SSL和阿里云ECS对接标准备IPSec问题

本地设备：Sangfor SSL M6.3 R1
对端设备：某公司ECS实例（安全组端口全开），CentOS6.9操作系统（防火墙已关闭），专有网络（单网卡跟公网地址做全面映射）

我按照资料库中的《某公司_IPSEC_CentOS和某公司设备对接标准ipsec.pdf》开始搭建

某公司日志

DLAN总部

告警

15:41:07

[Isakmp_Server]和网关[centos]的第一阶段SA 协商失败,连接建立失败.

这个只有两种原因：要么参数错误，要么双方系统兼容性有问题。
如果确认参数没有输入错误，联系400排查，如果自己不太了解CentOs，将Linux的工程师一块儿叫上排查。

1、查看VPN设备是否有分支机构授权（或者第三方授权）
2、在系统日志【日志选项】开启调试日志，显示选项都勾选，过滤选择只勾选DLAN总部，查看具体提示来调试
3、请检查双方的参数是否配置一致

某公司专用网络不是在系统内对接vpn了，是在控制台

既然是两台设备对接vpn隧道，连接不了的时候也需要看对端设备的日志提示

因为对接的第三方设备是在内网，需要nat穿透，建议部署成野蛮模式测试一下

您好 麻烦确认下两端的vpn设备分别是什么模式部署的？
方便的时候 麻烦将对端设备的日志也打出来看看的
谢谢

你好 我看了下你的描述， ssl设备是网关模式吗？ 然后我看了下你的centos服务器是内网地址，然后做的全映射。只要存在nat环境就不能用主模式，必须要用野蛮模式+nat穿越+fqdn的方式才能实现

你可以参考下我之前发过的帖子，如果还不行可以加我qq 2028452025 帮你看下
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=26265

楼主 给你一个大概方向

ipsec.conf 大体按照这个配置 (openswan和strongswan可能存在细微命令差别)

conn net-net
keyexchange=ikev1
ike=3des-sha1
esp=                           ----未贴出
authby=secret
keyingtries=0
leftid=@openswan               ----(指定centos服务器的fqdn)
left=172.18.244.162
leftsubnet=172.18.244.0/24
leftnexthop=%defaultroute
rightid=@sangfor               ----(指定sangfor端的fqdn)
right=119.147.84.143
rightsubnet=x.x.x.x/x                    -----未贴出(sangfor一端的子网)
rightnexthop=%defaultroute
compress=yes
ikelifetime=28800              
keylife=7200
pfs=no
auto=start
aggrmode=yes              ---指定野蛮模式


这个文件也需要配置

ipsec.secrets

include /etc/ipsec.d/*.secrets
@openswan @sangfor: PSK "123456789"        ---指定两端的身份+协商密钥