蓝海 发表于 2019-3-16 19:02
  
好资料,给楼主点赞!!
蓝海 发表于 2019-3-22 13:38
  
学习一下,谢谢分享!
头像被屏蔽
司马缸砸了光 发表于 2020-3-6 09:52
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手741261 发表于 2020-3-6 10:05
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手780102 发表于 2020-3-6 10:19
  
提示: 作者被禁止或删除 内容自动屏蔽
新手548437 发表于 2020-5-13 09:42
  
感谢分享。
头像被屏蔽
新手031815 发表于 2021-7-7 10:34
  
提示: 作者被禁止或删除 内容自动屏蔽
zjwshenxian 发表于 2024-10-11 19:04
  
非常详细的排错步骤,感谢优秀的楼主分享
WOC标准IPSEC VPN对接华三防火墙排错指导
  

yzy 16853

{{ttag.title}}
本帖最后由 yzy 于 2018-12-12 11:19 编辑

WOC标准IPSEC VPN对接华三防火墙配置指导:https://bbs.sangfor.com.cn/forum ... 1&extra=#/pid520358

网络拓扑图


总部WOC设备单臂模式部署,出口设备是AD,需要做好WOC的UDP500、4500端口映射
分支是第三方设备华三防火墙
需要通过标准的IPsec vpn互联,配置完成后发现无法协商成功

排错步骤
1、检查双方第一阶段配置是否配置一致

2、检查WOC日志,发现第二阶段协商失败

3、查看ipsce vpn第二阶段的密钥完美向前保密的勾是否去掉

4、去掉勾后还是发现在第二阶段无法协商成功,检查对端的IKE协商状态,
可用命令   disp ike sa 查看发现IKE状态中的远端IP并非总部的公网IP

5、检查总部出口设备IP情况,发现总部做的源地址转换中有多个公网IP,其中在上面看到的IP就在AD的源地址转换池中

6、解决办法就是在源地址转换中添加一条把woc设备的IP转换成指定的公网IP,在智能路由中添加一条智能路由放在最上面,源是woc设备的IP,目的是对端公网IP,选择指定出接口
注意事项:
记得放在最上面,不放在放上面可能会匹配到别的策略了
到智能路由中测试一下是否匹配到你配置的智能路由,如果有会话保持需要清空会话保持


7、查看日志发现第二阶段已经协商完成,在vpn状态中查看vpn隧道建立完成
在华三防火墙中通过 disp ipsec sa 查看隧道建立状况



8、接下来就是测试业务了,发现无法ping通总部的服务器,还要继续排查原因:加油::加油::加油:

9、首先检查一下是否配置了路由,通过命令添加一条静态路由,目的是总部的服务器网段掩码,下一跳是总部的公网IP
ip route-static 10.145.1.0 24 58.59.136.46

10、发现还是无法访问总部的业务,tracert一下路由走向,发现数据包到达防火墙后就直接出公网了,查看接口配置发现NAT的优先级比ipsec vpn高,所以导致数据包直接匹配到了默认路由出公网


11、解决办法就是把分支需要访问总部服务器的IP拒绝NAT
进入ACL 3000 配置,在允许所有IP NAT前添加需要拒绝的源IP和目的IP

12、检查业务状态,发现可以ping通总部的服务器了


总结:
野蛮模式有NAT环境需要开启NAT-T穿透,WOC在第一阶段配置,WOC开启NAT-T穿透后华三设备会自动协商开启NAT-T
每配置一个步骤需要检测是否配置正常,协商状态是否正常,否则后期不好找到问题根源
配置的时候第二阶段建议先配置一个网段,ipsec vpn隧道建立正常能通信后再配置其他网段

打赏鼓励作者,期待更多好文!

打赏
14人已打赏

发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
新版本体验
【 社区to talk】
产品连连看
功能体验
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

andy_AA...

本周分享达人