交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
首先建议确认SRA客户端是否是5.1.X版本,目前建议使用5.1.12版本,兼容性会比较好;
1)、排查一:
查看PC的【设备管理器】-【网络适配器】,需要显示隐藏的设备(因为虚拟网卡是隐藏的属性),查看是否存在IPSEC客户端的虚拟网卡:
如果不存在的话,需要重新安装客户端程序确保可以安装成功
2)、排查二:
需要确保PC到网关之间的协商端口udp500、udp4500是不是通行的。如果实在不能通,那么可以尝试开启TTG选项进行协商。(网关上同样要启用TTG) TTG也有可能由于用户线路80端被运营商禁用也协商不成功。
网关端也需要在debug账号命令行下开启TTG:ttgctl start
3)、排查三:
需要确认网关上面是否存在同接口的网关到网关的服务器的配置,该网关到网关的配置的认证方式必须要双选;
4)、排查四:
需要确保如果网关上存在同接口的网关到网关的服务器的配置,那么这条隧道配置不能使用FQDN标识,因为SRA客户端使用的也是FQDN标识,会冲突。
说明:
因为sra接入后的隧道配置是fqdn标识,而且是通配,所以同一接口的服务器配置中还有网关到网关也用fqdn标识的话 可能协商fqdn跑到sra隧道里面了,所以如果同一接口的服务器配置中还有网关到网关也用fqdn标识的话 那么就一定要配置明细fqdn 不能再配置通配方式了。
5)、排查五:
PC的本机时间超过了VPN网关证书的有效期期限内。
6)、排查六:
网关的默认出厂的CA证书要保留,可以在管理界面【PKI】-【证书管理】-【证书办法机构】:
如果已经删除掉了,需要重新导入默认CA证书进去。
7)、排查七:
可能VPN网关的本机证书出了问题,可以在【IPSEC VPN】-【重载设备证书】操作,然后查看日志记录:
如果看到上述日志记录“公钥与私钥匹配”的情况则表明证书操作是正常的。 如果显示unmatch,那么说明VPN网关证书公钥和私钥不匹配,需要修复网关的证书
8)、排查八:
win7系统要注意获取的虚地址不能是4的倍数或4的倍数减1的值;如192.168.1.3或192.168.1.4 这种地址也会导致隧道协商失败,日志会提示多次协商超时;