• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

路由器与防火墙无法建立IPsec

2026-06-28提问
  • 1关注
  • 0收藏,170浏览
粉丝:0人 关注:0人

问题描述:

总部为路由器,分支机构为防火墙,两边无法建立IPsec

2 个回答
粉丝:13人 关注:2人

信息太少了,参考一下配置案例吧

https://zhiliao.h3c.com/Theme/details/5374

暂无评论

粉丝:19人 关注:2人

路由器(总部)+ 防火墙(分支)IPSec VPN 建不起来完整排查流程
整体分两大阶段:IKE 协商阶段(第一阶段 SA)、IPSec 协商阶段(第二阶段 SA),按顺序排查,覆盖 H3C 路由器 MSR 系列、F1000/ACG 防火墙通用逻辑。
一、先确认基础三层连通(90% 协商失败根源)
IPSec 协商依赖 UDP 500/4500 报文互通,先保证公网三层可达
总部路由器公网口 IP:A.A.A.A;分支防火墙公网 IP:B.B.B.B
总部路由器执行:
bash
运行
ping B.B.B.B

分支防火墙执行:
bash
运行
ping A.A.A.A

不通处理:
运营商屏蔽 UDP 500/4500;
中间有上级防火墙 / 光猫,未放行 UDP500、UDP4500、ESP (50)、AH (51);
两端 NAT 环境(宽带拨号)必须开启 NAT 穿越 NAT-T。
二、IKE 第一阶段(ISAKMP)协商失败排查(最常见卡点)
1. 两端 IKE 协商参数必须完全一致(错一个就卡死)
核对清单(路由器与防火墙两端一一对应)
表格
参数项 两端必须完全相同
IKE 版本 IKEv1 / IKEv2(两边统一,不能一边 v1 一边 v2)
加密算法 AES-256/AES-192/AES-128/3DES
认证算法 SHA2-256/SHA1/MD5
DH 密钥交换组 group1/group2/group5/group14
预共享密钥 字符完全一致,区分大小写、空格
生存周期 建议 86400,不一致能协商但会频繁重协商
查看命令
路由器(MSR):
bash
运行
display ike proposal
display ike peer

防火墙:
bash
运行
display ike proposal
display ike peer

2. 预共享密钥绑定对端公网 IP 匹配错误
路由器 ike peer 内 pre-shared-key 绑定对端公网 B.B.B.B;
防火墙 ike peer 内 pre-shared-key 绑定总部公网 A.A.A.A;
错误场景:防火墙用域名、0.0.0.0/0 匹配,路由器写死固定 IP,极易协商失败。
3. NAT-T NAT 穿越开关(宽带动态 IP 必开)
两端都要开启 NAT 穿越:
路由器:
bash
运行
ike peer XXX
nat traversal

防火墙 WEB / 命令行:
bash
运行
ike peer XXX
nat traversal

若任意一端内网存在 NAT,不开此条 IKE 报文被 NAT 改写后校验失败。
4. 本地 / 对端身份标识匹配
身份类型:IP 地址 / 域名 / 名称必须统一;
例:路由器用 IP 身份,防火墙不能用域名身份,否则身份校验失败,第一阶段断连。
5. 安全域放行 ISAKMP 报文(防火墙特有坑)
分支防火墙公网口属于 untrust 域,默认拦截 UDP500/4500 本机访问,必须配置本地安全策略:
bash
运行
# untrust -> local 放行IKE报文
security-zone interzone untrust local
rule permit protocol udp destination-port 500
rule permit protocol udp destination-port 4500
rule permit protocol esp

路由器无安全域,一般无需额外放行,仅需接口放行 udp 报文。
三、IKE 第一阶段协商成功,但第二阶段 IPSec SA 建不起来
1. 第二阶段变换模式、算法两端严格一致
核对参数:
变换模式:隧道模式 tunnel(站点到站点必须隧道,传输模式仅主机)
加密、认证算法与第一阶段可不同,但两端第二阶段自身要统一
PFS 完美正向加密:两端同时开启同一 DH 组,或两端同时关闭,不能一开一关
2. 感兴趣流 ACL(最容易配置不对称)
核心坑:路由器 ACL 源 / 目的 和 防火墙 ACL 源 / 目的必须镜像相反
举例:
总部内网:10.1.0.0/24;分支内网:192.168.10.0/24
路由器 ACL(匹配本端内网→分支内网):
bash
运行
acl number 3000
rule permit ip source 10.1.0.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

防火墙 ACL(匹配分支内网→总部内网):
bash
运行
acl number 3000
rule permit ip source 192.168.10.0 0.0.0.255 destination 10.1.0.0 0.0.0.255

常见错误:
ACL 只写单向,另一端漏写;
子网掩码、网段写错;
包含公网 IP、错匹配外网流量;
防火墙安全策略拦截内网互访流量。
3. IPSec 策略绑定接口错误
总部路由器:IPSec 策略绑定出口公网三层接口;
分支防火墙:IPSec 策略绑定 untrust 公网三层接口;
绑内网接口完全无法接收 ISAKMP 报文。
4. 路由缺失(流量无法触发协商)
IPSec 是流量触发协商,无匹配感兴趣流的路由,不会发起协商:
总部路由器配置去往分支内网静态路由,下一跳出公网接口;
bash
运行
ip route-static 192.168.10.0 255.255.255.0 GigabitEthernet 0/0

分支防火墙配置去往总部内网静态路由,出 untrust 口;
无路由时终端互访不通,也不会触发 IPSec SA 建立。
5. 防火墙域间策略放行两端内网流量
分支防火墙 trust-untrust 域默认拦截跨网段 IPSec 加密流量,需放行 ESP:
bash
运行
security-zone interzone trust untrust
rule permit protocol esp
rule permit ip source 192.168.10.0 0.0.0.255 destination 10.1.0.0 0.0.0.255

四、快速定位诊断命令(两端分别执行)
1. 查看 IKE 协商过程、报错日志
路由器 / 防火墙通用:
bash
运行
# 开启IKE调试,抓取协商报错
debugging ike all
terminal debugging
terminal monitor

日志关键字解读:
proposal mismatch:IKE 算法不匹配;
pre-shared key auth failed:预共享密钥错误;
no acl matched:感兴趣流 ACL 不匹配;
nat traversal disable:NAT 穿越未开启;
packet drop:安全域 / ACL 拦截 UDP500 报文。
2. 查看 SA 状态
bash
运行
# 查看IKE第一阶段SA
display ike sa
# 查看IPSec第二阶段SA
display ipsec sa

只有 IKE SA、无 IPSec SA:第二阶段参数 / ACL / 路由问题;
完全无 SA:第一阶段三层不通、IKE 参数不匹配、防火墙拦截 500 端口。
五、路由器 + 防火墙 IPSec 最简标准配置模板(IKEv1 站点到站点)
总部 MSR 路由器侧
bash
运行
# 1. IKE提议
ike proposal 10
encryption-algorithm aes-256
authentication-algorithm sha2-256
dh group14
# 2. IKE对等体
ike peer branch pre-shared-key simple Test@2026
ike peer branch proposal 10
ike peer branch remote-ip 203.0.113.10
ike peer branch nat traversal
# 3. 感兴趣流ACL
acl number 3000
rule permit ip source 10.1.0.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
# 4. IPSec策略
ipsec map VPN 10 isakmp
security acl 3000
proposal 10
remote-peer 203.0.113.10
ike-peer branch
# 5. 绑定公网出口接口
interface GigabitEthernet 0/0
ipsec apply map VPN
# 6. 分支内网路由
ip route-static 192.168.10.0 255.255.255.0 GigabitEthernet 0/0

分支 F1000 防火墙侧
bash
运行
# 1. IKE提议(和路由器完全一致)
ike proposal 10
encryption-algorithm aes-256
authentication-algorithm sha2-256
dh group14
# 2. IKE对等体
ike peer head pre-shared-key simple Test@2026
ike peer head proposal 10
ike peer head remote-ip 203.0.10.5
ike peer head nat traversal
# 3. 反向感兴趣流ACL
acl number 3000
rule permit ip source 192.168.10.0 0.0.0.255 destination 10.1.0.0 0.0.0.255
# 4. IPSec策略
ipsec map VPN 10 isakmp
security acl 3000
proposal 10
remote-peer 203.0.10.5
ike-peer head
# 5. 绑定untrust公网口
interface GigabitEthernet 0/0
ipsec apply map VPN
# 6. 总部内网路由
ip route-static 10.1.0.0 255.255.255.0 GigabitEthernet 0/0
# 放行IKE本地报文
security-zone interzone untrust local
rule permit protocol udp destination-port 500
rule permit protocol udp destination-port 4500
rule permit protocol esp
# 放行内网加密流量
security-zone interzone trust untrust
rule permit ip source 192.168.10.0 0.0.0.255 destination 10.1.0.0 0.0.0.255
rule permit protocol esp

六、高频踩坑总结
防火墙默认拦截 untrust 访问本机 UDP500,不做本地策略永远起不来;
两端 ACL 感兴趣流必须镜像反向,网段不能写反;
宽带动态 IP 场景,NAT-T 必须全局开启;
IKE 算法、预共享密钥、IKE 版本三要素必须两端完全相同;
缺少去往对端内网路由,无流量触发,不会协商 IPSec;
公网中间防火墙 / 光猫拦截 UDP500/4500/ESP 协议。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明