提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

IPSEC VPN互访不通可能原因和排查思路概述

|

问题描述

本场景主要为防火墙对接标准IPSEC VPN后,隧道已成功建立,但是无法通过隧道访问到对端业务的问题排查

问题排查思路流程图

告警信息

一、环境问题
1、内网访问vpn对端的数据包没有到达AF内网口
//内网口抓包确认内网PC访问对端的数据包有发送到AF内网口
2、对端没有我方内网IP的回包路由
//防火墙vpntun口抓包确认是否有正常收到回包;若是对端也可以抓包,建议对端也内网口抓包判断下对端的业务IP是否正常回复我方内网IP的请求

二、配置问题
1、源目IP不匹配出入站策略
//输入源目IP,进行路由匹配测试,确认可以匹配VPN路由
2、错误的路由优先级导致数据匹配错路由进不去VPN隧道
//新架构路由优先改变,VPN路由优先级默认小于策略路由
3、应用控制策略、黑名单拦截
//针对IP开启直通分析,确认是否存在策略拦截
PS:老架构AF应用控制策略默认放通VPN数据,新架构AF应用控制策略默认拦截,需要手动放通
4、AF8.0.7版本以上设备外网口配置的接口上下行带宽为最小的1kb
//确认接口带宽配置

三 、产品问题
1、访问对端的数据没有被正常封装转发
2、IPSEC VPN隧道存在频繁断开的情况

有效排查步骤

1、防火墙内网口抓包确认访问对端的数据有正常发送到防火墙
2、检查数据源目IP是否符合出入站
3、路由测试数据包是否匹配VPN路由
4、开直通测试,检查直通日志是否有策略拦截
5、查看系统故障日志日志,确认IPEC VPN隧道是否频繁断开
7、抓取数据包查看是否是对端没有回包

解决方案

详细排查步骤讲解请参考下一页

我要分享
文档编号: 222045
作者: admin
更新时间: 2023-04-23 16:29
适用版本: