H3C ER3200G2与 MSR30-40建立ipsecvpn问题
- 0关注
- 1收藏,1359浏览
问题描述:
H3C ER3200G2(拨号上网) 与 MSR30-40(固定ip v5设备) 建立ipsecvpn问题 固定ip设备端 debug报错:IPSEC/7/DBG: Entering IPsec NAT bypass pross.
固定ip端配置:v5设备
# ike local-name WUXING
acl number 3000
rule 0 permit ip source 192.168.127.0 0.0.0.255 destination 192.168.123.0 0.0.0.255
#
acl number 3001 rule 0 deny ip source 192.168.127.0 0.0.0.255 destination 192.168.123.0 0.0.0.255
rule 1 permit ip
#
ike proposal 1
encryption-algorithm 3des-cbc
authentication-algorithm md5
#
ike peer v5
exchange-mode aggressive
proposal 1
pre-shared-key cipher $c$3$V++ah3yoU2ydZsFJIeB/1E5zdfo7JsRKC8bX (62352744)
id-type name
remote-name IOT
local-name WUXING
#
ipsec transform-set v5
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm 3des
#
ipsec policy v5 1 isakmp
security acl 3000
ike-peer v5
transform-set v5
#
interface GigabitEthernet0/1
port link-mode route
description [MSR3040-ROUTE1-G0/1<--->ISP]
nat outbound address-group 1
nat outbound 3001
ipsec policy v5
在固定ip端debug ipsec packet 提示:
IPSEC/7/DBG: Entering IPsec NAT bypass pross.
求教高手帮看看 感谢!
拨号端上网的路由器使用 ping命令ping192.168.127.1 主动发起请求 隧道不起来
- 2020-01-16提问
- 举报
-
(0)
最佳答案
可以在MSR V5 ike peer下开启nat穿越试试,举例:
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] nat traversal
还不行的话注意下其他密钥、加密方式等参数
- 2020-01-16回答
- 评论(5)
- 举报
-
(0)
开启了穿越 无效果 秘钥、加密方式检查过 没错的 固定ip的设备本身就是nat设备的
这个报错一般不会导致建立不起来,还是看下完整的debug,是没有交互下去还是哪一步有问题报了info
<ZJ-HZ-PY-HZWX-X2-X2001>debugging ike all <ZJ-HZ-PY-HZWX-X2-X2001>terminal monitor Info: Current terminal monitor is on. <ZJ-HZ-PY-HZWX-X2-X2001>terminal debugging Info: Current terminal debugging is on. 没有任何信息。。。
我在H3C ER3200G2中用web页面的ping工具 ping115.238.99.99竟然都ping不通,这个不是真实的地址,我问了安全在这里改了假的,但是真实的地址ping不通
#Jan 15 09:52:37:300 2019 ZJ-HZ-PY-HZWX-X2-X2001 STAT/4/VOICE: 1.3.6.1.2.1.10.21.2.0.2<dialCtlPeerCallSetup> The trap already send. #Jan 15 09:52:38:846 2019 ZJ-HZ-PY-HZWX-X2-X2001 STAT/4/VOICE: 1.3.6.1.2.1.10.21.2.0.2<dialCtlPeerCallSetup> The trap already send.
ike 参数不一致,一个是sha1一个是md5肯定不行
- 2020-01-16回答
- 评论(1)
- 举报
-
(0)
兄弟,改过了,debug还是一样的报错
兄弟,改过了,debug还是一样的报错
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
#Jan 15 09:52:37:300 2019 ZJ-HZ-PY-HZWX-X2-X2001 STAT/4/VOICE: 1.3.6.1.2.1.10.21.2.0.2<dialCtlPeerCallSetup> The trap already send. #Jan 15 09:52:38:846 2019 ZJ-HZ-PY-HZWX-X2-X2001 STAT/4/VOICE: 1.3.6.1.2.1.10.21.2.0.2<dialCtlPeerCallSetup> The trap already send.