目前MSR810为4G拨号模式,现在与华为USG系列做ipsec,华为一侧为固定IP地址,现在配置为野蛮模式,但是目前VPN建立不起来,配置如下:
拨号口配置:共享密码等排除过, 这里不存在问题
interface Eth-channel1/0:0
dialer circular enable
dialer-group 89
dialer timer idle 0
dialer timer autodial 5
dialer number #777 autodial
ip address cellular-alloc
nat outbound 3000
ipsec apply policy Eth-channel1/0:0
路由配置:
ip route-static 0.0.0.0 0 Eth-channel1/0:0
ip route-static 172.18.0.0 24 Eth-channel1/0:0
路由配置:
acl advanced 3000
rule 5 deny ip source 192.168.0.0 0.0.1.255 destination 172.18.0.0 0.0.0.255
acl advanced 3003
rule 5 permit ip source 192.168.0.0 0.0.1.255 destination 172.18.0.0 0.0.0.255
ipsec配置:
ipsec transform-set Eth-channel1/0:0_IPv4_100
esp encryption-algorithm des-cbc
esp authentication-algorithm sha1
pfs dh-group2
ipsec policy Eth-channel1/0:0 100 isakmp
transform-set Eth-channel1/0:0_IPv4_100
security acl 3003
remote-address 对端公网地址
ike-profile Eth-channel1/0:0_IPv4_100
ike identity user-fqdn rtb
ike profile Eth-channel1/0:0_IPv4_100
keychain Eth-channel1/0:0_IPv4_100
exchange-mode aggressive
local-identity user-fqdn rtb
match remote identity address
对端公网地址
255.255.255.255
match local address Eth-channel1/0:0
proposal 65535
ike proposal 65535
dh group2
description Eth-channel1/0:0_IPv4_100
ike keychain Eth-channel1/0:0_IPv4_100
match local address Eth-channel1/0:0
pre-shared-key address 对端公网地址 255.255.255.255 key cipher $c$3$CpExURXzqrCkUrWZgpEV909+Lv8pLre3phD/
华为侧配置:
对齐方式
(0)
最佳答案
console看下日志
下面是通用的拍错思路:
ipsec配置思路
一、基础配置
地址,路由
二、确定感兴趣流
通过定义ACL来确定要保护的数据
三、部署IKE
IKE的keychain的部署
IKE profile的部署
四、安全联盟的部署【决定对数据进行怎样的加密和验证】
IPsec transform-set
protocol esp
ESP 的加密使用3-des
ESP 的验证使用sha1
五、IPsec policy的部署
IPsec policy 名称 序列号 isakmp//IKE协商
security acl
Ike-profile
transform-set
remote-address 对端地址//对端IPsec policy下发的接口所在地址
六、接口下发
在接口下输入:IPsec apply policy 名称
以上就是ipsec的配置注意事项
下面补充总结一下大家在配置过程中经常遇到的问题:
1、感兴趣流
两端感兴趣流在书写时不能完全镜像
2、Ike keychain名称过于复杂导致调用出错
3、两端业务流地址漏配置,导致VPN已经触发,但是ping100%丢包
以上就是ipsec的基本注意事项,后面我们还会继续总结一些VPN嵌套的注意事项。
(0)
您好,请知:
IPSEC VPN故障排查:
1、检查公网地址的连通性
2、检查ipsec acl是否配置正确(两端ACL以互为镜像的方式配置)
3、检查ike keychain/ike profile 协商参数配置是否正确(工作模式、keychain、identity、本端/对端隧道地址或隧道名称、NAT穿越功能v7自适应)
4、检查ipsec proposal(v5平台) /ipsec transform-set(v7平台)参数两端是否一致(封装模式、安全协议、验证算法、加密算法)
5、检查设备是否创建ipsec策略,并加载协商参数(acl、ike profile 、ipsec transform-set、对端隧道IP)
6、检查ipsec策略是否应用在正确的接口上
IPSEC排查命令:
1、disp ipsec policy
2、disp acl
3、dis cu conf ike-profile
4、dis cu conf ike-keychain
5、display ike proposal
6、display ipsec transform-set
7、disp ike sa (verbose)
8、disp ipsec sa
9、reset ipsec sa
10、reset ike sa
(0)
暂无评论
你什么版本,这个命令配置了不报错?
ike proposal 65535 dh group2 description Eth-channel1/0:0_IPv4_100
MSR只支持指定ike proposal 吧,需要在 proposal里写具体的dh
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论