山石网科Vpn基本配置与简单排错.docx

山石网科Vpn基本配置与简单排错.docx

《山石网科Vpn基本配置与简单排错.docx》由会员分享，可在线阅读，更多相关《山石网科Vpn基本配置与简单排错.docx（13页珍藏版）》请在冰豆网上搜索。

山石网科Vpn基本配置与简单排错

Vpn基本配置与简单排错

前言

本手册来源于在山学习期间做实验与工作时候遇到的问题总结，web配置以5.R4版本为主，其中容层次不深，只希望对还在学习的同学有一点借鉴作用

此类文章是第一次书写，写的不全的地还请包含，如果中间有错误的地请及时联系我

任鹏

实习生

Hillstoneipsecvpn（webui和cli）

Webui配置法：

1.配置端到端的vpn第一步需要建立ipsecVPN隧道，如下图：

选择IPsecVPN新建（俩边都是固定公网ip的情况下）

配置第一阶段对端的时候注意：

1.接口选择公网接口

2.模式模式可以任意选择，但是俩端模式必须相同

3.类型静态ip

4.对端地址对公网地址

5.该环境下的vpn不需要填写本地id和对端的FQDN

6.提议任意填写，但是俩端必须相同

7.秘钥任意填写，但是俩端必须相同

一阶段完成，配置二阶段隧道

二阶段注意事项

1．二阶段提议俩端要相同

2．代理id如果俩端都是我们山的设备可以选择自动（juniper也可以）

和别的厂家的vpn不能选择自动需要手动填写对端id和本地id（都是网地址）

3.选择高级配置开启自动连接

配置完ipsecvpn隧道后将协议绑定到隧道中如下图：

创建隧道接口

隧道接口创建

隧道名称只能填1-8建议写描述便以后查看

安全域建议自定义一个vpn安全域便与策略管理

隧道接口ip地址如果两端走静态路由访问可以不填ip地址

（对有特殊要求除外）

如果俩端走动态路由的访问一定要填写ip地址，且隧道ip地址要与对端隧道ip地址在同一网段

隧道绑定静态或者这个接口下只绑定一个vpn时不需要填写网关

动态或者绑定多接口的时候需要填写网关

完成以上配置后再添加路由和策略

在没有策略路由，源路由和源接口的路由情况下：

建立一条目的地址是对私网的地址，下一条为tunnel隧道的路由

如果有上述路由，请用优先级高的路由进行流量引流

策略放行根据个人设置的安全域进行放行

放行隧道接口安全域到网安全域的策略再放行一条反向的策略

如果有特殊需求，可以自行更改

自此之上为web界面配置法。

配置完成后一般可以成功数据互访

如果配置完发现无法访问，请看后面排错部分

Ipsecvpn命令行配置如下：

Vpn第一阶段配置

isakmppeer__name

interface___公网接口

peer___对端公网地址

isakmp-proposal___一阶段提议

connection-type连接关系

VPN第二阶段配置

Tunnetipsec名称auto

Isakmp-peer调用第一阶段

ipsec-proposal二阶段提议

配置tunnel

Interfacetunnel名称

Zonevpn

Tunnelipsecvpn名称

配置路由

iprouterx.x.x.x/xtunnel接口名称

简单排错

数据不通是首先要看ipsecvpn隧道是否建立成功，如果没有成功就检查vpn的建立部分。

如果vpn没问题就看策略和路由

webui界面看不到错误的时候，需要进入命令行查看

查看一阶段二阶段是否建立成功

以下为成功

SG-6000（config）#showisakmpsa

Total:

1

================================================================================

CookiesGatewayPortAlgorithmsLifetime

--------------------------------------------------------------------------------

28266c15da~10.88.16.143500pre-sharemd5/des86221

SG-6000（config）#showipsecsa

Total:

1

S-Status,I-Inactive,A-Active;

================================================================================

IdVPNPeerIPPortAlgorithmsSPILife（s）S

--------------------------------------------------------------------------------

1test>10.88.16.143500esp:

des/md5/-3e738e2c28608A

1test<10.88.16.143500esp:

des/md5/-71f2e8f028608A

如果是二阶段建立失败，查看下绑定关系

SG-6000（config）#showconfiguration|begintunnelipsec

Buildingconfiguration..

Runningconfiguration:

tunnelipsec"test"auto

isakmp-peer"test"

ipsec-proposal"esp-md5-des-g2"

auto-connect

track-event-notifyenable

exit

interfacetunnel3

zone"vpn"

tunnelipsec"test"

reverse-routeprefer

exit

如果看这些还没有看出问题的话就debugvpn抓下数据包

简单的介绍下需要看vpn的哪些部分

2016-01-1611:

22:

20,DEBUGVPN:

[10.88.16.143]:

phase1（mainmode）:

remotesupp

ortsDPD

2016-01-1611:

22:

20,DEBUGVPN:

[10.88.16.143]:

Compared:

DB:

Peer

2016-01-1611:

22:

20,DEBUGVPN:

[10.88.16.143]:

（lifetime=86400:

86400）

2016-01-1611:

22:

20,DEBUGVPN:

[10.88.16.143]:

（lifebyte=0:

0）

2016-01-1611:

22:

20,DEBUGVPN:

[10.88.16.143]:

enctype=DES-CBC:

DES-CBC

2016-01-1611:

22:

20,DEBUGVPN:

[10.88.16.143]:

（encklen=0:

0）

2016-01-1611:

22:

20,DEBUGVPN:

[10.88.16.143]:

hashtype=MD5:

MD5

2016-01-1611:

22:

20,DEBUGVPN:

[10.88.16.143]:

authmethod=pre-sharedkey:

pre-

sharedkey

2016-01-1611:

22:

20,DEBUGVPN:

[10.88.16.143]:

dh_group=1024-bitMODPgroup:

1

-bitMODPgroup

2016-01-1611:

22:

20,DEBUGVPN:

[10.88.16.143]:

Anacceptableproposalfound

2016-01-1611:

22:

20,DEBUGVPN:

[10.88.16.143]:

++++++++Phase1mainmodefirst

msgreceiveEND.++++++++

2016-01-1611:

22:

20,DEBUGVPN:

2016-01-1611:

22:

20,DEBUGVPN:

2016-01-1611:

22:

20,DEBUGVPN:

[10.88.16.143]:

++++++++Phase1mainmodefirst

msgsendSTART.++++++++

以上为一个正常的一阶段vpn协商包一个小部分，当出现错误的时候会报以下错误

1.nosuitableproposalfound

Phase1（mainmode）:

failedtogetvalidproposal!

第一阶段提议不匹配需要去检查提议

2.HASHmismatched（野蛮模式）

Invalidpayloadorfailedtomallocbuffer（pre-sharekeymaymismatch）.（主模式）

预共享秘钥不匹配

3.PeerMainmode,trytofindrmconfbyIPandlocalif.

ErrorcannotfindISAKMPpeer

可能是俩边的模式不匹配，检查下

4．:

NoIDmatch.

:

phase1（aggressivemode）:

invalidIDpayload.

Fqdn不匹配

5．Nosuitableproposalfound

phase1（aggressivemode）:

failedtogetvalidproposal.

一阶段提议不匹配

6．phase1（aggressivemode）:

gatewayceshicanworkasinitiatoronly

双都是发起段可能出现这个报错

7.encmodemismatched:

my:

Transportpeer:

Tunnel

Notmatched

Nosuitableproposalsfound

二阶段模式不同

8.pfsgroupmismatched:

my:

2peer:

0

Notmatched

Nosuitableproposalsfound.

二阶段提议不同

9．Phase2（quickmode）:

failedtogetsainfobyipsecdoiid

二阶段代理id的问题

10．如果俩边都没有协商包检查下自动连接是否启用了

11.一段有发起的数据而另外一段没有接收的数据，看看对公网是否有问题。

12.如果vpn通了，数据不同就需要看数据路由和策略面。

如果配置没看到错误就抓数据包看了

以上讲的就是些小的排错法，很不全面。

更多的排错法是靠平时的积累和实验自己学会的，希望这些能对大家处理问题有小的帮助