ipsec 突然只有一端通是怎么回事
- 0关注
- 0收藏,190浏览
问题描述:
起因是本端突然断网了,无法访问网页,但 Teams 消息发的出去,此时访问对端的 IPSec VPN 还正常,可以访问对端服务
怀疑是 DNS 问题,且在路由上走 WAN0 ping 百度、腾讯 DNS 都超时,WAN1 却都正常
然后啥也没动,突然好了,感觉只是电信波动了一下。为了提高稳定性,就想着修改多 WAN 策略,想改为 WAN1 主、WAN0 备,不让改,要加链路探测
然后尝试给两个 WAN 口加入链路探测,其中 WAN1 是 PPPoE,IPSec VPN 也是基于这个 WAN,保存后估计是重新拨号了,看统计信息里 WAN IP 没了,过了一会儿又出现了
同时又想到现在公共 DNS 都限速,可以把电信上级的 DNS 利用起来,就去终端里打开了 dns proxy 然后把 dhcp 的 dns 改到路由器 IP
然后就突然发现 VPN 不通了,无法访问对端
尝试 reset ipsec sa、reset ike sa 都不行,去掉链路探测、取消 dns proxy 也不行,终端 debugging ipsec error 也没有信息
怀疑最大可能是 WAN1 重新拨号导致 VPN 断了一下,但后续看 sa 也回来了,且对端也能正常访问本端
其他的诸如感兴趣流、ACL 这些完全没动过,不知道咋回事了
组网及组网描述:
- 2024-10-23提问
- 举报
-
(0)
ipsec 单通,检擦安全按策略是否放行、感兴趣流是否一致
- 2024-10-23回答
- 评论(1)
- 举报
-
(0)
ACL 和感兴趣流的配置没动过呀。如果是这两块出问题,debug 会有输出吗?我 debug all 看到很多 fastforward,和这个有关吗
这个和dns没直接关系,pppoe野蛮场景不稳定正常的
要彻底解决只能
1、申请固定ip
2、通过专线等方式规避
如果数据单向访问正常,大多数情况是2端防火墙策略或目标主机有安全配置导致
仔细检查下组网细节、产品型号、软件版本等细节综合分析下吧
- 2024-10-23回答
- 评论(2)
- 举报
-
(0)
检查下组网详情等分析下吧
但是稳定用了挺久的,对端访问本端也完全正常
检查下组网详情等分析下吧
注:已解决,留下解决方案以便查询。
由于对端升级到了 6749P2102 版本,而本端还在 6728P26 版本,结合单通现象,因此推测可能和对端版本升级有关。
遂将本端升级至同一版本,但重启后仍未解决。
于是将两端的配置文件逐行排查,最终发现对端接口中添加了:
ipsec no-nat-process enable
而本端没有这行配置。
结合之前提到的,debugging ipsec all 反复收到“ip fastforwarding”输出,检索资料发现该输出和 nat 可能有关。于是在本端接口也添加此 no-nat 配置,敲下回车后,瞬间解决问题。
总结:
1. 大概率是版本升级后对端作为中心节点自动加上了 no-nat-process 配置;也有可能初始配置时就存在对端有本端无的情况,但旧版允许通信而新版不再允许通信?
2. 本端作为分支节点,本身没有配置这行命令,升级后也未自动添加,导致对端到本端通,反之不通
3. 以上问题也印证了我最担心的,因系统升级导致配置有变化。之前也遇到过此类情况,400 远程排查了两个多小时,回去问二线才确定是因为某配置已经不受支持。连 400 工程师都查不出来的问题,我们更不可能查出来了。教训就是慎重升级,并保持续保,不然再遇到类似情况,累死都不可能找到原因。
- 2024-10-23回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
ACL 和感兴趣流的配置没动过呀。如果是这两块出问题,debug 会有输出吗?我 debug all 看到很多 fastforward,和这个有关吗