交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
1 、故障现象
1.如下图由于配置或网络的原因会提示第一阶段协商失败
2.如下图1当扩展认证用户名密码不对时,会出现协商时停留在第一阶段协商成功状态很长时间,最后出现如图2最终提示第一阶段协商失败。
图1
图2
3.第二阶段的参数,客户端与防火墙设置不一样时,或者没有配置时会出现如下图报错。
2、 故障可能原因
客户端与防火墙网络不可达
防火墙配置错误
客户端配置错误
3 、故障处理流程
4、故障处理步骤
步骤1:确认客户端与防火墙可以正常通信
要成功拨入vpn,首先要确保PC能正常与防火墙通信,通过以下方法测试客户端与防火墙的通信是否正常。如果客户端与防火墙网络不可达,或是防火墙上根本没有配置ipsec,则会出现如下图报错。通过以下方法确认客户端与防火墙网络是否可达。
1.在客户端PC上ping防火墙外网口地址看是否可达:
说明:能ping通只能代表客户端到防火墙的网络是可达的,不能代表IPsec服务就一定的放通的。
2.在防火墙上使用debug功能,查看在客户端拨号时数据是否已经到达防火墙。如下图表示客户端拨号数据已经正常到达防火墙。
如果在debug时没有没有看到客户端发起的数据,则确认:
a.客户端电脑是否能正常上网;
b.确认防火墙能否正常上公网;
c.确认防火墙是否有在内网,外网的路由器有没有给防火墙做IPsec的映射,IPsec的端口为UDP 500(在有穿越NAT时端口为UDP 500和UDP4500),如果有映射对比映射是否正确;
d.有时候中间设备可能会过滤掉udp 500或udp 4500端口,造成ipsec协商不成功,此种情况可以在客户端与网关同时抓包确认,并告知用户在ipsec数据经过的设备上放通ipsec协商端口;
步骤2:确认防火墙配置是否正确
第1步、确认防火墙已经配置了IPSCE功能
如图1为配置的IPsec的第一阶,如果没有配置需要按图1方式配置。
注意问题:
1.由于是给客户端拨入的对端网关一定要选择成动态IP地址,因为客户端的IP是不固定的;
2.配置的预共享密钥一定要记住,以便于客户端与防火墙设置的预共享密钥保持一致;
3.如果启用了扩展认证也一定要记住所配置用户名和密码,以便于客户端与防火墙的扩展认证用户名与密码保持一致;
4.地址范围一定要大于两个IP,如果只配置一个IP会出现第一阶段协商失败。
图1
第2步、确认是否有针对虚IP段与服务器网段做关联IPsec隧道的安全规则。
NGFW防火墙的ipsce感兴趣流是在安全策略处配置的,在防火墙--安全策略--安全策略处查看:如下图:
1、确认是否有放通的条目;
2、确认源和目的网段是否配置正确;
3、确认规则是否启用;
4、如没有配置,则按图2添加规则。
图1
图2
注意:一是防火墙规则必须勾选才能生效;二是安全规则是从上向下匹配的,匹配到一条就不会再向下匹配了,所以一定要确保虚ip到服务器是能匹配到允许的IPsec规则的,且不会匹配到其它VPN隧道或安全规则。
步骤3:确认客户端参数是否设置正确
第1步、确认客户端第一阶段参数设置是否正确:
1、客户端参数的设置一定要与防火墙端一致,如图1中(1、3、4、6)为客户端第一阶段的配置,图2中(3、4、6)为防火墙第一阶的配置。配置客户端时一定要参考防火墙上的配置,把参数,密钥,第一阶段参数不一致会出现如图3报错;
2、当扩展认证用户名密码不匹配时,如图4会出现协商时停留在第一阶段协商成功很长时间,如图5最终也提示第一阶段协商失败。
图1
图2
图3
图4
图5
第2步、确认客户端第二阶段参数设置正确
客户端参数的设置一定要与防火墙一致,如图1中(2,7)为客户端第二阶段的配置,图2中(2),图3中(7)为防火墙第二阶的配置。配置客户端时一定要参考防火墙上的配置,把参数,远端子网配置一致。第二阶段参数不一致会出现如图4报错。
图1
图2
图3
图4
第3步、确认拨入成功
如下图1、图2(防火墙上看到的拨入用户)为IPsec拨入成功的状态,如果没有成功拨入,再次参考骤1、步骤2、步骤3 核对网络连通性、防火墙配置、客户端配置是否正确,核对多次若还是无法成功拔入,请参考 步骤4:还是无法解决收集信息联系4008111000
图1
图2
步骤4:还是无法解决收集信息联系4008111000
需要收集的信息:
1.提供以上排查步骤的结果
2.收集当前用户网络完整的拓扑
3.客户端电脑的操作系统信息,电脑的IP地址
4.在拨VPN前开启抓包软件,并以防火墙地址过滤数据,抓取完整的IPsec隧道的协商报文
show running-config
show version
需要收集的信息解释:
show running-config :收集配置信息,也可以在“系统管理”--“维护”--“备份恢复”处理导出;
show version :收集版本信息,也可以在WEB界面首页查看。