本帖最后由 SANGFOR_HZ 于 2022-9-18 17:54 编辑
WOC和天融信VNP第三方对接配置及问题解决
一、案例背景 客户这边分支有一台WOC设备想跟总部设备做VPN对接实现分支与总部业务互相访问,原本总部出口防火墙是深信服的,使用SANGFOR VPN对接会更简单,但是客户考虑到其他情况,不想把VPN和安全防护放在一台设备上,所以要求分支的WOC设备与总部的天融信VPN设备做IPSEC VPN对接来实现分支总部互访。
二、网络拓扑 经过跟客户沟通了解到分支与总部的网络,总结出IPsec VPN对接拓扑如下:
三、配置步骤: 3.1、分支WOC配置IPSEC VPN配置 1、第一阶段配置:
2、第二阶段配置 对端网段入站配置,如下图:
第二阶段配置:
第四、问题排查分析 问题描述:------------------------------------------------- 两端设备IPSEC VPN对接配置完成后,VPN对接建立不起来
排查分析过程:-------------------------------------------- 1、通过日志查看第一阶段建立失败,核对第一阶段参数配置发现存活时间不对,修改存活时间。 2、经过沟通了解天融信VPN第一阶段的对端标识和本地标识的配置对应的是分支WOC设备第一阶段的域名字符串FQDN,而不是用户字符串,所以修改分支WOC第一节配置如下:
备注:特别注意总部天融信VPN第一阶段身份标识填写字符串前面有个@(可以查看天融信VPN第一阶段配置),而分支WOC设备域名字符串填写不需要加@,如上图所示配置。 3、配置参数对接完没问题后还是无法建立连接,查看WOC的VPN对接日志,如下图所示: 通过上图日志可以看到分支设备第一阶段填写对端地址是X.X.88.126地址,结果日志提示没有找打X.X.179.200的设备出现对接设备。查看天融信VPN第一阶段配置,开启了主动发起隧道协商配置。所以初步分析原因可能是对端向分支WOC发起主动连接,分支WOC看到对端是对端过来公网地址是X.X.179.200,但是分支WOC第一阶段对接填写对端公网地址是X.X.88.126地址,所以最终出现没有找打X.X.179.200的设备信息对接是吧。 4、对于第三步排查步骤,关闭对端的主动发起连接,如下图: 关闭主动协商连接后,由分支WOC主动发起建立连接,结果测试发现还是无法建立连接,通过WOC日志查看提示到对接地址连接失败,在WOC上测试到该地址连通性是无法ping通的,如下图所示: 5、登录总部的出口防火墙设备查看到,发现互联网接口上配置了两个不同网段的公网地址如下: 通过上图接口发现还有其他多余地址,最后决定更换个地址。首先找个在WOC上测试通信正常的地址,最后测试发现X.X.179.201地址可用,并且端口映射未被占用。所以先更改防火墙上端口映射地址,然后再更改分支WOC第一阶段填写的对端地址为X.X.179.201,如下图所示: 地址更改后,第三方对接成功建立起来,如下图所示:
根本原因:------------------------------------------- 1、两端对接参数配置不对 2、填写对端的公网地址不通
解决方案:--------------------------------------------- 1、修改两端的配置参数,如果不了解第三方设备可以咨询第三方厂家的工程师 2、更改可用的公网IP地址
建议与总结:----------------------------------------- 1、如果两端设备都是单臂或不在互联网出口的话,哪一方发起主动连接,对端要出口设备上做UDP的500和4500端口映射,并确保映射的公网IP可用。 2、两端设备都是单臂的话,需要在网关设备上添加到对端网段的回包路由。如本案例两个设备都是单臂,网关都在防火墙上,所以都在防火墙上添加到对端网段的回包路由下一跳指向VPN。如下图所示: 3、如果VPN对接建立不起,要充分利用查看深信服设备的VPN对接日志,勾选告警、调试信息,会显示详细的日志信息便于排查,是很不错的,是其他厂家不具备的。
|