提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

一、标准IPSEC第一阶段连接不上问题排障概述

|

问题描述

该场景主要适用于防火墙对接标准IPSEC VPN对接第一阶段起不来问题排障

告警信息

一、环境问题:
1、我方对接使用的IP与对端对接使用的IP互访不通
//IPSEC VPN使用UDP500/4500端口对接

二、配置问题:
1、对接IPSEC VPN的线路未激活
//AF8032及之前需要配置接口与IPSEC VPN出口同线路匹配,并在多线路处进行激活;AF8035级以后需要在基本设置中配置好IPSEC VPN线路
2、vpn内网接口未配置
//需要配置好vpn内网口vpn服务才能起来
3、如果出接口是一个网段IP,需要把对接使用的IP放在最上面进行对接
4、确认是否有分支机构授权
//深信服设备和深信服设备对接不需要分支机构授权,但是和其他厂家建立IPSECVPN是需要分支机构授权
5、确认设备部署模式,若是纯透明则无法对接
//VPN功能必须要有IP路由转发,必须要有路由接口才能实现VPN,纯透明模式不支持所有VPN
6、双方IPSEC VPN的配置不一致导致无法对接
//常见有:预共享秘钥不一致、身份类型/ID不一致(AF8.0.23之前防火墙主模式默认只支持IP地址的身份类型)、双方加密算法不一致等
7、IPSEC VPN配置的模式错误
//若双方存在NAT环境,需要配置为野蛮模式
8、双方若存在动态拨号地址对接,需要这一方主动发起连接

三、产品问题
1、防火墙的VPN进程异常

有效排查步骤

1、确认防火墙能与对端设备通信;
2、检查我方配置,确认接口配置是否有将对接IP放在第一个,确认线路是否激活,授权是否足够,vpn内网口是否正确配置;
3、确认设备的部署模式能够支持IPSEC VPN对接
4、对比检查双方的IPSEC VPN配置,是否配置一致,是否配置错误
5、检查防火墙的系统故障日志,根据系统故障日志进行进一步排障

解决方案

详细排查步骤讲解请参考下一页

我要分享
文档编号: 221225
作者: admin
更新时间: 2023-04-12 17:07
适用版本: