#原创分享#深信服AC设备与爱快路由器对接标准ipsec VPN排错经历
  

Princeling 170

本帖最后由 Princeling 于 2020-1-25 22:39 编辑

       最近一段时间小编经常喜欢瞎搞,将公司的VPN与自己的爱快软路由做了一次ipsec VPN第三方对接(之前有对接后来一直对接不上小弟比较无解,然后就特意在这一块做了钻研),在这中间出了一些问题有自己的一些排查与方法分享,希望能和大家日后的工作中共同探讨。这其中因为阴差阳错的骚操作让我发现了哪里的问题。
一:网络拓扑对接示意图:
   因为自己住的屋里面有一台ESXI的服务器,经常要和公司内的acloud企业云做一些对接测试,于是就用软路由爱快进行了对接。
0.PNG
     其实整体对接不是什么难事,但是后来出现一系列问题之后(H3C换成爱快,最早H3C对接也是过一段时间就无法实现对接了 换了爱快软路由现象依旧),后来就再也无法实现爱快主动连接深信服了,深信服这边抓包,始终无法收到爱快过来的isakmp请求数据包,爱快软路由目前无法实现有效的抓包,这个让我很困扰,一度认为是运营商拦截了,因为从爱快的日志上发现数据包的确是发送出去了,深信服一侧却始终收不到数据包。
   一直在爱快上看到sending信息,无法收到深信服一侧的received

二:具体的配置贴图:
爱快一侧配置:
配置主要是参数正确,选择ikev1即可;

2.PNG

深信服一侧的配置:
第一阶段配置,采用野蛮模式,因为爱快一侧是拨号,IP回发生变动,不发起主动连接。
身份ID采用域名字符串,爱快界面上看不到,在深信服DLAN总部日志中确认,对端发送的身份ID类型FQDN的。
3.PNG

第二阶段入栈配置:
4.PNG

第二阶段:出站配置,爱快默认没有启用PFS,这个当然也是是在深信服一侧的DLAN总部日志中发现的。
5.PNG

二:具体排查排错方法:
   上面的具体配置修改实在深信服能收到爱快的isakmp协商包的前提下进行的,但是小弟刚开是在深信服一侧转包时候确实看不到任何协商请求,深信服的DLAN总部日志也看不到任何请求协商信息。
界面抓包:始终都是0,至于爱快一侧的IP其实比较好确认,找一台爱快一侧的电脑百度IP,就可以看到当前的公网IP:
6.PNG

7.PNG

这个现象让我一度认为是运营商拦截了,因为爱快一侧的数据包的确是发送出去了,深信服却没有收到:


突破:在一次偶然机会下,因为我想用一套linx主机尝试nc命令,于是就去探测公司的出口AC公网IP的4500和500端口,因为深信服设备公司出口一直用的sangfor vpn的TCP/UDP的4009端口 一直没有探测过4500和500,发现不通,我就怀疑问题可能在深信服
     于是从设备后台界面(找深信服专家组帮助进入后台)找了相关服务端口,发现4500和500没有在监听状态:
# iptables –nL 发现iptables入站方向没有允许4500和500端口

8.png

于是手工加了一下:(当然此举如果是关键客户关键设备,肯定建议用户在400专家组的指导下进行。)
Sangfor-AC-12.0.27 ~ # iptables -I INPUT -p udp --dport 4500 -j ACCEPT
Sangfor-AC-12.0.27 ~ # iptables -I INPUT -p udp --dport 500 -j ACCEPT

9.png

端口开放后,再次在AC抓包,isakmp协商报文开始正常交互:
深信服的DLAN总部日志开始出现相关信息:

10.png

按照上面错误提示修改相关参数
VPN正常建立:
11.png

测试连通性没有问题,问题解决了:


好了,本次分享就到这里,请各位大佬指正!

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
1人已打赏

feeling 发表于 2020-1-27 21:15
  
内容很详细
zhao_HN 发表于 2020-1-28 18:56
  
学习一下
Sangfor_闪电回_朱丽 发表于 2020-2-8 21:31
  
您好,感谢您参与社区原创分享计划6,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!
关于技术文章的管理流程,请参考:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279
凝網_蟲爺 发表于 2020-2-12 16:24
  
内容很详实,配置过程中的注意事项也都提醒得很到位,感谢楼主。
沧海 发表于 2020-2-16 22:34
  
学习一下