IPsecVPN 通道建立后，无法连接对端怎么排查？ 对端可以连接

IPsecVPN 通道建立后，无法连接对端怎么排查？
对端可以连接本端

深信服 SANGFOR VPN（含 IPsec VPN、SSL VPN）“通道建立后，对端可连本端、本端无法连对端” 的场景，排查核心围绕 深信服设备专属配置逻辑（如策略路由、ACL 联动、NAT 豁免、SSL VPN 会话权限），按 “先确认通道状态→分层排查业务层问题” 的顺序，结合深信服图形化界面操作，提供可直接落地的排查步骤：
一、前置准备：确认深信服 VPN 通道状态（关键前提）
深信服 VPN “通道建立”≠“业务可达”，先通过 2 步验证通道是否真正可用：
1. 查看 IPsec/SSL VPN 连接状态
IPsec VPN：登录深信服设备 Web 控制台 → 【VPN】→【IPsec VPN】→【SA 管理】
核心判断：① SA 状态为 “UP”；② 有 “接收字节数” 和 “发送字节数”（两者均不为 0，说明双向数据传输正常，若仅接收无发送，本端出方向有问题）。
SSL VPN：登录控制台 → 【VPN】→【SSL VPN】→【在线用户】
核心判断：① 对端用户已成功上线（状态 “在线”）；② 分配的虚拟 IP（如 10.255.0.xx）与本端内网路由无冲突。
2. 收集关键信息（避免盲目排查）
本端 / 对端配置：内网网段、VPN 策略（IPsec 感兴趣流 / SSL VPN 资源授权）、路由配置、NAT 规则。
设备日志：控制台 → 【系统】→【日志中心】→【VPN 日志】（筛选 “IPsec 协商日志”“转发日志”）、【防火墙日志】（筛选 “ACL 拦截日志”）。
连通性测试：本端内网主机 ping 对端内网目标 IP（如 192.168.2.100），记录结果（超时 / 不通 / 通但业务异常）。
二、核心排查步骤（按优先级排序，深信服专属操作）
场景 1：IPsec VPN 通道已 UP（SA 正常），本端无法访问对端
问题 1：本端缺少 “对端内网→VPN 隧道” 的策略路由（最常见）
现象：本端 ping 对端内网 IP 超时，日志显示 “No route to destination” 或 “转发失败：无匹配路由”。
原因：对端能连本端，说明对端已配置 “本端内网→VPN 隧道” 的路由，但本端未配置反向策略路由（深信服需手动绑定 IPsec 隧道的路由，普通静态路由可能不生效）。
深信服排查与解决：
查看策略路由：【网络】→【路由管理】→【策略路由】，确认是否存在 “目标网段 = 对端内网（如 192.168.2.0/24）” 的路由。
新增策略路由（关键操作）：
路由名称：IPsec_to_对端内网
源地址：本端内网网段（如 192.168.1.0/24）
目的地址：对端内网网段（如 192.168.2.0/24）
下一跳类型：选择 “IPsec 隧道”
绑定隧道：选择已建立的 IPsec 隧道名称
优先级：设为 “高”（高于普通静态路由）
验证：【网络】→【路由管理】→【路由表】，查看对端内网网段的路由条目，下一跳显示 “IPsec 隧道” 即可。
问题 2：本端 IPsec “感兴趣流 ACL” 配置错误（单向放行）
现象：SA 正常，路由存在，但 ping 不通，日志显示 “ACL deny：IPsec 感兴趣流不匹配”。
原因：深信服 IPsec VPN 的 “感兴趣流” 是双向的，对端已配置 “对端内网→本端内网” 的 ACL，但本端 ACL 仅放行 “本端→公网”，未包含 “本端内网→对端内网”。
深信服排查与解决：
查看 IPsec 策略绑定的 ACL：【VPN】→【IPsec VPN】→【策略管理】，编辑对应的 IPsec 策略，查看 “感兴趣流” 关联的 ACL ID。
检查 ACL 规则：【安全】→【ACL 策略】→【ACL 规则】，找到对应 ACL ID，确认规则：
源地址：本端内网网段（如 192.168.1.0/24）
目的地址：对端内网网段（如 192.168.2.0/24）
服务：ANY（或需要的协议，如 ICMP、TCP/80）
动作：允许
注意：ACL 规则不可反向（如本端 ACL 不能设为 “对端内网→本端内网”，需与对端 ACL 方向相反）。
问题 3：本端防火墙全局策略拦截出站流量
现象：SA 正常，路由和 ACL 均正确，但 ping 不通，日志显示 “Firewall deny：内网→VPN 方向流量被拦截”。
原因：深信服防火墙默认拦截 “内网→非信任区域” 流量，需手动配置 “内网→VPN” 方向的安全策略。
深信服排查与解决：
查看安全策略：【安全】→【防火墙策略】→【策略管理】，确认是否存在 “内网→VPN” 方向的策略。
新增安全策略（关键操作）：
策略名称：Allow_LAN_to_VPN
源区域：内网（如 LAN1）
目的区域：VPN（深信服专属区域，无需选公网）
源地址：本端内网网段
目的地址：对端内网网段
服务：ANY（或按需开放，如 ICMP、HTTP/80）
动作：允许
优先级：设为 “高”（高于 “拒绝所有” 的默认策略）。
问题 4：对端 NAT 未配置豁免（深信服常见场景）
现象：本端访问对端内网时，数据包到达对端后被 NAT 转换为公网 IP，导致回程包无法通过 VPN 隧道返回。
原因：对端深信服设备同时开启了 NAT（如内网→公网），未对 “对端内网→本端内网” 的流量配置 NAT 豁免，导致 VPN 流量被 NAT 转发。
深信服排查与解决（对端操作）：
查看 NAT 规则：【网络】→【NAT】→【NAT 规则】，确认是否存在 “源地址 = 对端内网，目的地址 = 本端内网” 的豁免条目。
新增 NAT 豁免（关键操作）：
规则名称：VPN_NAT_Exempt
源地址：对端内网网段
目的地址：本端内网网段
动作：豁免（不进行 NAT 转换）
接口：外网口（与 VPN 隧道出口一致）
验证：对端内网服务器抓包，确认收到的本端访问数据包源 IP 为 “本端内网 IP”（而非公网 IP）。
场景 2：SSL VPN 通道已建立（用户在线），本端无法访问对端
问题 1：SSL VPN 资源授权不完整（深信服专属）
现象：用户成功登录 SSL VPN，但无法访问对端内网服务器，日志显示 “SSL VPN 资源未授权”。
原因：深信服 SSL VPN 需手动授权 “资源组”（如内网网段、端口），对端可能仅授权了 “本端→对端” 的部分资源，或未授权本端内网网段。
深信服排查与解决（对端操作）：
查看资源授权：【VPN】→【SSL VPN】→【资源管理】→【资源组】，编辑对端分配给本端的资源组。
新增资源：
资源类型：“IP 网段”（如本端内网 192.168.1.0/24）或 “端口映射”（如对端服务器 IP + 端口 80）
授权对象：本端 SSL VPN 用户组 / 用户
验证：本端用户登录 SSL VPN Web 门户，查看 “可访问资源” 是否包含对端内网目标 IP / 端口。
问题 2：SSL VPN 虚拟 IP 与本端内网冲突
现象：SSL VPN 用户上线后，ping 对端内网超时，日志显示 “IP 地址冲突”。
原因：深信服 SSL VPN 分配的虚拟 IP 段（默认 10.255.0.0/24）与本端内网网段（如 10.255.0.0/24）冲突，导致路由转发异常。
深信服排查与解决：
查看虚拟 IP 池：【VPN】→【SSL VPN】→【配置】→【虚拟 IP 池】，确认分配的 IP 段是否与本端内网冲突。
修改虚拟 IP 池：将 IP 段改为与本端、对端内网均不冲突的网段（如 10.256.0.0/24），保存后重启 SSL VPN 服务。
问题 3：SSL VPN “隧道模式” 配置错误
现象：SSL VPN 用户能登录，但无法访问对端内网，日志显示 “SSL VPN 隧道转发失败”。
原因：深信服 SSL VPN 有 “隧道模式” 和 “端口转发模式”，若对端配置为 “端口转发模式”，仅支持指定端口访问，不支持全网段访问。
深信服排查与解决（对端操作）：
查看隧道模式：【VPN】→【SSL VPN】→【配置】→【高级配置】，确认 “隧道模式” 为 “全网隧道模式”（而非 “端口转发模式”）。
启用 “路由推送”：勾选 “向客户端推送内网路由”，将对端内网网段推送给本端 SSL VPN 客户端。
三、深信服专属快速验证技巧
模拟转发测试：【系统】→【诊断工具】→【路由测试】，输入 “源 IP = 本端内网主机 IP，目的 IP = 对端内网目标 IP”，查看转发路径是否为 “IPsec/SSL VPN 隧道”（若显示 “无匹配路由”，直接定位路由问题）。
ACL 命中测试：【安全】→【ACL 策略】→【ACL 测试】，输入 “源 IP、目的 IP、协议”，验证是否命中放行规则（若显示 “未命中”，调整 ACL）。
重启 VPN 服务：若配置无误但仍不通，【VPN】→【IPsec VPN】→【高级配置】→【重启 IPsec 服务】（或 SSL VPN 同理），解决临时会话异常。
四、常见排障总结（深信服高频问题）
故障现象        大概率原因        深信服快速解决
本端 ping 对端内网超时，SA 正常        本端缺少 IPsec 策略路由        新增 “本端内网→对端内网” 的策略路由，绑定 IPsec 隧道
日志显示 “ACL deny”        安全策略 / IPsec 感兴趣流未放行        配置 “内网→VPN” 方向安全策略，调整 ACL 包含对端内网网段
SSL VPN 登录后无法访问资源        资源授权不完整        对端新增本端内网网段到 SSL VPN 资源组
数据包被 NAT 转换        未配置 NAT 豁免        对端新增 “对端内网→本端内网” 的 NAT 豁免规则
若排查后仍未解决，可通过深信服设备【系统】→【诊断工具】→【VPN 诊断】生成诊断报告，联系深信服技术支持（400-630-6430）协助分析，需提供两端 VPN 配置截图、日志截图和连通性测试结果。

建议参考着配置日志及调试/报错内容进行逐步排查，这也是一贯处理VPN对接的主要途径之一。希望能够帮助到你！

根据以往经验来看路由问题大一些。

1、确认两边IPSec VPN对接设备部署的模式是网关还是存在旁路的情况，如果存在旁路部署则需要在旁挂的折端添加静态或策略路由引流指向旁挂设备。

2、检查安全策略是否放行。
3、检查两边出入栈网段
4、检查两边路由

5、路由跟踪或抓包定位丢包位置在哪个设备

6、查看两端VPN日志报错

确认IPsec策略的源/目的地址、协议/端口是否覆盖实际流量。

确认两边IPSec VPN对接设备部署的模式是网关还是存在旁路的情况，如果存在旁路部署则需要在旁挂的折端添加静态或策略路由引流指向旁挂设备。

我遇到过一个特殊情况，是运行商线路问题。是IPsecVPN建立后，分支ping总部能通，总部ping分支不通。
首先检查VPN基本配置、接口、和路由、子网网段是不是都配置正确，如果都正确，问一下运营商，客户这条线路最近是否做过改动（需要提供公网IP地址和客户名称）。

当时我遇到的那个是运营商升级带宽，当时接我们电话的经理还一口咬死只是升级带宽，不影响通信。正常升级带宽不影响数据流访问。好像是由于资源不够用了，运营商把客户线路调到了另一个线路上，导致只能单向通信。