Vpn基本配置与简单排错
前言
本手册来源于在山学习期间做实验与工作时候遇到的问题总结,web配置以5.R4版本为主,其中容层次不深,只希望对还在学习的同学有一点借鉴作用
此类文章是第一次书写,写的不全的地还请包含,如果中间有错误的地请及时联系我
任鹏
实习生
Hillstone ipsec vpn (web ui 和cli)
Webui配置法:
1. 配置端到端的vpn第一步需要建立ipsecVPN隧道,如下图:
选择IPsec VPN 新建 (俩边都是固定公网ip的情况下)
Word 文档
.
配置第一阶段对端的时候注意:
1. 接口 选择公网接口
Word 文档
.
2. 模式 模式可以任意选择,但是俩端模式必须相同
3. 类型 静态ip
4. 对端地址 对公网地址
5. 该环境下的vpn不需要填写本地id和对端 的FQDN
6. 提议 任意填写,但是俩端必须相同
7. 秘钥 任意填写,但是俩端必须相同
一阶段完成,配置二阶段隧道
Word 文档
.
Word 文档
.
二阶段注意事项
1. 二阶段提议俩端要相同
2. 代理id 如果俩端都是我们山的设备可以选择自动 (juniper也可以)
和别的厂家的vpn不能选择自动 需要手动填写对端id 和本地id (都是网地址)
3. 选择高级配置 开启自动连接
配置完ipsecvpn隧道后 将协议绑定到隧道中 如下图:
Word 文档
.
创建隧道接口
Word 文档
.
Word 文档
.
隧道接口创建
隧道名称 只能填1-8 建议写描述便以后查看
安全域 建议自定义一个vpn安全域 便与策略管理
隧道接口ip地址 如果两端走静态路由访问可以不填ip地址
(对有特殊要求除外)
如果俩端走动态路由的访问一定要填写ip地址,且隧道ip地址要与对端隧道ip地址在同一网段
Word 文档
.
隧道绑定 静态或者这个接口下只绑定一个vpn时不需要填写网关
动态或者绑定多接口的时候需要填写网关
完成以上配置后再添加路由和策略
在没有策略路由,源路由和源接口的路由情况下:
建立一条目的地址是对私网的地址,下一条为tunnel隧道的路由
如果有上述路由,请用优先级高的路由进行流量引流
Word 文档
.
策略放行根据个人设置的安全域进行放行
Word 文档
.
放行隧道接口安全域到网安全域的策略 再放行一条反向的策略
如果有特殊需求,可以自行更改
自此之上为web界面配置法。配置完成后一般可以成功数据互访
如果配置完发现无法访问,请看后面排错部分
Ipsec vpn 命令行配置如下:
Vpn第一阶段配置
isakmp peer __name
interface ___公网接口
peer___ 对端公网地址
isakmp-proposal ___一阶段提议
connection-type 连接关系
VPN第二阶段配置
Tunnet ipsec 名称 auto
Word 文档
.
Isakmp-peer 调用第一阶段
ipsec-proposal 二阶段提议
配置tunnel
Interface tunnel 名称
Zone vpn
Tunnel ipsec vpn名称
配置路由
ip router x.x.x.x/x tunnel接口名称
简单排错
数据不通是首先要看ipsecvpn隧道是否建立成功 ,如果没有成功就检查vpn的建立部分。如果vpn没问题就看策略和路由
webui界面看不到错误的时候,需要进入命令行查看
查看一阶段二阶段是否建立成功
以下为成功
Word 文档
.
SG-6000(config)# show isakmp sa
Total: 1
================================================================================
Cookies Gateway Port Algorithms Lifetime
--------------------------------------------------------------------------------
28266c15da~ 10.88.16.143 500 pre-share md5/des 86221
SG-6000(config)# show ipsec sa
Total: 1
S - Status, I - Inactive, A - Active;
================================================================================
Id VPN Peer IP Port Algorithms SPI Life(s) S
Word 文档
.
--------------------------------------------------------------------------------
1 test >10.88.16.143 500 esp:des/md5/- 3e738e2c 28608 A
1 test <10.88.16.143 500 esp:des/md5/- 71f2e8f0 28608 A
如果是二阶段建立失败,查看下绑定关系
SG-6000(config)# show configuration | begin tunnel ipsec
Building configuration..
Running configuration:
tunnel ipsec \"test\" auto
isakmp-peer \"test\"
ipsec-proposal \"esp-md5-des-g2\"
auto-connect
track-event-notify enable
Word 文档
.
exit
interface tunnel3
zone \"vpn\"
tunnel ipsec \"test\"
reverse-route prefer
exit
如果看这些还没有看出问题的话就debug vpn 抓下数据包
简单的介绍下需要看vpn的哪些部分
2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: phase 1 (main mode): remote supp
orts DPD
2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: Compared: DB:Peer
2016-01-16 86400:86400)
11:22:20, DEBUG@VPN: [10.88.16.143]: (lifetime =
Word 文档
.
2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: (lifebyte = 0:0)
2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: enctype =
DES-CBC:DES-CBC
2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: (encklen = 0:0)
2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: hashtype = MD5:MD5
2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: authmethod = pre-shared key:pre-
shared key
2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: dh_group = 1024-bit MODP group:1
-bit MODP group
2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: An acceptable proposal found
2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: ++++++++Phase 1 main mode first
msg receive END.++++++++
Word 文档
.
2016-01-16 11:22:20, DEBUG@VPN:
2016-01-16 11:22:20, DEBUG@VPN:
2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: ++++++++Phase 1 main mode first
msg send START.++++++++
以上为一个正常的一阶段vpn协商包一个小部分 ,当出现错误的时候会报以下错误
1.no suitable proposal found
Phase 1 (main mode): failed to get valid proposal!
第一阶段提议不匹配 需要去检查提议
2. HASH mismatched (野蛮模式)
Invalid payload or failed to malloc buffer(pre-share key may mismatch).(主模式)
预共享秘钥不匹配
3. Peer Main mode, try to find rmconf by IP and local if.
Word 文档
.
Error can not find ISAKMP peer
可能是俩边的模式不匹配,检查下
4.:No ID match.
: phase 1 (aggressive mode): invalid ID payload.
Fqdn 不匹配
5.No suitable proposal found
phase 1 (aggressive mode): failed to get valid proposal.
一阶段提议不匹配
6.phase 1 (aggressive mode): gateway ceshi can work as initiator only
双都是发起段可能出现这个报错
7. encmode mismatched: my:Transport peer:Tunnel
Not matched
No suitable proposals found
Word 文档
.
二阶段模式不同
8. pfs group mismatched: my:2 peer:0
Not matched
No suitable proposals found.
二阶段提议不同
9.Phase 2(quick mode):failed to get sainfo by ipsec doi id
二阶段代理id的问题
10.如果俩边都没有协商包检查下自动连接是否启用了
11.一段有发起的数据而另外一段没有接收的数据,看看对公网是否有问题。
12.如果vpn通了,数据不同就需要看数据路由和策略面。如果配置没看到错误就抓数据包看了
以上讲的就是些小的排错法,很不全面。更多的排错法是靠平时的积累和实验自己学会的,希望这些能对大家处理问题有小的帮助
Word 文档
因篇幅问题不能全部显示,请点此查看更多更全内容