В веб-консоли UserGate NGFW в разделе Журналы и отчеты ➜ Журналы ➜ Журнал событий записи событий VPN-сервера можно отфильтровать, выбрав в меню журнала компонент «VPN» и нужные типы событий.

Также записи событий можно отфильтровать с помощью запросов в строке расширенного поиска.

ПримечаниеСобытия VPN-сервера не реплицируются на другой узел кластера.

Ошибки подключений на VPN-сервере

Ошибки, связанные с неудачными попытками подключения к VPN-серверу или с разрывом существующих VPN-соединений, записываются в журнал событий UserGate NGFW.

Вы можете отсортировать ошибки подключений в журнале событий по компоненту «VPN», типу события «Ошибка сервера», времени возникновения ошибки, названию клиентского правила или IP-адресу VPN-клиента.

В таблице приведены варианты сообщений об ошибках VPN-подключений, отображаемые в журнале событий веб-интерфейса UserGate NGFW, и возможные причины их возникновения.

Детали события	Event details	Возможная причина ошибки
Клиент не отвечает	No response from client	При согласовании параметров безопасности фазы 1 защищенного соединения не получен ответ от VPN-клиента в установленный промежуток времени. Возможные причины: Произошла потеря пакетов. VPN-клиент выключен. VPN-клиент инициировал новое подключение
Настройки параметров безопасности фазы 1 на сервере несовместимы с настройками на клиенте	The server's Phase 1 security settings are incompatible with the client's settings	На этапе согласования параметров безопасности фазы 1 защищенного соединения не найдены совпадения в параметрах: групп Диффи-Хеллмана; алгоритмов шифрования; алгоритмов аутентификации
Ошибка подключения VPN-клиента: неверный общий ключ	VPN client connection error: incorrect pre-shared key	На этапе установления фазы 1 защищенного соединения VPN-сервер не может расшифровать сообщение от VPN-клиента или подтвердить его подлинность. Возможная причина ошибки: несовпадение значения общего ключа в настройках параметров VPN-сервера и VPN-клиента
Настройки параметров безопасности фазы 2 на сервере несовместимы с настройками на клиенте	The server's Phase 2 security settings are incompatible with the client's settings	На этапе согласования параметров безопасности фазы 2 защищенного соединения не найдены совпадения: алгоритмов шифрования; алгоритмов аутентификации
Для клиента не был найден свободный IP-адрес, подключение отклонено	No Available IP Address Found for the Client, Connection Rejected	Диапазон адресов, предназначенный для VPN-клиентов, слишком мал для имеющегося количества одновременных подключений
Не получен код двухфакторной аутентификации	MFA code not received	На этапе аутентификации не получен код второго фактора аутентификации от VPN-клиента
Неверный код двухфакторной аутентификации	MFA verification failed	На этапе аутентификации получен неверный код второго фактора аутентификации от VPN-клиента. Возможные причины получения неверного кода: Рассинхронизация времени между сервером и клиентом. Неверно введенный пользователем код. Устаревший код
Цифровая подпись в сертификате клиента не соответствует подписи, вычисленной VPN-сервером	The digital signature in the client certificate does not match the signature computed by the VPN сервер	Ошибка аутентификации на этапе IKE_AUTH в IKEv2. VPN-сервер использует открытый ключ из сертификата клиента для проверки цифровой подписи, которую клиент создал своим закрытым ключом. Если подписи не совпадают, сервер немедленно разрывает соединение, так как не может подтвердить подлинность клиента. Возможные причины: Несоответствие пары ключей. Повреждение данных или неправильный расчет хеш-суммы. Проблемы с цепочкой доверия сертификатов. Сервер не может проверить подпись удостоверяющего центра на клиентском сертификате
В сертификате отсутствует альтернативное имя (SAN) или оно указано неверно	Certificate SAN empty or certificate SAN mismatch	Ошибка при установлении VPN-подключения в сценарии Site-to-Site с аутентификацией посредством сертификатов. Возможной причиной ошибки является некорректный сертификат клиента, в котором либо отсутствует расширение Subject Alternative Name (SAN), либо в нем указан некорректный IP-адрес или FQDN клиента
Несовпадение подсетей клиента и VPN-сервера	Client and server VPN subnets do not match	В сценарии Site-to-site c протоколом IPsec/IKEv2 в ходе фазы 2 стороны туннеля обмениваются своими предложениями по селекторам трафика. Для успешного установления туннеля сети в селекторах трафика от обеих сторон соединения должны совпасть или пересечься. Если нет ни одного совпадения в адресах локальных и удаленных подсетей, соединение разрывается и выдается сообщение об ошибке
Клиент не поддерживает NAT-T	Client does not support NAT-T	При установлении VPN-подключения с протоколом IPsec IKEv1 VPN-сервер не находит в сообщении от клиента идентификатор Vendor ID
Отсутствует KE-пакет, обмен ключами DH невозможен	Missing KE payload, DH key exchange not possible	Критическая ошибка в процессе обмена ключами при установлении VPN-подключения. Возможные причины: Ошибки в конфигурации DH-групп на одной из сторон соединения. Устаревшая версия VPN-клиента. Блокировки IKE-пакетов на сети
Сбой согласования IKE: не получен nonce (Ni payload) от клиента	IKE negotiation failed: the initiator's nonce was not received	Ошибка в процессе обмена ключами при установлении VPN-подключения. Возможные причины: Потери пакетов или фрагментация пакетов. Блокировки IKE-пакетов на сети. Ошибки конфигурации: разные версии IKE на клиенте и сервере. Рассинхронизация времени между клиентом и сервером
Сбой аутентификации клиента: хеш-код HASH_I не получен.	Client authentication failed: HASH_I not received	Ошибка аутентификации клиента в процессе установления IKE-соединения. Возможные причины: Некорректные учетные данные (неправильный общий ключ, недействительный сертификат). Несовместимость алгоритмов шифрования или аутентификации на клиенте и сервере. Рассинхронизация времени между клиентом и сервером
Соединение разорвано по алгоритму DPD	VPN connection closed by Dead Peer Detection algorithm	Разрыв VPN-подключения по причине неактивности противоположной стороны соединения в пределах установленного интервала. Причинами отсутствия ответа противоположной стороны соединения могут быть: Проблемы с сетевой связностью. Высокая загрузка сети или сторон соединения. Слишком агрессивные настройки параметров протокола DPD
VPN-туннель закрыт по причине срабатывания защиты от перехвата	VPN tunnel closed due to anti-replay protection trigger	Срабатывание защиты от перехвата и повторной передачи VPN-пакетов. Нарушение последовательности или повторяемость номеров (sequence number) получаемых пакетов. Возможные причины: Проблемы с сетью (большая потеря пакетов, большая вариация задержек, неправильная очередность доставки пакетов). Перегрузка VPN-сервера или клиента. Рассинхронизация времени между клиентом и сервером

Следующие ошибки VPN-подключений не фиксируются в журнале событий UserGate NGFW:

Несовпадение параметров первого пакета. Если параметры инициирующего пакета от VPN-клиента не соответствуют ни одному из настроенных на VPN-сервере правил подключения.
Отсутствие активной VPN-политики. Если параметры инициирующего пакета VPN-клиента соответствует условиям одного из правил подключения, но это правило не связано ни с одной из активных политик VPN.
Промежуточные этапы IKEv2. Отдельные итерации в процессе согласования группы Диффи-Хеллмана по протоколу IKEv2, если в итоге соединение устанавливается успешно.

Ошибки подключений на VPN-сервере (инициаторе соединения)

В сценарии Site-to-site VPN UserGate NGFW может выступать в роли инициатора VPN-соединения. При неудачной попытке установления соединения с удаленным VPN-сервером или при разрыве установленного соединения в журнал событий будут записываться сообщения об ошибках VPN-подключения.

В журнале событий веб-интерфейса вы можете отсортировать ошибки подключений по компоненту «VPN», типу события «Ошибка клиента» или времени возникновения ошибки.

Последняя ошибка подключения по активному правилу также отображается в разделе клиентских правил веб-интерфейса (Настройки ➜ VPN Site-to-Site клиент ➜ Клиентские правила) в поле Последняя ошибка VPN.

В таблице приведены варианты сообщений об ошибках, отображаемые в веб-интерфейсе UserGate NGFW (инициатора соединения), и возможные причины их возникновения.

Детали события	Event details	Возможная причина ошибки
Сервер не отвечает	No response from server	1. Инициатор VPN-соединения отправляет запрос на подключение к VPN-серверу и не получает ответ в течение настроенного времени ожидания. Возможные причины: Некорректный IP-адрес VPN-сервера в настройках клиентских правил на инициаторе соединения. Неверный адрес VPN-сервера определяется на DNS-сервере. На VPN-сервере не открыты порты 500, 4500. На VPN-сервере не найдено активное правило подключения, подходящее по параметрам: протокол; режим IKE; IP-адрес источника или назначения; пользователь. Высокая загрузка VPN-сервера. Произошла перезагрузка VPN-сервера без сохранения состояния IKE_SA. Потеря пакетов из-за перегрузки сети 2. После истечения таймера механизма DPD система отправляет первоначальный DPD-запрос. В случае отсутствия ответа и исчерпания всех попыток проверки клиент фиксирует недоступность VPN-сервера. Возможные причины: На VPN-сервере не открыты порты 500, 4500. Высокая загрузка VPN-сервера. Произошла перезагрузка VPN-сервера без сохранения состояния IKE_SA. Потеря пакетов из-за перегрузки сети. 3. Ошибка в процессе пересоздания ключей (rekeying) для IKE- или ESP-туннеля: VPN-сервер не ответил на запрос. Возможные причины: Потеря сетевой связности. Высокая загрузка VPN-сервера. Произошла перезагрузка VPN-сервера без сохранения состояния IKE_SA. Потеря пакетов из-за перегрузки сети
Ошибка подключения: некорректное имя сервера	Invalid server name	Доменное имя VPN-сервера, указанное в параметрах подключения инициатора VPN-соединения, не определяется DNS-сервером. Вероятные причины: Неверно указано доменное имя VPN-сервера в параметрах подключения на узле-инициаторе соединения. На DNS-сервере не определено доменное имя VPN-сервера
Ошибка подключения: некорректные параметры аутентификации клиента	VPN client connection error — wrong client auth	Ошибка подключения по IKEv2. Узел-инициатор соединения не прошел аутентификацию на VPN-сервере. Возможные причины: неверно указан общий ключ (PSK) в настройках подключения; VPN-сервер сопоставил идентификатор клиента с другой политикой, где задан другой общий ключ
Тайм-аут фазы 1. Используется неверный общий ключ	Phase 1 timeout. Incorrect shared key	Ошибка установления IPsec-соединения с использованием протоколов IPsec/L2TP Возможные причины: В параметрах VPN-подключения указано неверное значение общего ключа. Не совпадают параметры фазы 1 IKE
Ошибка подключения по протоколу IPsec/L2TP: неверный пароль	VPN client connection error IPsec/L2TP: incorrect password	Ошибка при установлении соединения с протоколами IPsec/L2TP. Возможные причины: На VPN-сервере создана, но не включена учетная запись для аутентификации узла-инициатора соединения. Учетная запись для аутентификации узла-инициатора соединения на VPN-сервере не связана с политикой VPN. На VPN-сервере не настроен профиль аутентификации с локальным пользователем для аутентификации узла-инициатора соединения . Несовпадение пароля учетной записи на VPN-сервера и в параметрах соединения на узле-инициаторе. На VPN-сервере нет свободного IP-адреса для клиента
Настройки безопасности VPN-клиента несовместимы с настройками сервера	VPN client and VPN server security settings are not compatible	Ошибка при установлении соединения с протоколами IKEv2 и IPsec/L2TP. Возможные причины: Несоответствие параметров соединения на VPN-сервере и узле-инициаторе соединения: Группы Диффи-Хеллмана не совпадают. Настройки безопасности первой фазы не совпадают. Настройки безопасности второй фазы не совпадают
Ошибка подключения VPN-клиента — некорректные параметры аутентификации сервера	VPN client connection error — wrong server auth	Ошибка при установлении соединения с протоколами IKEv2. Неуспешная проверка цифровой подписи VPN-сервера в сообщении IKE_AUTH, в результате чего подлинность сервера не подтверждена
Аутентификация клиента невозможна: не получен HASH_I	Client authentication failed: HASH_I not received	Ошибка при установлении соединения по протоколу IKEv1. Значение HASH_DATA, полученное от VPN-сервера, не совпадает со значением, вычисленным на стороне инициатора соединения. Возможные причины: повреждение пакета при передаче; потеря предыдущего сообщения, влияющего на вычисление HASH_DATA; использование некорректного значения общего ключа; попытка подмены или иного вмешательства в процесс обмена сообщениями
Отсутствие ключевой информации в ответе сервера. Вероятно не совпадает общий ключ	Missing key exchange in server response. Highly likely incorrect shared key	Ошибка при установлении соединения по протоколу IKEv2. В сообщении, полученном от VPN-сервера, отсутствует обязательный payload Key Exchange (KE)
Ошибка декодирования сообщения сервера, хэш неверный	Error decoding server message, hash is invalid	Ошибка при установлении соединения по протоколу IKEv2. Инициатор соединения выполняет проверку целостности сообщения, полученного от VPN-сервера, путем вычисления значения Integrity Check Value (ICV) и сравнения его с полученным значением. При несовпадении значений проверка целостности завершается неуспешно, и соединение не устанавливается. Возможные причины: повреждение или потеря пакетов при передаче (в том числе при фрагментации); потеря предыдущего сообщения, влияющего на состояние обмена
Настройки безопасности VPN-клиента несовместимы с настройками сервера	VPN client and VPN server security settings are not compatible	Ошибка при установлении соединения по протоколу IKEv1. Параметры защищаемых подсетей (local/remote networks), настроенные на VPN-сервере и узле-инициаторе соединения, не совпадают, в результате чего не удается согласовать параметры IPsec-туннеля
Несовпадение идентификаторов	Incompatible identifiers	Ошибка при установлении соединения по протоколу IKEv2. На этапе согласования IPsec SA клиент отправляет сообщение IKE_AUTH с селекторами трафика (TSi/TSr). VPN-cервер сверяет полученные TSi/TSr с настройками локальных подсетей. Если ни одна подсеть не может быть согласована, VPN-сервер отправляет сообщение INFORMATIONAL со значением Notify payload TS_UNACCEPTABLE, и соединение не устанавливается. Причина: Подсети, настроенные на узле-инициаторе соединения и VPN-сервере, не совпадают
Отсутствие идентификатора в ответе сервера	Missing identifier in server response	Ошибка при установлении соединения по протоколу IKEv1. Узел-инициатор соединения не получил обязательный идентификатор VPN-сервера (IDr) в ответном пакете IKE. В результате невозможна проверка подлинности VPN-сервера, и соединение не устанавливается. Возможные причины: повреждение или потеря пакетов при передаче; несоответствие режима IKE в параметрах соединения на узле-инициаторе и на VPN-сервере; неправильное значение общего ключа в параметрах подключения
Ошибка выделения IP-адреса на сервере	Error allocating IP address from VPN server	Не удалось получить IP-адрес от VPN-сервера. Узел-инициатор соединения не получил свободный IP-адрес от VPN-сервера, поэтому соединение не может быть установлено. Проверьте параметры подключения на VPN-сервере и наличие свободных IP-адресов в пуле