【WALL1600 下一代防火墙】ipsec vpn站点到站点模式隧道无法建立成功

发布时间：2013-11-25

点击量：5077

1 、故障现象
１.如下图由于配置或网络的原因,ipsec的第一阶段会长时间处于“协商过程中”

2.当第一阶参数设置正确，第二阶参数设置不一致时，会出第一阶段协商成功，第二阶段长时间处于"协商过程中"如下图。

2、故障可能原因
分部防火墙与总部防火墙无法正常通信
IPsec 第一阶段协商参数配置不一致
IPsec 第二阶段协商参数配置不一致

3 、故障处理流程

4、故障排查步骤

步骤1：确认分部防火墙与总部防火墙可以正常通信

分部与总部要建立ipsec隧道，首先要确保分部防火墙与总部防火墙网络可达。如果分部防火墙与总部防火墙网络不可达，或是防火墙上根本没有配置ipsec会出现如下图ipsec的第一阶段会长时间处于“协商过程中”。
通过以下方法测试分部与总部防火墙的网络连通性:

１.在分部的防火墙上ping总部防火墙的外网接口

说明：能ping通代表客户端到防火墙的网络是可达的，但不能代表IPsec服务就一定的放通的。
2.在总的防火墙上使用debug功能，查看分部防火墙建立ipsec的数据是否已经到达总部防火墙。如下图表示分部ipsec数据已经正常到达总部防火墙。

如果在deub时没有没有看到分部发起的IPsec数据，确认:
a.确认分部防火墙是否能正常上网；
b.确认总部防火墙能否正常上公网；
c.确认总部的防火墙是否有在内网，外网的路由器没有给防火墙做IPsec的映射，IPsec的端口为UDP 500（在有穿越NAT时端口为UDP 500和UDP4500），如果有映射对比映射是否正确。
d.有时候中间设备可能会过滤掉udp 500或udp 4500端口,造成ipsec协商不成功，此种情况可以在客户端与网关同时抓包确认，并告知用户在ipsec数据经过的设备上放通ipsec协商端口；

步骤2：确认总部与分部的防火墙IPsec 第一阶段参数设置一致
如图2为配置的IPsec的第一阶段，如果没有配置或配置错误，会出现第一阶段协商不成功如图1ipsec的第一阶段会长时间处于“协商过程中”，此情况需要按图2方式配置并确保两端防火墙的参数配置一致。
注意问题:
1.“对端网关”及对端防火墙的地址，如果对防火墙为固定地址此处选择“静态IP地址”，如对端IP不固定地址则选择为“动态IP地址”否则会出第一阶段协商不成功；
2.配置的预共享密钥一定要记住，以便于分部与总部防火墙的预共享密钥一致；否则会出第一阶段协商不成功；
3.加密算法、认证算法、DH组，分部与总部防火墙需要配置一致，或存在交集，否则会出第一阶段协商不成功；
4.当防火墙在内网，出口有设备给防火墙做NAT或映射时，“本地ID(地址)”需要填写NAT后的公网IP,否则可能会出第一阶段协商不成功:

图1

图2
如通过修改第一阶段参数，出现如下图第一阶段协商成功，第二阶正在协商过程中，参考步“骤3：确认IPsec 第二阶段协商参数配置一致”排查

步骤3：确认总部与分部的防火墙IPsec 第二阶段参数设置一致
第１步、确认总部与分部的防火墙IPsec 第二阶段参数设置一致
如图2、图3为配置的IPsec的第二阶段，如果没有配置或配置错误，会出现第二阶段协商不成功如图1 IPsec第二阶段长时间处于"协商过程中"，此情况需要按图2、图3方式配置并确保两端防火墙的参数配置一致。
注意问题:
1.目前一般都使用"ESP封装"，确认两端的封装类型一致，否则会出第二阶段协商不成功；
3.加密算法、HASH算法、分部与总部防火墙需要配置一致，或存在交集，否则会出第二阶段协商不成功；
4.在配置关联IPsec隧道的安全规则时，注意在有多条隧道时隧道不要关联错误，源、目标网段分部与总部的配置相反，且需要根据实际用户网段配置，否则会出第二阶段协商不成功；

图1

图2

图3
第2步、确认IPsec隧道第二阶段协商成功
如下图2、为ipsec隧道成功的状态,如果没有成功，再次参考骤1、步骤2核对配置，网络是否有问题。如果还是不能解决参考“步骤4：还是无法解决收集信息联系4008111000”

步骤4：还是无法解决收集信息联系4008111000
需要收集的信息：
1.提供以上排查步骤的结果
2.收集当前用户网络完整的拓扑
3.客户端电脑的操作系统信息,电脑的IP地址
4.首先开启debug功能，配置如下：再使用感兴趣流触发ipsec隧道建立

show running-config
show version