总部与两个分支的ipsec vpn无法建立起来,ike sa都没建立起来
总部与分支公网地址都为固定ip,需要通过建立ipsecvpn来让分支可以访问总部的资源,总部ipsecvpn设备角色设置的为中心节点,两个分支设置的对等,安全策略放通加密流量,加密流量不做NAT转换,ike与ipsec配置都是相同的
(0)
最佳答案
您好,参考
第一阶段ike sa 起不来,可以按照下面思路排查;
首先检查两端设备是否可以相互ping通,保证两端设备通信正常。
检查两端设备配置是否一致,主要从感兴趣流、预共享密钥确认一致、ike算法确认一致。
确认下两端设备出接口上是否有NAT业务,如果有NAT业务的话,流量会先匹配NAT模块走掉而不匹配IPSec,所以需要在NAT的acl中先配置rule deny掉感兴趣流。对于V5平台的设备就方便得多,可以在外网口配置ipsec no-nat-process enable这个命令来实现。
还有一种情况,FW1-----路由器,做野蛮模式的ipsec vpn,已经针对acl 3200这条保护流建立了一条ipsec vpn隧道了,客户参照这个在两端针对这个acl 3201再做一条ipsec vpn,就是建立不起来,连lke sa都没有。
其中acl advanced 3200
rule 0 permit ip source 10.100.0.0 0.0.255.255 destination 192.168.2.0 0.0.0.255
#
acl advanced 3201
rule 0 permit ip source 10.100.0.0 0.0.255.255 destination 10.103.10.0 0.0.0.255
#
这样的话,两个感兴趣流的源IP是同一个网段,这样在协商的过程中可能出现一些错误,需要在对端配置ipsec策略的时候需要写fqdn而不能写address。
(0)
根据手册配置、检查一遍呢?
https://www.h3c.com/cn/d_202302/1784745_30005_0.htm#_Toc128077945
(1)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论