取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

【原创故障案例分享】ASA与第三方VPN设备搭建ipsecvpn故障

3419
查看次数
10
有帮助
3
评论
这次分享下与这期【跟我一起读】相同主题的问题,IPSecVPN的搭建与排错


客户需要在其他地区再建个临时办公室,要求不高,划几个vlan,配个无线,还要与公司大陆本部和美国总部建立通信,搭建ipsecvpn,就这样,感觉没啥,但由于之前只在客户大陆总部内部排查过问题,没有关心过外网的连接情况,大概的了解下客户要求,就去客户的临时办公室配置设备了。
到了客户那边的办公产地,外网还没拉进来呢,就先把内网按客户要求配置好,外网拉进来后,先配置asa设备,并给客户的IT了解下对端设备,这时才知道,对端设备时深信服的SSL VPN设备,还是部署在内网的,查阅了相关资料,以及咨询了群里的大神们,才得以继续配置,只要把内网的VPN设备的UDP500和UDP4500端口映射出去就可以像设备部署在外网一样配置的。还得感谢群里的各路大神,小弟我也是在学习过程中,哈哈:lol,ipsecvpn的相关配置完了后,得测试连通性 ,测试命令,show crypto isakmp sa ,有对方的相关信息,但就是ping不同,使用tracert发现NAT通不过,后来还找了深信服的工程师远程连上了查看了配置,一作捣腾后,终于通了,我问那位工程师啥问题,他也就模棱两可的说两边有配置问题,调整了下就好了。唉!既然VPN通了就好了,保存配置,收集配置信息,写成文档,发客户,回家。然鹅,一星期后,如期而遇的客户电话打来了,VPN挂了。
先远程配置下吧。得。无线还不稳定,远程配不了,只好前往客户那,到那查看两边配置。都没有动过啊,怪啊,大半天也没搞定。那就删配置重配吧,这次要严谨点了,配置完后开个debug,才知道具体哪里通不过,通过思科网上查找,debug crypto ikev1 127 和debug crypto ipsec 127可以查看vpn进程,果然发现了问题:QM FSM error,百度了下,发现是两端的VPN的放行的流量不匹配导致这错误发生,这是我找到的跟我一样的问题的链接http://blog.sina.com.cn/s/blog_7f2122c50100zls3.html,然后联系客户IT,远程给我开下,参照下两边的放行的流量列表,还真不一样,一个网段大,一个网段小,虽也在大网段里,但还就是这问题导致两端VPN链路断开的罪魁祸首,改成相同后,VPN又通了,虽是通了但还是没把握是否还出问题,就跟客户说再观察一段时间看是否稳定,一段时间后再测试了下ping,能通,OK了,心里的石头终于能放下了。
在此,我也再次感谢群里的小伙伴们,不厌其烦的帮我解答,谢谢啦!-----我感觉我是来写感谢信的·······
评论
Mansur
Engager
感谢分享。
nat赦免的范围无所谓,能覆盖感兴趣流就行。
两边的感兴趣流的acl是必须要一致的。因为快速模式的前两包交换的是ipsec policy,感兴趣流也是ipsec policy的一部分,是要协商的。
wuleihen
Advocate
maguanghua2013 发表于 2018-6-19 16:50
感谢分享。
nat赦免的范围无所谓,能覆盖感兴趣流就行。

OK,谢谢提醒,我这也总算告一段落了
xuxiaoxunlxl
Beginner
有些字段可以看看VPN的书籍有写的。:lol
创建
认可您的同行
Content for Community-Ad