路由器配置排查步骤  

1、 【主模式】

确认路由器WAN口地址是否为公网地址，能否互相ping通，路由器ping功能是在【系统监控】-【网络维护】-【网络诊断】，在ping通信测试下的方框，输入对端设备的公网地址，点击开始。下图以目的地址是1.1.1.2为例，测试结果是通的。

如果ERG2 ping不通对端设备的公网ip，检查对端是否有限制。如果对端无法ping通ERG2，检查ERG2上【安全专区】-【防攻击】-【IDS防范】中的“WAN口ping扫描”是否关闭。若没有，关闭后再ping ERG2的公网地址。

【野蛮模式】

如果ERG2侧是拨号没有固定公网地址，或者是WAN口是私网地址，那么ERG2作为分支，只要到总部的公网地址能通即可。

2、 检查IPSEC相关配置是否对应

（1）    多个WAN口上网的情况下，虚接口绑定是否有误。【VPN】-【IPSEC VPN】-【虚接口】

（2）    【VPN】-【IPSEC VPN】-【IKE安全提议】是否一致。

（3）    【VPN】-【IPSEC VPN】-【IKE对等体】是否一致。

【主模式】情况下，对等体名称任意填写，虚接口、安全提议调用要正确，“对端地址”写对端的公网地址，预共享密钥一致。

【野蛮模式-ERG2为总部】情况下，对等体名称任意填写，虚接口、安全提议调用要正确，因为对端地址不固定、没有公网地址等，“对端地址”写0.0.0.0，若分支申请了动态域名，也可以填写域名。预共享密钥一致。本段ID和对端ID自定义，但是两端必须互为镜像配置。

【野蛮模式-ERG2为分支】情况下，对等体名称任意填写，虚接口、安全提议调用要正确。若总部申请了动态域名，填写域名；若总部有固定公网地址，则填写公网IP。预共享密钥一致。本段ID和对端ID自定义，但是两端必须互为镜像配置。

（4）    【VPN】-【IPSEC VPN】-【IPSec安全提议】是否一致。

（5）    【VPN】-【IPSEC VPN】-【IPSec安全策略】

Ipsec功能是否启用

Ipsec安全策略中的感兴趣流，要互为镜像。如果两端不一致也会导致VPN建立失败。

3、     路由配置是否正确。必须要配置路由，让匹配感兴趣流的数据从ipsec虚接口转发出去。

4、     如果以上配置都正确，VPN还是不通，检查是否配置了错误的策略路由、防火墙导致不通。

查看路径为：【安全专区】-【防火墙】-【防火墙设置】，如果开启了防火墙，可以先关闭测试。

5、 将日志等级提高，改成debug（7），修改路径为【系统监控】-【系统日志】-【日志管理】。触发VPN的时候看日志中是否有相应的记录，有没有收到对端发过来的数据包。

2.2  终端侧排错

6、 确认终端上的网关是否填写正确。如果网关在ERG2路由器上，那网关应该写路由器上对应网段的地址。

找到屏幕右下角上网的图标，右键点击，选择“打开网络和共享中心”或者“打开‘网络和Internet’设置”，（不同操作系统名称稍微有点区别），选择“更改适配器设置”，找到“本地连接”或者“以太网”，右键点击选择“状态”，点“详细信息”

检查ipv4默认网关地址是否为路由器上本网段的地址，如终端地址是192.168.0.5，那么网关就是路由器上的192.168.0.1。

7、 如果终端的网关不在路由器上，那么需要检查终端的网关设备，（如三层核心交换机），是有否到对端私网的路由。

8、 如果出现单通的情况，除了检查两端路由器的感兴趣流写的是否正确，还要检查终端上的防火墙是否关闭。

找到屏幕右下角上网的图标，右键点击，选择“打开网络和共享中心”或者“打开‘网络和Internet’设置”，（不同操作系统名称稍微有点区别），选择“Windows防火墙”，如果防火墙没有关闭，点“打开或关闭Windows防火墙设置”，把三个防火墙都关闭。

9、 检查终端上是否有多个网卡，如果有的话，禁用其他网卡只保留一个再测试。

3 注意事项

两端是否有冲突的网段：

（1）两个站点内网都有相同的网段如：192.168.0.0/24、192.168.1.0/24，如果有网段冲突的话，需要修改其中一侧。

（2）野蛮模式情况下，分支侧WAN口地址自动获取到私网地址时，是否跟总部的内网冲突。举例：ERG2作为分支，WAN口自动获取地址192.168.1.10/24，总部匹配感兴趣流的内网段是192.168.1.0/24，也会引起网段冲突。