本帖最后由 sangfor_2217 于 2017-12-28 22:29 编辑
【标准化排查】Sangfor VPN连接不上排查 一、问题现象
Sangfor VPN连接不上 二、场景排查思维导图 1、判断Sangfor VPN是否连接成功 以MIG设备为例,如果当MIG设备跟对端设备进行Sangfor VPN互联后,需要在VPN运行状态处查看是否有新配置VPN用户名的VPN连接信息即可判断VPN已经互联成功,如果在VPN运行状态看不到新配置的VPN连接信息,说明VPN没有连接上。下图是VPN正常连接的截图: 从上图我们能够看到的我们关注如下信息: 【用户名】:此处显示出这个VPN连接对应的哪个用户账号的,由此判断是否已经互联起来 【Internet IP】:此处显示的是跟本设备互联的对端的设备的公网IP 【内网IP】:此处显示的是跟本设备互联的对端的设备的内网IP 【接入时间】:此处显示的是本VPN连接互联成功的时间 【传输类型】:此处显示的是本VPN连接使用的传输模式 2、确认总部分支设备的网络环境 确认总部分支设备的网络拓扑,设备部署模式,版本信息,内网中是否包含其他的安全设备,如防火墙之类的设备。 3、确认总部分支设备DLAN服务是否正常 只有VPN状态是运行中的状态,VPN服务才是正常的。如果此处显示是停止状态,则VPN服务是异常的,该情况下VPN是互联不成功的。DLAN服务正常的情况,如下图: DLAN服务异常常见原因: 1、网口交换或者设备返修导致序列号失效,导致VPN服务停止。解决方案:网口交换需要重某公司,设备返修找回返修之前的序列号重新填写即可。 2、打开并过滤DLAN调试日志能看到xxx文件读取失败,则说明是DLAN相关文件损坏,联系400工程师协助处理。 3、其他情况,找不出明显原因,联系400工程师协助处理。 4、确认配置以及确认网络连通性 确认分支的连接管理填写的用户名密码和总部用户管理配置的用户名密码是否一致,确认分支填写的webagent地址是否和总部一致。 总部设备单臂的情况下,出口网络设备是否有针对VPN端口(默认4009端口)做UDP和TCP的端口映射(假设VPN端口是默认的未修改);从公网的电脑用telnet测试到总部公网IP地址的VPN端口是否能通(仅适用TCP端口,UDP不适合)。如果总部用的webagent是php格式,请使用webagent的测试工具测试联通性。在工具中填写webagent地址然后点击测试即可,再次点击获取信息能看到公网IP和端口。
总部出口网关或者总部设备就是网关的时候,并且是拨号环境,需要注意一点的是,拨号不能获取到运营商保留的IP,拨号获取的地址可以是变化的,但必须是要公网IP地址。如果遇到非公网IP这种环境,请联系运营商申请获取直接的公网IP而非私网IP 分支设备确认是否可以正常上网,到外网连通性是否正常,可以通过设备连接升级客户端的ping测试公网地址。在分支电脑测试telnet到总部VPN端口的连通性。 webagent工具见附件 5、根据总部和分支日志判断VPN互联不上的原因 如果已经正常的检查了网络和配置都没有检查出异常的问题,那我们就可以去日志界面去根据总部和分支日志去查看VPN互联不上的原因。打开日志信息仅选择DLAN模块的日志,并且打开调试日志,如果日志看不出原因,可以将日志截图发给400工程师配合排查。 常见Sangfor VPN日志报错分析: (1)报错“Network is unreachable”日志提示网络不可达 原因:设备到去往总部Webagent地址没有路由可达,故判断是网络不可达 解决办法:检查设备路由以及测试设备是否可以正常上外网,测试到总部Webagent对应的IP地址和4009端口是否通。 (2)报错“no route to host” 原因:同(1) (3)日志报错“Wait_ConnectSuccess” 原因:分支设备同总部设备TCP的三次握手失败 解决方案:检查分支设备是否可以上网,检查总部端口映射是否成功,检查中间网络设备是否存在拦截VPN端口 (4)日志提示有网段冲突或者虚拟接口IP冲突、OUT IP冲突 原因:如日志报错 解决方案: 1、网段冲突,说明前期网络规划确实存在问题,能更换网段的前提下尽量更换网段,分支和总部网段有冲突,请更换网段,分支和分支之间有网段冲突,可以在总部设备上做隧道内NAT解决问题; 2、虚拟IP地址冲突,建议修改分支设备VPN接口地址; 3、OUT IP冲突,常见于分支设备前面出口有家用级路由器,并且家用级路由器的LAN口所在的网段为默认的192.168.1.x或者192.168.0.x网段,并且我司VPN设备采取DHCP的获取方式,可以手动填写固定IP地址,没有冲突就行,或者修改出口路由器的LAN口网段。 某公司 VPN互联不上常见的日志如上述所列出的,如果还遇到其看不懂的日志,截 取日志联系400工程师获取帮助。 6、同步抓包分析交互过程 如果经过上述的排查都无法定位原因,那么很大可能是中间网络问题导致VPN连接过程异常,需要抓包定位问题,联系400工程师配合抓包验证即可。 三、信息获取 设备的版本信息 相关网络拓扑 DLAN日志截图
四、维护说明 如对本场景使用有建议或疑问可以进行回贴反馈,我们会及时进行优化或答疑 | 
发表于 2017-12-28 22:29
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
