Dépannage des communications IPsec
Traduction de la notice originale
A propos de nous
Mise au point des connexions
Mettez au point les connexions IPsec :
Etape
Action
1
Saisissez MMC dans le menu Exécuter pour lancer la console Microsoft Management Console.
2
Sélectionnez Ajouter/Supprimer un composant logiciel enfichable dans le menu Fichier.
3
Ajoutez les composants logiciels enfichables suivants :
  • Moniteur de sécurité IP : permet d'afficher les détails des associations de sécurité actives.
  • Pare-feu Windows avec fonctions avancées de sécurité sur Ordinateur local : permet d'afficher les informations suivantes :
    • Règles de sécurité de connexion : règles créées par le script.
    • Propriétés : faites un clic droit pour afficher les paramètres globaux du pare-feu.
NOTE : Vous avez la possibilité de modifier un grand nombre de paramètres configurés par le script. Certains paramètres doivent être modifiés à l'aide des commandes netsh.
Faciliter les communications IPsec
Utilisez ces solutions pour faciliter les communications lorsqu'IPsec est activé :
Comportement
Raison
Solution
Il n'y a aucune communication avec le BMENOC0301/11 lorsqu'IPsec est activé sur le PC sous Windows 7 ou Windows 10.
L'agent de stratégie IPsec n'est pas exécuté sur le PC.
Configurez le démarrage automatique du service IPsec sur le PC.
IPsec n'est pas activé sur le BMENOC0301/11.
Activez IPsec dans l'onglet Sécurité du DTM du BMENOC0301/11.
IPsec n'est pas configuré correctement dans Windows.
Vérifiez que les paramètres de la configuration Windows correspondent à ceux de l'implémentation IPsec :
  • Vérifiez à nouveau la clé pré-partagée.
  • Vérifiez à nouveau l'adresse IP du BMENOC0301/11 dans le DTM.
  • Désactivez PFS (Perfect Forward Secrecy) pour les deux tunnels de sortie de communication dans Windows.
Control Expert ne parvient pas à se connecter au BMENOC0301/11 par Ethernet.
IPsec n'est pas activé sur le BMENOC0301/11 et le PC Windows.
Vérifiez que la configuration du DTM et la Stratégie de sécurité locale de Windows sont activées pour IPsec.
IPsec n'est pas configuré correctement dans Windows.
Vérifiez que les paramètres de la configuration Windows correspondent à ceux de l'implémentation IPsec :
  • Vérifiez à nouveau la clé pré-partagée.
  • Vérifiez à nouveau l'adresse IP du BMENOC0301/11 dans le DTM.
  • Désactivez PFS (Perfect Forward Secrecy) pour les deux tunnels de sortie de communication dans Windows.
Le BMENOC0301/11 a été redémarré récemment.
Choisissez une solution :
  • Attendez pendant 5 minutes le timeout des associations de sécurité Windows.
  • Supprimez le mappage de la stratégie de sécurité locale, puis réaffectez-la dans Windows pour forcer la réinitialisation des associations de sécurité.
L'outil de mise à jour du micrologiciel ne parvient pas à se connecter au BMENOC0301/11 via Ethernet.
IPsec n'est pas activé sur le BMENOC0301/11 et le PC Windows.
Vérifiez que la configuration du DTM et la Stratégie de sécurité locale de Windows sont activées pour IPsec.
IPsec n'est pas configuré correctement dans Windows.
Vérifiez que les paramètres de la configuration Windows correspondent à ceux de l'implémentation IPsec :
  • Vérifiez à nouveau la clé pré-partagée.
  • Vérifiez à nouveau l'adresse IP du BMENOC0301/11 dans le DTM.
  • Désactivez PFS (Perfect Forward Secrecy) pour les deux tunnels de sortie de communication dans Windows.
Le BMENOC0301/11 a été redémarré récemment.
Choisissez une solution :
  • Attendez pendant 5 minutes le timeout des associations de sécurité Windows.
  • Supprimez le mappage de la stratégie de sécurité locale, puis réaffectez-la dans Windows pour forcer la réinitialisation des associations de sécurité.
Les ports IKE et IPsec sont peut-être bloqués par un pare-feu ou par un autre programme associé à des applications antivirus.
Vérifiez que le port IKE (UDP 500), le port de l'en-tête d'authentification IPsec (51) et le port ESP (501) sont ouverts sur les pare-feu entre l'application PC et le PAC, y compris ceux associés aux applications antivirus (telles que McAfee ou Symantec).
Configurer le démarrage automatique du service
L'agent de stratégie IPsec ne s'exécute pas si le message suivant s'affiche : « Le service ne peut pas être démarré ». Dans ce cas, configurez le service pour qu'il démarre automatiquement :
Etape
Action
1
Sous Windows 7 ou Windows 10, développez (+) Outils d'administration.
2
Double-cliquez sur Services pour accéder aux services locaux.
3
Double-cliquez sur Agent de stratégie IPsec pour ouvrir ses propriétés.
4
Cliquez sur l'onglet Général.
5
Dans le menu déroulant Type de démarrage, faites défiler la liste jusqu'à Automatique.
6
Dans Statut du service, sélectionnez Démarrer.
NOTE : si Démarrer est grisé, le service est déjà en cours d'exécution.
7
Cliquez sur OK pour appliquer les modifications et fermer la fenêtre.
NOTE : Lorsque vous activez IPsec, le DTM désactive automatiquement le port Ethernet de l'embrase sur le BMENOC0301/11. Ceci a pour effet d'isoler le réseau IPsec (réseau de la salle de contrôle) du réseau de l'appareil.