一个Sangfor Ipsec VPN与Netgear VPN野蛮模式对接的成功案例
  

pony Lv10发表于 2015-3-25 11:51

    网络环境:总部sangfor网关模式接专线,分部netgear带有8个交换端口的VPN 防火墙,实现总部与分部对接。
实现过程:在论坛上下载了与netgear对接的文档,看了后满以为可以轻松解决,但事与愿违……配置文档只有Netgear第一阶段的配置,而且只对生存期做了特别的提醒,容易出错的第二阶段却没有出现。
开始测试,登录Netgear设备后,点击IKE Policies,设置第一阶段,如下图:
11.jpg

配置好两端的连接后,最开始提示第一阶段已经完成,但第二阶段就停滞不前了,开了调试日志,十几分钟都没有显示出真正的出错原因,本着不甘心的态度,在Netgear控制台进行了多次重新连接后,人品终于爆发了,救命稻草终于出现,如图:
12.png

居然是生存周期类型不匹配,导致第二阶段失败,检查了半天没查出个所以然,最后才在netgear的界面上发现"SA life time"的单位有两个:"second"和"kbyte",默认是1440和10000,刚看到这个,估计正常人都会觉得默认是第一个单位吧,要不是sangfor给出错误日志,你会猜到是这里出了问题?客服反馈先前就有代理商都没测试成功,估计就是这里出了问题!本着试一试的心态,将kbyte默认的数字删了,填上了0 ,如图:
13.png

    再测试连接…………第二阶段连接终于宣告成功!
14.jpg

如果连接成功,则Action显示为DROP,否则Action显示为CONNECT:
15.png

题外话:其实一开始测试的时候,拿了两端都是ADSL拨号的部署模式来测试,但后来发现netgear第二阶段的配置有个必须要填的"Remote VPN Endpoint",可以填公网地址,还有域名,所以只有将sangfor对接的临时IP地址填上去,才可以对接成功,当然,由于不是固定ip,下次就不能再连接了。如果通过花生壳动态域名什么的申请个免费的域名,估计还是可以连接成功吧,但申请的时候,不要太长,因为这坑爹的设备只允许域名填32个字符!

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

Julia 发表于 2015-3-25 15:35
  
谢谢分享~~~
SteveNiaobs Lv9发表于 2015-3-25 16:46
  
太厉害了!目测楼主是VPN对接小王子
Sangfor总部渠道服务彦彬 Lv3发表于 2015-3-27 09:10
  
这个贴的第二阶段可以帮助我们丰富已有文档哦,实践出真知!
Julia 发表于 2015-4-3 14:39
  
来看优秀奖的,果然很优秀~~~
阿臣 Lv2发表于 2015-4-23 11:07
  
果然是专业的,蓝瓶的
dachong Lv4发表于 2016-2-25 15:43
  
学习了~
mhn Lv6发表于 2017-2-17 14:25
  
学习了~