Print

F100-C-G2与ACG1000建立IPSEC VPN不成功的解决办法

2019-07-31发表

组网及说明

问题描述

由于业务扩容,客户新购买了一台ACG1000的安全审计设备,需要和总部的F100-C-G2设备建立IPSEC VPN,但是设备配置完毕后,IPSEC VPN只能建立起来第一阶段,第二阶段无法建立成功,VPN业务不通。


过程分析

1.检查防火墙和ACG1000设备的配置没有问题,ACG100侧显示的本地地址为X.X.105.180,在防火墙侧查看第一阶段IKE SA的信息显示为X.X.22.39,两者IP地址不一致,ACG1000侧运营商又做了一次NAT

[F100-C-G2]display ike sa

    Connection-ID   Remote                Flag         DOI   

------------------------------------------------------------------

    1               X.X.22.39         RD           IPsec 

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

2.第一阶段已经建立成功了,但是第二阶段建立不起来,在ACG1000侧显示连接中,可以在防火墙上查看会话确认下报文交互的情况:

display session table ipv4 source-port 4500 verbose

Slot 1:

Initiator:

  Source      IP/port: X.X.249.4/4500

  Destination IP/port: X.X.99.118/4500

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: GigabitEthernet1/0/10

  Source security zone: Untrust

Responder:

  Source      IP/port: X.X.99.118/4500

  Destination IP/port: X.X.249.4/4500

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: InLoopBack0

  Source security zone: Local

State: UDP_OPEN

Application: GENERAL_UDP

Start time: 2019-06-28 23:00:45  TTL: 26s

Initiator->Responder:          166 packets      19011 bytes

Responder->Initiator:            0 packets          0 bytes

 

Initiator:    

  Source      IP/port: X.X.99.118/4500

  Destination IP/port: X.X.22.39/4500

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: InLoopBack0

  Source security zone: Local

Responder:

  Source      IP/port: X.X.22.39/4500

  Destination IP/port: X.X.99.118/4500

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: GigabitEthernet1/0/10

  Source security zone: Untrust

State: UDP_OPEN

Application: GENERAL_UDP

Start time: 2019-06-29 02:55:16  TTL: 26s

Initiator->Responder:          100 packets      20992 bytes

Responder->Initiator:            0 packets          0 bytes

Total sessions found: 2

查看源端口为4500的会话建立了两条,并且两个会话的源IP地址是不一样的。针对两条会话进行分析:

第一条会话发起方地址为X.X.249.4,响应方地址为X.X.99.118,响应方为F100防火墙,报文统计只有发起方到响应方的,并且发起方的IP地址与第一阶段IKE SAIP地址不匹配。

第二条会话是防火墙作为发起方,地址为X.X.99.118;对端设备为响应方,地址为X.X.22.39,报文统计只有发起方到响应方的,该会话的地址与第一阶段IKE SA内的对端IP地址是匹配的。

初步怀疑现场的问题如下:

ACG1000发送第二阶段的协商报文给防火墙,由于ACG1000上行还有NAT设备,第二阶段协商的报文NAT后的源地址与第一阶段协商时NAT候的源地址不一致,报文到了防火墙上创建了第一条会话;由于该会话的地址与IKE SA内的对端IP地址不一致,所以防火墙不会进行回包,而是另外新建了第二条会话,与对端进行第二阶段的协商。由于对端运营商不存在NAT表项,导致ACG1000无法收到防火墙发送过去的报文,导致第二阶段建立失败。

3.在防火墙上多次reset ike sareset ipsec sa重新触发建立IPSEC VPN,查看到的会话都是一致的。   

解决方法

联系ACG1000侧运营商修改设备NATVPN建立正常。