• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

IPSEC VPN建立不起来

2021-01-24提问
  • 0关注
  • 1收藏,336浏览
粉丝:0人 关注:0人

问题描述:

设置列表

  • 有序列表
  • 无序列表

对齐方式

  • 靠左
  • 居中
  • 靠右

<H3C>dis cur

 # 

 version 5.20, Release 2516P19

 # 

 sysname H3C

 # 

 password-control enable

 undo password-control aging enable

 undo password-control history enable 

 password-control length 6

 password-control login-attempt 3 exceed lock-time 10 

 password-control password update interval 0 password-control login idle-time 0 

 password-control complexity user-name check 

 domain default enable system

 # 

 dns proxy enable

 # 

 telnet server enable 

 dar p2p signature-file flash:/p2p_default.mtd 

 ndp enable 

 ntdp enable

 #

 cluster enable

 # 

 port-security enable

 #

 password-recovery enable 

acl number 3000 rule 0 permit ip source 10.42.100.0 0.0.0.255 destination 10.42.1.0 0.0.0.255 

#

 vlan 1

 # domain system 

 access-limit disable 

 state active

 idle-cut disable 

 self-service-url disable

 # 

ike proposal 1 

 encryption-algorithm 3des-cbc

 dh group2 

 authentication-algorithm md5 

 sa duration 3600

 #

 ike dpd vpn 

# ike peer vpn

 exchange-mode aggressive

 proposal 1

 pre-shared-key cipher $c$3$Xgn679fXUp2MIXoNblsjF57VLCbX7SjoDl1EaKnqLBZe

 id-type name

 remote-name glsangfor

 remote-address 112.91.208.162

 local-name fqh3c

 nat traversal 

 dpd vpn 

#

 ipsec transform-set vpn 

 encapsulation-mode tunnel 

 transform esp esp 

 authentication-algorithm md5 

 esp encryption-algorithm 3des

 #

 ipsec policy 720896 1 isakmp

 connection-name vpn

 security acl 3000 

 ike-peer vpn 

 transform-set vpn

 sa duration traffic-based 1843200

 sa duration time-based 3600

 #

 dhcp server ip-pool vlan1 extended 

 network ip range 10.42.100.21 10.42.100.220

 network mask 255.255.255.0 

 gateway-list 10.42.100.1

 dns-list 114.114.114.114 8.8.8.8

 # 

user-group system

 group-attribute allow-guest 

#

 local-user admin 

 authorization-attribute level 3 

 service-type telnet 

 service-type web 

local-user fengquan

 authorization-attribute level 3

 service-type telnet

 service-type web

 # cwmp

 undo cwmp enable 

#

 interface Cellular0/0 

 async mode protocol 

 link-protocol ppp 

 tcp mss 1024 

#

 interface Dialer10

 nat outbound 

 link-protocol ppp 

 ppp chap user CZ1376283481@16900.gd 

 ppp chap password cipher $c$3$8Szg/akfkg8T7q1Yg8sjC0G/gZN5oEewrg== 

 ppp pap local-user CZ1376283481@16900.gd password cipher $c$3$3Jp/TYT5VsWwT+8WGZD/cTmu8sBjx9vN2g==  

 ppp ipcp dns admit-any

 ppp ipcp dns request

 mtu 1492

 ip address ppp-negotiate 

 tcp mss 1024

 dialer user username 

 dialer-group 10 

 dialer bundle 10 

 ipsec no-nat-process enable

 ipsec policy 720896 

interface NULL0 

interface Vlan-interface1 

 ip address 10.42.100.1 255.255.255.0

 tcp mss 1024 

 dhcp server apply ip-pool vlan1

 # 

interface GigabitEthernet0/0

 port link-mode route

 nat outbound 

 pppoe-client dial-bundle-number 10 

 ipsec no-nat-process enable 

interface GigabitEthernet0/4

 port link-mode 

 route tcp mss 1024

 # 

interface GigabitEthernet0/1 

 port link-mode bridge 

#

 interface GigabitEthernet0/2 

 port link-mode bridge 

interface GigabitEthernet0/3 

 port link-mode bridge

#

 ip route-static 0.0.0.0 0.0.0.0 Dialer10

 dhcp enable

 dialer-rule 10 ip permit

#

 nms primary monitor-interface Dialer10

#

 load xml-configuration 

#

 load tr069-configuration 

user-interface con 0 

user-interface tty 13

user-interface vty 0 4

 authentication-mode scheme

 # return 


这是华三MSR810的的配置,请问下配置有没有问题,对端是深信服防火墙,使用野蛮模式隧道模式建立,目前建立不起来,这华三路由器配置哪里有问题呢

组网及组网描述:


最佳答案

粉丝:153人 关注:0人

您好,请知:

关于IPSEC VPN无法建立,以下是排查要点,请参考:

1、检查两端IPSEC VPN的加密算法、认证算法、认证密钥是否一致。

2、由于非固定IP端是在MSR830这里,检查下是否正确指向到了对端。

3、进一步检查到对端的路由是否可达。

4、另外在物理端口调用下IPSEC VPN看下。

5、确认两端是否都是野蛮模式。同时看下对端是否已指向到了本端的FQDN



暂无评论

3 个回答
粉丝:1人 关注:0人

IPSEC一般大部分都是配置问题,建议参考配置案例:https://www.h3c.com/cn/d_201807/1094144_30005_0.htm仔细核对一下,还有模式也要选择正确

暂无评论

粉丝:0人 关注:0人

不一定是华三设备配置问题,连不上有什么提示,一般都是IKE IPSEC 设置,感兴趣流不做nat 转换,分支路由这几个原因,要具体原因具体分析

暂无评论

粉丝:0人 关注:1人

在你的拨号口上的NAT去往对端的流量用ACL拒绝掉。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明