ipsecvpn隧道起来了,但是业务不通
- 0关注
- 0收藏,463浏览
问题描述:
没断电之前是正常的,但是昨天断电之后然后发现vpn不通了,我两边都重置过ike sa 和ipsec sa 然后隧道建立起来后一开始能ping通 4个包 然后就一直不通了
Advanced IPv4 ACL 3100, 2 rules,
ACL's step is 5
rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 172.16.10.0 0.0.0.255
rule 1 permit ip (4 times matched)
Advanced IPv4 ACL 3400, 1 rule,
ACL's step is 5
rule 0 permit ip source 192.168.10.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 (3731 times matched)
这是总部的NAT穿越和兴趣流,分部也是互为镜像写的
总部是多出口 然后也写了对端的明细路由
#
ip route-static 0.0.0.0 0 183.6.73.1 preference 70
ip route-static 0.0.0.0 0 Dialer0
ip route-static 0.0.0.0 0 Dialer1
ip route-static 172.16.0.0 16 192.168.55.2
ip route-static 172.16.10.0 24 183.6.73.1
本端是业务段192.168.10.0 对端是172.16.10.0
ipsec的各种模板提议都是一样的参数,调用也正常
[F]dis ipsec sa
-------------------------------
Interface: GigabitEthernet1/0/1
-------------------------------
-----------------------------
IPsec policy: GE1/0/1
Sequence number: 1
Mode: Template
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN:
Extended Sequence Numbers enable: N
Traffic Flow Confidentiality enable: N
Transmitting entity: Responder
Path MTU: 1420
Tunnel:
local address: 183.6.73.8
remote address: 116.226.33.57
Flow:
sour addr: 192.168.10.0/255.255.255.0 port: 0 protocol: ip
dest addr: 172.16.10.0/255.255.255.0 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 148339295 (0x08d77a5f)
Connection ID: 141733920769
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843139/2463
Max received sequence-number: 352
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: Y
Status: Active
[Outbound ESP SAs]
SPI: 874968513 (0x3426f5c1)
Connection ID: 141733920768
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843132/2463
Max sent sequence-number: 323
UDP encapsulation used for NAT traversal: Y
Status: Active
[F]dis ike sa
Connection-ID Remote Flag DOI
------------------------------------------------------------------
22 116.226.33.57/4500 RD IPsec
11 116.226.33.57/4500 RD|RL IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
- 2024-08-14提问
- 举报
-
(0)
路由设置:确保路由设置正确,尤其是在 VPN 断电后是否有任何路由条目被重置或丢失。检查是否所有的静态路由都正确配置,特别是那些涉及到 VPN 流量的路由。
ACL 配置:检查 ACL 配置是否正确,确认没有任何规则在阻止流量通过 VPN 隧道。根据你提供的 ACL 配置:
- ACL 3100 的规则 0 阻止了从
192.168.10.0到172.16.10.0的流量。 - 确保 ACL 规则是按预期工作,尤其是规则顺序是否影响到流量通过。
IPSec 和 IKE 配置:虽然 IPSec 和 IKE SA 都显示为活动状态,但建议再检查一下加密、认证、密钥交换等设置是否一致。
MTU 设置:IPSec 隧道的 MTU 设置可能会影响流量传输。你可以尝试调整 MTU 设置,看看是否解决了问题。通常可以尝试将 MTU 设置为较低的值,比如 1400 或更低。
NAT 穿越 (NAT-T):你提到 UDP 封装用于 NAT 穿越,确认 NAT 穿越设置是否在两端都配置正确,并且没有丢失或误配置。
设备日志:查看设备日志,特别是 IPSec 和 IKE 的日志,查找是否有错误或警告信息,这可能会提供更多线索。
VPN 诊断工具:使用 VPN 诊断工具进行更多测试,比如 traceroute 或 tcpdump,查看流量是否到达隧道的另一端。
- 2024-08-14回答
- 评论(2)
- 举报
-
(0)
emm 关键是我重置了隧道之后 一开始能ping通对端网关4个包 然后一直不通了。。
tracert 看看是否能跳出去 或者是否被阻断了
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
tracert 看看是否能跳出去 或者是否被阻断了