SANGFOR_IPSEC_ALL_VPN连不上，常见报错的原因分析

VPN连不上，常见报错的原因分析

客户端日志提示连接对端的4009端口连接超时

1)  确认是否与总部版本一致，如果不一致请下载正确的版本。
2) telnet总部IP 4009是否通，如果总部是单臂，检查总部端口映射TCP/UDP 4009是否做好，若做网关，总部设备上是否有做全映射，把VPN连接的端口映射到其它地方了

3）客户端本身上网是否正常
3) 检查是否为多线路，是否错误配置了VPN多线路。（如多线路配置中没有填写线路中固定外网IP的DNS地址）
4) 检查所连接IP与总部的公网IP是否一致，如果不一致检查总部和分支配置的WEBAGENT地址是否一致，是否有其它地方配置了总部的WEBAGENT等
5)  移动用户PDLAN接入一直提示连接端口超时,但是测试总部端口是通的,检查虚拟IP池和内网是否有冲突



总部提示授权数满
硬件与硬件做某公司 IPSEC互联，不需要授权，该提示一般是第三方对接或软件PDLAN连接时提示（第三方对接，需要开分支授权或第三方对接授权，PDLAN需要开移动用户授权）。

看总部序列号配置中的授权是否足够，若确定未超过授权数，还有这提示，建议重启总部VPN服务再连接。


用户名不存在或密码错误
跟总部确认用户名和密码。另注意若确认用户名密码没错，接入VPN还有这提示，请了解清楚网络环境，例如网关也是某公司设备，另有一台某公司VPN设备单臂做VPN使用，测试4009通，出现这种情况可能测试到的是做网关设备上的4009通，而不是真正连的VPN设备，可以试下把网关设备上的VPN连接端口改下，再测试4009看是否还通？


接入密钥与总部不一致，拒绝接入：
确认WEBAGENT加密密钥。总部在基本配置下的WEBAGENT配置中可以设置WEBAGENT密钥，分支在连接管理中可以设置WEBAGENT密钥。

日志提示的：“当前状态为:Wait__Version_SYN_ACK! ”
表示效验vpn两端的版本信息失败，请检查两边的VPN版本。

日志显示wait_connectsuccess...
a.在分支telnet4009是不通的，总部可能配置全端口映射了
b.分支单臂部署，没有自动生成出外网的路由，手动配置一条路由，指向前置网关再测试下。
c.客户端测试总部4009端口不通，日志也这样显示，有可能是运营商做了端口限制，修改VPN监听端口再测试下



vpn连接时日志报错用户已使用
检查总部DLAN状态下该用户是否已接入，接入的地址是否是自己的地址，若不是，那就是有其他用户使用了该用户名接入
若是自己的地址，看是否启用udp的传输模式，由于udp是按照超时时间来算的，所以vpn断开连接以后，pdlan重连，但是之前的连接又没有超时断开，所以客户端提示用已接入。改为TCP模式或者过一段时间再接入即可。


此点和已经接入的某个分支内网ip地址冲突了
检查总部、分支之间是否有网段冲突，包括总部和分支设备上配置的路由、虚拟IP池、本地子网、VPN接口地址等。
PS：分支之间若内网网段冲突，确认DLAN版本都在在4.3及以上版本可以启用隧道间NAT功能解决此问题，但是两台分支设备的LAN口IP不能完全一样，若一样也会报冲突，连接不了。

总部提示DLAN总部 告警 15:57:48 [SinforIKE] 本端线路的OUTIP没有得到或当前线路没有激活,中断连接!

（1）总部线路本身不稳定
（2）启用了多线路接入,但多线路有没激活
（3）wan口绑定多个Ip,vpn连接时WEBAGENT只能写第一个ip.
（4）设备本身没有使用双线路，但是勾上了启用多线路的勾。

（5)设备是否是单臂部署，WAN口没有配置IP（单臂部署时，给WAN口配置任意一个IP，不要与LAN口IP网段冲突即可）

软件VPN，启用VPN服务时，提示：启动服务失败，错误号1024
1)请检查软件是否为测试版，测试版过期后会有此提示。
2)请检查1961端口是否被占用。
3)请检查是否本机firewall关闭了1961端口。
4)请检查NGDLANSERVER服务是否已经启动，可尝试手动结束该进程再重新运行服务一次。
5)请检查DLAN安装目录下的Ngdlanserver.exe是否被改名或者删除。

日志提示echo超时
一般为网络原因所致，把TCP改成UDP，或UDP改成TCP。

使用PDLAN，连上VPN就上不了网，能上网就连不上VPN

1)软件的ipfilter底层驱动影响了客户上网，在移动PDLAN电脑上，有两块网卡，一块是物理网卡，一块是移动的虚拟网卡，把物理网卡属性中的ipfilter去掉对勾去掉，再重启电脑看能否上网。

2)分支是双物理网卡的情况，把外网物理网卡属性的ipfilter的勾去掉试试。

3)在总部为PDLAN建立账号时，有一个选项是：PDLAN接入总部后不允许上网，如果被勾选了，那移动PDLAN连通VPN后，也给禁止上外网了。

4)总部多子网设置错误，例如总部乱加多子网，把0.0.0.0-255.255.255.255都加进去了，导致分支移动端，把访问公网的数据包也一起抓到VPN隧道里传输了，导致上不了网。

PDLAN连接总部的时候提示"Dlan 收到错误的命令帧格式.关闭连接(有可能为非最新的单线路/多线路的dlan)"

检查pdlan的版本是否是总部一样的；如果版本一样的，则可能是中间交互数据有丢包而不完整，可以尝试改下传输类型或vpn监听口测试下。

VPN连不上，总部日志打出“Connection reset by peer..."

本端设备收到了对端发过来的TCP reset包之后，就会打出这个日志提示，认为对端已经关闭了VPN的连接。出现这种日志时，需到对端对端VPN设备上检查一下日志，看是否有其他的提示，比如版本不对，用户名密码错等等

沙发

楼主辛苦了

学习了

收益匪浅，学习一下啦

谢谢楼主

感谢，很好的分享

多分享些拍错的文档，谢谢楼主分享！！！