【WALL1600 下一代防火墙】ipsec 客户端模式拨入不成功

发布时间：2013-11-22

点击量：2058

1 、故障现象
１.如下图由于配置或网络的原因会提示第一阶段协商失败

2.如下图1当扩展认证用户名密码不对时，会出现协商时停留在第一阶段协商成功状态很长时间，最后出现如图2最终提示第一阶段协商失败。

图1

图2
3.第二阶段的参数，客户端与防火墙设置不一样时,或者没有配置时会出现如下图报错。

2、故障可能原因
         客户端与防火墙网络不可达
         防火墙配置错误
         客户端配置错误

3 、故障处理流程

4、故障处理步骤

步骤1：确认客户端与防火墙可以正常通信

要成功拨入vpn，首先要确保PC能正常与防火墙通信，通过以下方法测试客户端与防火墙的通信是否正常。如果客户端与防火墙网络不可达，或是防火墙上根本没有配置ipsec，则会出现如下图报错。通过以下方法确认客户端与防火墙网络是否可达。

１.在客户端PC上ping防火墙外网口地址看是否可达：

说明：能ping通只能代表客户端到防火墙的网络是可达的，不能代表IPsec服务就一定的放通的。
2.在防火墙上使用debug功能，查看在客户端拨号时数据是否已经到达防火墙。如下图表示客户端拨号数据已经正常到达防火墙。

如果在debug时没有没有看到客户端发起的数据，则确认:
a.客户端电脑是否能正常上网；
b.确认防火墙能否正常上公网；
c.确认防火墙是否有在内网，外网的路由器有没有给防火墙做IPsec的映射，IPsec的端口为UDP 500（在有穿越NAT时端口为UDP 500和UDP4500），如果有映射对比映射是否正确；
d.有时候中间设备可能会过滤掉udp 500或udp 4500端口,造成ipsec协商不成功，此种情况可以在客户端与网关同时抓包确认，并告知用户在ipsec数据经过的设备上放通ipsec协商端口；

步骤2：确认防火墙配置是否正确
第1步、确认防火墙已经配置了IPSCE功能
如图1为配置的IPsec的第一阶，如果没有配置需要按图1方式配置。
注意问题：
1.由于是给客户端拨入的对端网关一定要选择成动态IP地址，因为客户端的IP是不固定的；
2.配置的预共享密钥一定要记住，以便于客户端与防火墙设置的预共享密钥保持一致；
3.如果启用了扩展认证也一定要记住所配置用户名和密码，以便于客户端与防火墙的扩展认证用户名与密码保持一致；
4.地址范围一定要大于两个IP,如果只配置一个IP会出现第一阶段协商失败。

图1
第2步、确认是否有针对虚IP段与服务器网段做关联IPsec隧道的安全规则。
NGFW防火墙的ipsce感兴趣流是在安全策略处配置的，在防火墙－－安全策略－－安全策略处查看:如下图：
1、确认是否有放通的条目；
2、确认源和目的网段是否配置正确；
3、确认规则是否启用；
4、如没有配置，则按图2添加规则。

图1

图2
注意：一是防火墙规则必须勾选才能生效；二是安全规则是从上向下匹配的，匹配到一条就不会再向下匹配了，所以一定要确保虚ip到服务器是能匹配到允许的IPsec规则的,且不会匹配到其它VPN隧道或安全规则。

步骤3：确认客户端参数是否设置正确
第1步、确认客户端第一阶段参数设置是否正确：
1、客户端参数的设置一定要与防火墙端一致，如图1中(1、3、4、6)为客户端第一阶段的配置，图2中(3、４、６)为防火墙第一阶的配置。配置客户端时一定要参考防火墙上的配置，把参数，密钥，第一阶段参数不一致会出现如图3报错；
2、当扩展认证用户名密码不匹配时，如图4会出现协商时停留在第一阶段协商成功很长时间，如图5最终也提示第一阶段协商失败。

图1

图2

图3

图4

图5
第2步、确认客户端第二阶段参数设置正确
客户端参数的设置一定要与防火墙一致，如图1中（2,7）为客户端第二阶段的配置，图2中(2),图3中(7)为防火墙第二阶的配置。配置客户端时一定要参考防火墙上的配置，把参数，远端子网配置一致。第二阶段参数不一致会出现如图4报错。
图1

图2

图3

图4
第3步、确认拨入成功
如下图1、图2(防火墙上看到的拨入用户)为IPsec拨入成功的状态,如果没有成功拨入，再次参考骤1、步骤2、步骤3 核对网络连通性、防火墙配置、客户端配置是否正确，核对多次若还是无法成功拔入，请参考步骤4：还是无法解决收集信息联系4008111000

图1

图2

步骤4：还是无法解决收集信息联系4008111000
需要收集的信息：
1.提供以上排查步骤的结果
2.收集当前用户网络完整的拓扑
3.客户端电脑的操作系统信息,电脑的IP地址
4.在拨VPN前开启抓包软件，并以防火墙地址过滤数据，抓取完整的IPsec隧道的协商报文

show running-config
show version