提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

确认我司设备的网络环境、数据流走向、判断标准PSEC是否连接成功

|

问题描述

本帖主要使用标准IPSEC VPN互访不通问题进行分析。

告警信息

可能原因:
1、数据包没有到达AF内网口:内网PC上路由跟踪测试检查数据是否有到AF内网口,或者在内网口抓包核实;
2、源目IP不匹配出入站:检查两边出入站网段是否均有添加需要互访网段
3、错误的路由导致数据不进隧道:新架构路由优先改变,vpn路由优先默认小于策略路由
4、应用控制策略、黑名单拦截:加白名单或者开直通测试判断是否是AF策略拦截导致
PS:新架构默认会拦截vpn数据,需要手动将vpntun口添加区域,配置应用控制策略放通数据
详细操作方法可以参考下列有效排查步骤说明

有效排查步骤

1、检查vpn状态
1.1 通过查看接入时间是否在变化,判断VPN是否有频繁断开

1.2 查看系统故障日志中的vpn日志,是否有异常断开的情况

2、内网访问不通电脑,通过cmd进行路由跟踪,检查数据包是否到达AF设备


3、检查访问不通的电脑和要被访问服务器的地址是否符合加密数据流里面的网段


4、源目IP添加到路由测试里面,测试路由是否走VPN路由

5、将源、目IP添加到故障排查,检查日志时候有安全策略或者黑名单拦截


6、AF新架构从8050开始,新增加VPNTUN口区域,新建VPN对接后,数据访问需要放通VPNTUN区域到内网区域和内网区域到VPNTUN区域的双向数据流


7、确认配置无误,则可通过抓包判断数据是否正常发出,详情请参考:【AF】标准IPSEC VPN不通问题抓包分析思路

解决方案

以上步骤未解决您的问题,可收集以下信息问题流转技术支持工程师::
1、故障现象描述
2、数据是否到达AF设备,IPSEC VPN是否有频繁断开的现象
3、源目IP是否符合出入站,是否有安全策略拦截
4、影响范围,发生的时间点,设备版本信息
5、设备部署模式和网络拓扑以及远程方式
您可以通过关注微信公众号【深信服技术服务】自助提单或者拨打400-630-6430提单


我要分享
文档编号: 222047
作者: admin
更新时间: 2023-03-30 16:14
适用版本: