1、 Vpn 基本配置与简单排错前言本手册来源于在山石学习期间做实验与工作时候遇到的问题总结,web 配置以 5.R4 版本为主,其中内容层次不深,只希望对还在学习的同学有一点借鉴作用此类文章是第一次书写,写的不周全的地方还请包含,如果中间有错误的地方请及时联系我任鹏实习生Hillstone ipsec vpn (web ui 和 cli)Webui 配置方法:1. 配置端到端的 vpn 第一步需要建立 ipsecVPN 隧道,如下图:选择 IPsec VPN 新建 (俩边都是固定公网 ip 的情况下)配置第一阶段对端的时候注意:1. 接口 选择公网接口 2. 模式 模式可以任意选择,但是俩端模式
2、必须相同3. 类型 静态 ip 4. 对端地址 对方公网地址 5. 该环境下的 vpn 不需要填写本地 id 和对端 的 FQDN6. 提议 任意填写,但是俩端必须相同 7. 秘钥 任意填写,但是俩端必须相同 一阶段完成,配置二阶段隧道二阶段注意事项1 二阶段提议俩端要相同2 代理 id 如果俩端都是我们山石的设备可以选择自动 (juniper 也可以)和别的厂家的 vpn 不能选择自动 需要手动填写对端 id 和本地 id (都是内网地址)3. 选择高级配置 开启自动连接配置完 ipsecvpn 隧道后 将协议绑定到隧道中 如下图:创建隧道接口隧道接口创建隧道名称 只能填 1-8 建议写描述
3、方便以后查看 安全域 建议自定义一个 vpn 安全域 方便与策略管理隧道接口 ip 地址 如果两端走静态路由访问可以不填 ip 地址(对方有特殊要求除外)如果俩端走动态路由的访问一定要填写 ip 地址,且隧道 ip地址要与对端隧道 ip 地址在同一网段隧道绑定 静态或者这个接口下只绑定一个 vpn 时不需要填写网关动态或者绑定多接口的时候需要填写网关完成以上配置后再添加路由和策略在没有策略路由,源路由和源接口的路由情况下:建立一条目的地址是对方私网的地址,下一条为 tunnel 隧道的路由如果有上述路由,请用优先级高的路由进行流量引流策略放行根据个人设置的安全域进行放行放行隧道接口安全域到内网
4、安全域的策略 再放行一条反向的策略如果有特殊需求,可以自行更改自此之上为 web 界面配置方法。配置完成后一般可以成功数据互访如果配置完发现无法访问,请看后面排错部分Ipsec vpn 命令行配置如下:Vpn 第一阶段配置isakmp peer _name interface _公网接口peer_ 对端公网地址isakmp-proposal _一阶段提议connection-type 连接关系VPN 第二阶段配置Tunnet ipsec 名称 autoIsakmp-peer 调用第一阶段 ipsec-proposal 二阶段提议配置 tunnelInterface tunnel 名称Zone
5、vpnTunnel ipsec vpn 名称配置路由ip router x.x.x.x/x tunnel 接口名称简单排错数据不通是首先要看 ipsecvpn 隧道是否建立成功 ,如果没有成功就检查 vpn 的建立部分。如果 vpn 没问题就看策略和路由webui 界面看不到错误的时候,需要进入命令行查看查看一阶段二阶段是否建立成功以下为成功SG-6000(config)# show isakmp sa Total: 1=Cookies Gateway Port Algorithms Lifetime-28266c15da 10.88.16.143 500 pre-share md5/des
6、86221 SG-6000(config)# show ipsec sa Total: 1S - Status, I - Inactive, A - Active;=Id VPN Peer IP Port Algorithms SPI Life(s) S-1 test 10.88.16.143 500 esp:des/md5/- 3e738e2c 28608 A1 test 10.88.16.143 500 esp:des/md5/- 71f2e8f0 28608 A如果是二阶段建立失败,查看下绑定关系SG-6000(config)# show configuration | begin tu
7、nnel ipsec Building configurationRunning configuration:tunnel ipsec “test“ autoisakmp-peer “test“ipsec-proposal “esp-md5-des-g2“auto-connecttrack-event-notify enableexitinterface tunnel3zone “vpn“tunnel ipsec “test“reverse-route preferexit如果看这些还没有看出问题的话就 debug vpn 抓下数据包 简单的介绍下需要看 vpn 的哪些部分2016-01-16
8、 11:22:20, DEBUGVPN: 10.88.16.143: phase 1 (main mode): remote supports DPD 2016-01-16 11:22:20, DEBUGVPN: 10.88.16.143: Compared: DB:Peer2016-01-16 11:22:20, DEBUGVPN: 10.88.16.143: (lifetime = 86400:86400)2016-01-16 11:22:20, DEBUGVPN: 10.88.16.143: (lifebyte = 0:0)2016-01-16 11:22:20, DEBUGVPN: 1
9、0.88.16.143: enctype = DES-CBC:DES-CBC2016-01-16 11:22:20, DEBUGVPN: 10.88.16.143: (encklen = 0:0)2016-01-16 11:22:20, DEBUGVPN: 10.88.16.143: hashtype = MD5:MD52016-01-16 11:22:20, DEBUGVPN: 10.88.16.143: authmethod = pre-shared key:pre-shared key2016-01-16 11:22:20, DEBUGVPN: 10.88.16.143: dh_grou
10、p = 1024-bit MODP group:1024-bit MODP group2016-01-16 11:22:20, DEBUGVPN: 10.88.16.143: An acceptable proposal found2016-01-16 11:22:20, DEBUGVPN: 10.88.16.143: +Phase 1 main mode first msg receive END.+2016-01-16 11:22:20, DEBUGVPN: 2016-01-16 11:22:20, DEBUGVPN: 2016-01-16 11:22:20, DEBUGVPN: 10.8
11、8.16.143: +Phase 1 main mode first msg send START.+以上为一个正常的一阶段 vpn 协商包一个小部分 ,当出现错误的时候会报以下错误1.no suitable proposal foundPhase 1 (main mode): failed to get valid proposal!第一阶段提议不匹配 需要去检查提议2. HASH mismatched (野蛮模式)Invalid payload or failed to malloc buffer(pre-share key may mismatch).(主模式)预共享秘钥不匹配3. Pe
12、er Main mode, try to find rmconf by IP and local if.Error can not find ISAKMP peer可能是俩边的模式不匹配,检查下4 :No ID match.: phase 1 (aggressive mode): invalid ID payload.Fqdn 不匹配 5 No suitable proposal foundphase 1 (aggressive mode): failed to get valid proposal.一阶段提议不匹配6 phase 1 (aggressive mode): gateway ce
13、shi can work as initiator only双方都是发起段可能出现这个报错7. encmode mismatched: my:Transport peer:TunnelNot matchedNo suitable proposals found二阶段模式不同 8. pfs group mismatched: my:2 peer:0Not matchedNo suitable proposals found.二阶段提议不同9 Phase 2(quick mode):failed to get sainfo by ipsec doi id二阶段代理 id 的问题10如果俩边都没有协商包检查下自动连接是否启用了11.一段有发起的数据而另外一段没有接收的数据,看看对方公网是否有问题。12.如果 vpn 通了,数据不同就需要看数据路由和策略方面。如果配置没看到错误就抓数据包看了以上讲的就是些小的排错方法,很不全面。更多的排错方法是靠平时的积累和实验自己学会的,希望这些能对大家处理问题有小的帮助
