盛年不重来,一日难再晨。
及时宜自勉,岁月不待人。
Vpn基本配置与简单排错前言本手册来源于在山石学习期间做实验与工作时候遇到的问题总结,web配置以5.R4版本为主,其中内容层次不深,只希望对还在学习的同学有一点借鉴作用此类文章是第一次书写,写的不周全的地方还请包含,如果中间有错误的地方请及时联系我任鹏实习生Hillstoneipsecvpn(web ui和cli)Webui配置方法:1.配置端到端的vpn第一步需要建立ipsecVPN隧道,如下图:选择IPsec VPN 新建(俩边都是固定公网ip的情况下)配置第一阶段对端的时候注意:1.接口选择公网接口2.模式模式可以任意选择,但是俩端模式必须相同3.类型静态ip4.对端地址对方公网地址5.该环境下的vpn不需要填写本地id和对端的FQDN6.提议任意填写,但是俩端必须相同7.秘钥任意填写,但是俩端必须相同一阶段完成,配置二阶段隧道二阶段注意事项1.二阶段提议俩端要相同2.代理id 如果俩端都是我们山石的设备可以选择自动(juniper也可以)和别的厂家的vpn不能选择自动需要手动填写对端id和本地id (都是内网地址)3. 选择高级配置开启自动连接配置完ipsecvpn隧道后将协议绑定到隧道中如下图:创建隧道接口隧道接口创建隧道名称只能填1-8 建议写描述方便以后查看安全域建议自定义一个vpn安全域方便与策略管理隧道接口ip地址如果两端走静态路由访问可以不填ip地址(对方有特殊要求除外)如果俩端走动态路由的访问一定要填写ip地址,且隧道ip地址要与对端隧道ip地址在同一网段隧道绑定静态或者这个接口下只绑定一个vpn时不需要填写网关动态或者绑定多接口的时候需要填写网关完成以上配置后再添加路由和策略在没有策略路由,源路由和源接口的路由情况下:建立一条目的地址是对方私网的地址,下一条为tunnel隧道的路由如果有上述路由,请用优先级高的路由进行流量引流策略放行根据个人设置的安全域进行放行放行隧道接口安全域到内网安全域的策略再放行一条反向的策略如果有特殊需求,可以自行更改自此之上为web界面配置方法。
配置完成后一般可以成功数据互访如果配置完发现无法访问,请看后面排错部分Ipsecvpn命令行配置如下:Vpn第一阶段配置isakmp peer__nameinterface ___公网接口peer___ 对端公网地址isakmp-proposal ___一阶段提议connection-type 连接关系VPN第二阶段配置Tunnetipsec名称autoIsakmp-peer 调用第一阶段ipsec-proposal二阶段提议配置tunnelInterface tunnel 名称Zone vpnTunnel ipsecvpn名称配置路由ip router x.x.x.x/x tunnel接口名称简单排错数据不通是首先要看ipsecvpn隧道是否建立成功,如果没有成功就检查vpn的建立部分。
如果vpn没问题就看策略和路由webui界面看不到错误的时候,需要进入命令行查看查看一阶段二阶段是否建立成功以下为成功SG-6000(config)# show isakmpsaTotal: 1=============================================================================== =Cookies Gateway Port Algorithms Lifetime --------------------------------------------------------------------------------28266c15da~ 10.88.16.143 500 pre-share md5/des 86221SG-6000(config)# show ipsecsaTotal: 1S - Status, I - Inactive, A - Active;=============================================================================== =Id VPN Peer IP Port Algorithms SPI Life(s) S--------------------------------------------------------------------------------1 test >10.88.16.143 500 esp:des/md5/- 3e738e2c 28608 A 1 test <10.88.16.143 500 esp:des/md5/- 71f2e8f0 28608 A如果是二阶段建立失败,查看下绑定关系SG-6000(config)# show configuration | begin tunnel ipsecBuilding configuration..Running configuration:tunnelipsec "test" autoisakmp-peer "test"ipsec-proposal "esp-md5-des-g2"auto-connecttrack-event-notify enableexitinterface tunnel3zone "vpn"tunnelipsec "test"reverse-route preferexit如果看这些还没有看出问题的话就debug vpn抓下数据包简单的介绍下需要看vpn的哪些部分2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: phase 1 (main mode): remote supp orts DPD2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: Compared: DB:Peer2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: (lifetime = 86400:86400)2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: (lifebyte = 0:0)2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: enctype = DES-CBC:DES-CBC2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: (encklen = 0:0)2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: hashtype = MD5:MD52016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: authmethod = pre-shared key:pre- shared key2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: dh_group = 1024-bit MODP group:1 024-bit MODP group2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: An acceptable proposal found 2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: ++++++++Phase 1 main mode first msg receive END.++++++++2016-01-16 11:22:20, DEBUG@VPN:2016-01-16 11:22:20, DEBUG@VPN:2016-01-16 11:22:20, DEBUG@VPN: [10.88.16.143]: ++++++++Phase 1 main mode first msg send START.++++++++以上为一个正常的一阶段vpn协商包一个小部分,当出现错误的时候会报以下错误1.no suitable proposal foundPhase 1 (main mode): failed to get valid proposal!第一阶段提议不匹配需要去检查提议2.HASH mismatched (野蛮模式)Invalid payload or failed to mallocbuffer(pre-share key may mismatch).(主模式)预共享秘钥不匹配3.Peer Main mode, try to find rmconf byIP and local if.Error can not find ISAKMP peer可能是俩边的模式不匹配,检查下4.:No ID match.: phase 1 (aggressive mode): invalid ID payload.Fqdn不匹配5.No suitable proposal foundphase 1 (aggressive mode): failed to get valid proposal.一阶段提议不匹配6.phase 1 (aggressive mode): gateway ceshi can work as initiator only双方都是发起段可能出现这个报错7.encmode mismatched: my:Transportpeer:TunnelNot matchedNo suitable proposals found二阶段模式不同8.pfs group mismatched: my:2 peer:0Not matchedNo suitable proposals found.二阶段提议不同9.Phase 2(quick mode):failed to get sainfo by ipsecdoi id二阶段代理id的问题10.如果俩边都没有协商包检查下自动连接是否启用了11.一段有发起的数据而另外一段没有接收的数据,看看对方公网是否有问题。
12.如果vpn通了,数据不同就需要看数据路由和策略方面。
如果配置没看到错误就抓数据包看了以上讲的就是些小的排错方法,很不全面。
更多的排错方法是靠平时的积累和实验自己学会的,希望这些能对大家处理问题有小的帮助盛年不重来,一日难再晨。