CRL validity. Discarding the CRL.

説明: セキュリティ・ポリシに指定された CRL ファイルが読み取れないか無効です。 CRL は無視されます。

CRL issuer public key was not found from the local database. Can not check the CRL validity. Discarding the CRL.

説明: CRL に関連する CA 証明書が構成されていません。

Phase-1 [<initiator/responder>] between id and id failed; reason

説明: IKE は,表示された理由でフェーズ 1 SAの折衝ができません。

Phase-1 lifetime is too short (prop=n, min=n)

説明: フェーズ 1 の存続期間が短すぎます。 要求された存続期間は,最低限の値に置き換えられます。

Phase-1 notify string "(size n bytes) from string:string for protocol=n spi(n)=string"

説明: リモート・システムが,表示した理由で IKE 折衝を拒否または変更するという通知メッセージを送信しました。

Policy manager didn't find private key

説明: IPsec は,認証の証明書に合った非公開鍵を見つけることができませんでした。 非公開鍵ファイルが構成されていないか,間違ったファイルが使用されています。

Policy manager didn't find public key

説明: IKE は,証明書ベースの IKE 交換を認証するための,正しい公開鍵を見つけることができませんでした。 必要な証明書または CA 証明書が構成されていないか,または証明書の ID が間違っています。

Received error notify from remote address : reason. Deleting ISAKMP SA.

説明: リモート・システムは,表示した理由で IKE 折衝を拒否したという通知メッセージを送信しました。

Sending notification to remote-address : reason

説明: ローカル IKE は IKE 折衝を拒否または変更し,リモート IKE に通知を送信しています。

SPD: Phase-1 policy; No security policy available.

説明: IKE が実行中で,リモート・ピアからメッセージを受信しましたが,有効なローカル・セキュリティ・ポリシがロードされていません。

SPD rejected conn using selectors id <-> id

説明: IKE 折衝を受信しましたが,指定されたリモード・アドレスに合うポリシがありません。

The Phase-1 remote id is not an IP-address, check the peer/gw address.

説明: 構成されたアドレスが IP アドレスではありません。 セレクタとゲートウェイ・アドレスに対して IP アドレスを指定する必要があります。 IPsec ポリシを変更する必要があります。

B.3.2    フェーズ 2 のエラー・メッセージ

フェーズ 2 折衝の問題に関するメッセージを以下に示します。

IKE Phase-2; Could not select any protocols from IPSEC SA n

説明:ローカル・ノードとリモート・ノードのセキュリティ・ポリシの間に,IPsec 保護に関する共通のプロポーザルがありません。 どちらかを変更する必要があります。

IKE Quick-Mode negotiation between id <-> id failed: reason

説明: 提示した理由で IPsec SA の折衝が失敗しました。

Phase-2 [role] for id and id failed; reason.

説明:提示した理由で,指定されたシステム (開始システムと応答システム) 間のフェーズ 2 折衝が失敗しました。

Phase-2 lifetime is too short, reset to min (prop=n, min=n)

説明: リモート・システムが要求するフェーズ 2 存続期間が短すぎます。 適用できる最短期間を代わりに使用します。

QM notification n (reason) (size n bytes) from remote-address for protocol=n spi(n)=spi-value

説明: リモート・システムが,提示した理由でフェーズ 2 折衝を拒否または変更したことを示す通知メッセージを送信しました。

Received responder lifetime notification: "life_secs=n, life_kbytes=n

説明: リモート・システムは,フェーズ 2 SA に対して間違った存続期間の値を選択しました。

Requested to delete SA protocol[spi-value]

説明: リモート・システムが,指定された SA を削除するようにという要求を送信しました。 これは,リモートが IPsec の処理をシャットダウンしたか停止したことを示します。

SA-per-host specified and the remote requested addresses range or subnet -> rejecting connection.

説明: ローカル・ポリシは,接続ルールに一致する各ホストに対して一意の SA を作成するように指定しています。 ただし,リモート・ポリシでは一致する全ホストに対して単一の SA を使用するようになっています。

SA-per-host specified without remote addresses given and the remote did not request QM for itself -> rejecting connection.

説明: ローカル・ポリシでは,認証されたすべてのリモート・ホストに対してこの接続の使用を許可しています。 これを安全に行うには,リモート・ポリシでは自分のアドレスに関してのみ,SA の折衝を行う必要があります。 これにより,リモート VPN ゲートウェイは,受信する予定のないパケットを要求することがなくなります。

The bundle n to be installed does not contain any inbound SA's. Not installing it.

説明: フェーズ 2 折衝で何らかの問題が発生して完了しなかったため,SA が作成されていません。 この問題は,手動鍵接続にエラーがあった場合にも発生します。

The bundle n to be installed does not contain any outbound SA's. Not installing it.

説明: フェーズ 2 折衝で何らかの問題が発生して完了しなかったため,SA が作成されていません。 この問題は,手動鍵接続にエラーがあった場合にも発生します。

Tunnel endpoints not specified for Connection id

説明: IKE は,指定された接続のセキュア・ゲートウェイ・アドレスとして省略時の値を選択できませんでした。 いずれか,または両方のセキュア・ゲートウェイのアドレスを,接続に指定する必要があります。

B.4    ipsecd デーモンのメッセージ

以下のメッセージは,ipsecd デーモンが一時的に過負荷になっているか,IPsec カーネル・モジュールからの情報に応答していないことを示しています。 これらの状態は,必ずしも問題を示しているとは限りませんが,これらのメッセージが高い頻度で表示される場合,ipsecd デーモンがハングアップして,再起動が必要であるという可能性があります。

ssh_send_to_ipm: queue full, priority message dropped, len=n type=n queue_size=n

ssh_send_to_ipm: dropping entry to make space for important packet

ssh_send_to_ipm: WARNING: queue full, important packet dropped len = 0xn, type = n