|
AF8.0.69与Juniper防火墙做IPSEC VPN多线路对接及问题排查
一、案例背景 分支购买了一台下一代防火墙,出口有两条线路分别为联通和电信,防火墙放在互联出口想实现跟总部的Juniper防火墙做IPSEC VPN对接,并且总部也是多线路,要求实现电信线路IPSEC对接为主线路,联通线路IPSEC对接为辅助线路。
二、网络拓扑 网络拓扑图如下图所示:
2、主线路IPSEC配置: 对端地址、认证方式、共享秘钥和对接线路配置如下图所示: 配置第二阶段出入站策略及加密算法,注意优先级的配置,因为电信线路为主,因为优先级越低优先级越高,所以优先级配置要低于IPSEC备线路第二阶段优先级的配置,具体配置如下:
3、备线路配置: 对端地址、认证方式、共享秘钥和对接线路配置如下图所示:
配置第二阶段出入站策略及加密算法,注意优先级的配置,因为联通线路为备,所以优先级配置要高于IPSEC主线路第二阶段优先级的配置,具体配置如下:
其他参数配置如下:
4、 Juniper防火墙配置: Juniper防火墙配置是有第三方进行配置的,这里就不在详细介绍。只要保证第三方配置跟我们配置参数一致即可。
四、结果及验证测试 1、查看对接成功VPN状态:
2、把主线路电信线路断开测试 (1)断开电信线路测试,查看VPN状态有IPsec VPN备对接成功工作如下图示所示:
(2)长ping服务器测试发现丢几个包,如下图所示:
五、问题分析及排查思路: 问题描述:------------------------------------------------- 1、对接不成功 2、对接成功后无法访问对端
排查分析过程:-------------------------------------------- 1、针对对接不成功的问题排查思路: (1)开VPN的调试日志,查看具体对接不成功的原因,然后再根据错误提示进行修改配置,日志查看如下图所示: (2)检查双方配置参数问题以及对端地址端口通信
2、针对对接不成功的问题排查思路: (1)查看是否有回包路由,由于两个对接设备都是出口网关部署,防火墙到对端服务器路由最终到防火墙上,再查看防火墙路由表是否有对端网段的路由出口口味vpntun: (2)有防火墙是多线路做的有策略路由,而AF8.0.69的路由优先级是:【直连路由】>【策略路由】>【VPN路由】>【静态路由/动态路由】>【默认路由】,如下图所示: (3)开启直通测试访问正常,发现应用控制策略拦截了 (4)检查区域发现增加了vpntun区域,应用控制策略没放行导致拦截
根本原因:------------------------------------------- 1、新版本路由优先级问题 2、vpntun区域应用控制策略拦截
解决方案:--------------------------------------------- 1、修改路由优先级,选择自定义模式,修改路由优先级,使VPN路由优先级高于策略路由,如下图所示: 2、新增放通内网区域和vpntun区域互访的应用控制策略:
建议与总结:----------------------------------------- 1、不同版本查看VPN对接日志位置不同,具体如下: ①以标准版本AF8.0.50-8.0.59版本操作路径示例:可在【网络】-【Sangfor/IPSecVPN】-【vpn日志】中查看 ②以标准版本AF7.4-8.0.48版本操作路径示例:可在【系统】-【排障】-【系统故障日志】中查看 ③以标准版本AF7.3版本操作路径示例:可在【系统维护】-【系统故障日志】中查看 2、从AF8.0.51版本开始,AF路由默认的优先级是:【直连路由】>【策略路由】>【VPN路由】>【静态路由/动态路由】>【默认路由】。新版本防火墙可以自定义修改。 3、第二阶段优先级配置是约小优先级越高。所以主的优先级配置小,备的优先级配置高 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-10-9 19:39
技术专家1级 
