本帖最后由 Princeling 于 2020-1-25 22:39 编辑
最近一段时间小编经常喜欢瞎搞,将公司的VPN与自己的爱快软路由做了一次ipsec VPN第三方对接(之前有对接后来一直对接不上小弟比较无解,然后就特意在这一块做了钻研),在这中间出了一些问题有自己的一些排查与方法分享,希望能和大家日后的工作中共同探讨。这其中因为阴差阳错的骚操作让我发现了哪里的问题。一:网络拓扑对接示意图: 因为自己住的屋里面有一台ESXI的服务器,经常要和公司内的acloud企业云做一些对接测试,于是就用软路由爱快进行了对接。 其实整体对接不是什么难事,但是后来出现一系列问题之后(H3C换成爱快,最早H3C对接也是过一段时间就无法实现对接了 换了爱快软路由现象依旧),后来就再也无法实现爱快主动连接深信服了,深信服这边抓包,始终无法收到爱快过来的isakmp请求数据包,爱快软路由目前无法实现有效的抓包,这个让我很困扰,一度认为是运营商拦截了,因为从爱快的日志上发现数据包的确是发送出去了,深信服一侧却始终收不到数据包。 一直在爱快上看到sending信息,无法收到深信服一侧的received
二:具体的配置贴图: 爱快一侧配置: 配置主要是参数正确,选择ikev1即可;
深信服一侧的配置: 第一阶段配置,采用野蛮模式,因为爱快一侧是拨号,IP回发生变动,不发起主动连接。 身份ID采用域名字符串,爱快界面上看不到,在深信服DLAN总部日志中确认,对端发送的身份ID类型FQDN的。
第二阶段入栈配置:
第二阶段:出站配置,爱快默认没有启用PFS,这个当然也是是在深信服一侧的DLAN总部日志中发现的。
二:具体排查排错方法: 上面的具体配置修改实在深信服能收到爱快的isakmp协商包的前提下进行的,但是小弟刚开是在深信服一侧转包时候确实看不到任何协商请求,深信服的DLAN总部日志也看不到任何请求协商信息。 界面抓包:始终都是0,至于爱快一侧的IP其实比较好确认,找一台爱快一侧的电脑百度IP,就可以看到当前的公网IP:
这个现象让我一度认为是运营商拦截了,因为爱快一侧的数据包的确是发送出去了,深信服却没有收到:
突破:在一次偶然机会下,因为我想用一套linx主机尝试nc命令,于是就去探测公司的出口AC公网IP的4500和500端口,因为深信服设备公司出口一直用的sangfor vpn的TCP/UDP的4009端口 一直没有探测过4500和500,发现不通,我就怀疑问题可能在深信服 于是从设备后台界面(找深信服专家组帮助进入后台)找了相关服务端口,发现4500和500没有在监听状态: # iptables –nL 发现iptables入站方向没有允许4500和500端口
于是手工加了一下:(当然此举如果是关键客户关键设备,肯定建议用户在400专家组的指导下进行。) Sangfor-AC-12.0.27 ~ # iptables -I INPUT -p udp --dport 4500 -j ACCEPT Sangfor-AC-12.0.27 ~ # iptables -I INPUT -p udp --dport 500 -j ACCEPT
端口开放后,再次在AC抓包,isakmp协商报文开始正常交互: 深信服的DLAN总部日志开始出现相关信息:
按照上面错误提示修改相关参数 VPN正常建立:
测试连通性没有问题,问题解决了:
好了,本次分享就到这里,请各位大佬指正! | 
发表于 2024-6-12 10:04
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师1级 
