从防火墙能激发IPSec VPN隧道建立,用户却无法激发隧道建立

发布时间:  2012-07-17 浏览次数:  127 下载次数:  0
问题描述

192.168.179.128  /25 |------USG2130--- ---Internet------USG5320-------|192.168.148.0 /24

        防火墙usg2130内网IP为192.168.179.130,公网IP为3.3.3.2;USG5320内网有一台主机192.168.148.2已经正常连接。USG2130网络基础配置正确,路由正常,内网端口加入trust区域,外网接口加入untrust区域,包过滤默认全放开,中心USG5320配置完全正确。分支通过IPSec配置后,设备以IP 192.168.179.130能ping通中心的主机192.168.148.2,查看IKE两个阶段成功,VPN隧道成功。但是用户却无法激发隧道建立。
 
USG2130主要配置(包过滤默认为全允许):              
#
 firewall mode route
#
 set runmode firewall
#

【IPSec配置】
ike local-name icg2000
#
ike proposal 10
#
ike peer d
 exchange-mode aggressive
 pre-shared-key huawei
 ike-proposal 10
 local-id-type name
 remote-name usg5320
 remote-address 2.2.2.2
 nat traversal
#
ipsec proposal tran1
#
ipsec policy map1 10 isakmp              
 security acl 3001
 ike-peer d
 proposal tran1

【接口IP配置及策略应用】
#
vlan 1
#
interface Vlanif1
 ip address 192.168.179.130 255.255.255.192
 undo ip fast-forwarding qff                
#
interface Ethernet0/0/0
 ip address 3.3.3.2 255.255.255.0
 ipsec policy map1
#
【NAT ACL】
acl number 3000
 rule 0 deny ip source 192.168.179.128 0.0.0.127 destination 192.168.148.0 0.0.0.255
 rule 1 permit ip source 192.168.179.0 0.0.0.255

【Security ACL】
acl number 3001
 rule 1 permit ip source 192.168.179.128 0.0.0.127 destination 192.168.148.0 0.0.0.255
#
【端口加入区域】                                      
firewall zone trust
 set priority 85
 add interface Vlanif1
#
firewall zone untrust
 set priority 5
 add interface Ethernet0/0/0
#
【域间包过滤和NAT配置】
firewall interzone trust untrust
 packet-filter 3000 outbound
 nat outbound 3000 Ethernet0/0/0      
#
【路由配置完整】
 ip route-static 0.0.0.0 0.0.0.0 3.3.3.1

【基于源LAN到目标LAN能正常ping通】
<USG2130>ping -a 192.168.179.130 192.168.148.2
  PING 192.168.0.32: 56  data bytes, press CTRL+C to break
    Reply from 192.168.148.2: bytes=56 Sequence=1 ttl=255 time=1 ms
    Reply from 192.168.148.2: bytes=56 Sequence=2 ttl=255 time=1 ms
    Reply from 192.168.148.2: bytes=56 Sequence=3 ttl=255 time=1 ms
    Reply from 192.168.148.2: bytes=56 Sequence=4 ttl=255 time=1 ms
    Reply from 192.168.148.2: bytes=56 Sequence=5 ttl=255 time=1 ms
【IKE两个阶段成功】
[USG2130]dis ike  sa
    连接号         对端地址        标志        阶段    解释域
  ------------------------------------------------------------
        6          222.240.248.210:4500  RD|ST         1     IPSEC
        7          222.240.248.210:4500  RD|ST         2     IPSEC

告警信息
处理过程
1、怀疑内部网络连接有问题。但是从防火墙ping存活的主机能ping通,排除该问题。
2、端口快转或IKE版本问题。通过配置查看,vlanif1的端口快速转发已经关闭,确认该版本不支持IKE version 2。
3、包过滤问题
 firewall interzone trust untrust
 packet-filter 3000 outbound
 nat outbound 3000 Ethernet0/0/0
 
 acl number 3000
 rule 0 deny ip source 192.168.179.128 0.0.0.127 destination 192.168.148.0 0.0.0.255
 rule 1 permit ip source 192.168.179.0 0.0.0.255
    从这里可以看出,在防火墙用ping -a 192.168.179.130 192.168.148.2,是由local到untrust,这两区域间默认全放开,所以能产生感兴趣流量,从而正常建立VPN隧道。由于trust到untrust的域间包过滤拒绝了192.168.179.128 /25 到 192.168.148.0 /24的VPN感兴趣流量,造成隧道不能建立。
    删除该域间包过滤规则后,问题解决,并建议用户另外创建包过滤规则
根因

1、网络连接问题;

2、配置问题;

建议与总结

存在IPSec VPN配置时,不要将用于NAT的ACL用于域间包过滤。典型形式如下:

firewall interzone trust untrust
 packet-filter 3000 outbound           
 nat outbound 3000 Ethernet0/0/0     #包过滤与NAT的ACL相同,造成IPSec VPN问题

END