F100+C-A5防火墙组网的IPSEC VPN故障
- 0关注
- 0收藏,487浏览
问题描述:
两端不能正常建立VPN连接,通过日志发现分部发出来的源地址、端口和目标地址、端口均正常,而在总部发现收到的信息的源地址和端口均不是分部发信息的源地址和端口,而是分部出来后第二跳的互联网地址,端口为266.
总部日志主要如下:
H3C IKE/7/PAKET : vrf=0,local=183.6.68.*. remote=120.255.11.* /266 Sending data to socket successfully
H3C IKE/7/PAKET : vrf=0,local=183.6.68.*. remote=120.255.11.* /266 Retransmit phase 1 packet
分部日志主要如下:
received packet: from 183.6.68.*[500] to 10.36.140.*[500]
分部tracert 总部的记录主要有:
10.36.140.*
120.22.11.*
......
还请指导!
组网及组网描述:
总部地址:静态地址183.6.68.* 500
分部地址:移动4G分配的动态地址,一般是10.36.140.* 网段,使用的也是500端口
分部出来第二跳的地址为120.55.11.*,也是总部日志中向总部发送信息的源地址
- 2025-04-07提问
- 举报
-
(0)
最佳答案
看下ipsec和ike sa情况
动态地址得用野蛮模式
根据日志信息,VPN连接失败的原因是分部的IKE协商报文在传输过程中被NAT设备修改了源地址和端口,导致总部无法识别原始会话。以下是具体分析和建议:
根本原因:
分部移动4G网络存在运营商级NAT(CGNAT),导致:
1. 原始IKE报文(UDP 500)经过NAT后源地址变为120.255.11.*(第二跳公网地址)
2. 源端口从500被映射为266
3. 总部响应报文发送到NAT后的地址/端口,但分部未启用NAT-Traversal机制,导致双向会话不匹配
解决方案:
1. 启用NAT-Traversal(NAT-T):
# 在总部和分部设备同时配置
system-view
ike nat-traversal # 开启NAT穿透
ike dpd # 启用死亡对端检测
ike keepalive # 启用保活机制
2. 调整分部IPSec配置:
# 在分部设备配置
ipsec profile [PROFILE_NAME]
local-address nat # 声明本地处于NAT环境
3. 验证总部安全策略:
确认ACL规则放行UDP 500和4500端口
检查安全策略是否允许来自120.255.11.*地址段的IPSec流量
验证步骤:
1. 在总部执行抓包命令:
display ike session verbose
确认会话状态是否显示NAT-DETECTED
2. 检查日志是否出现NAT-T相关记录:
IKE/6/IKE_NAT_DETECTED: NAT detected for peer [PEER_IP]
若配置后仍存在端口映射异常,建议在分部侧抓取IPSec协商报文,确认:
是否有NAT-T协商过程(包含NAT-DETECTION报文)
是否成功切换至UDP 4500端口通信
若问题仍未解决,需提供完整配置及debug日志进行深度分析。
- 2025-04-07回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论