F1050防火墙IPSEC VPN连接问题
- 0关注
- 1收藏,984浏览
问题描述:
对齐方式
- 靠左
- 居中
- 靠右
两端都是F1050防火墙,通过F1050防火墙配置IPSEC VPN隧道后,VPN隧道没有任何反应,查看IKE和ipsec都没有,session会话也没有。顺便问下,这款设备建立隧道后对带宽的利用率能达到多少。
组网及组网描述:
目前想测试下华三IPSEC的速率,两个防火墙都接在出口设备上。两个防火墙都直接配置的公网地址,两侧公网地址可互通,配置按照防火墙配置IPSECVPN的配置的,域都是直接放开的,但是隧道建立就是没反应。两端不通还可以理解,这个直接隧道都起不来,协商的过程都没有,请指教。
- 2020-11-03提问
- 举报
-
(0)
最佳答案
nat outbound有没有deny掉感兴趣流?可以debug ike all看下有没有什么报错
- 2020-11-03回答
- 评论(2)
- 举报
-
(0)
DENY掉的,没报错。。。
需要用感兴趣流去触发一下才会产生debug信息,同时开启t m、t d
1、协商要感兴趣流触发的情况才会生效
2、测试公网地址互PIng有无问题
- 2020-11-03回答
- 评论(4)
- 举报
-
(0)
公网是通的,内部网络也没问题
在防火墙上测试,刚开始没待带源ping的,默认用了其他地址,带源感兴趣地址去Ping ,触发建立隧道了。
1、检查地址是否都配置正确
2、检查路由是否正确
3、检查NAT是否deny了兴趣流
4、确保Local到外网口所在域放通
- 2020-11-03回答
- 评论(2)
- 举报
-
(0)
没触发的话基本就是配置问题了 仔细点再检查看看
都放通的,刚开始ANY到ANY,后面我依次都放开了,真的想不通
没触发的话基本就是配置问题了 仔细点再检查看看
nat outbound没有deny掉感兴趣流的可能性最大,防火墙是先nat后ipsec的,如果在nat里没有deny掉感兴趣流,那么数据从接口出去的时候,就会先做nat,然后源地址就变成nat后的地址了,就不能触发ipsec了。
- 2020-11-03回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
需要用感兴趣流去触发一下才会产生debug信息,同时开启t m、t d