USG2160 V100R005C00SPC700ike建立但ipsec vpn业务不通

发布时间:  2014-06-06 浏览次数:  370 下载次数:  0
问题描述
USG2160与对端USG5120建立ipsec vpn,IKE、ipesc状态建立正常但业务不通。
组网如下:
         USG5120---------ISP----------USG2160------NE20
告警信息
处理过程
登录客户设备后,通过命令检查ike、ipsec状态都正常,nat配置了no-nat,防火墙上没有策略路由。
USG2160侧为192.168.31.0/24,对端USG5120为192.168.0.0/24,因31段是服务器段,因此在192.168.0.0段测试。
1.在USG5120上使用命令ping -a  192.168.0.1  192.168.31.254 pingUSG2160,通过会话查看到有数据包发出,但在USG2160上没有看到相关会话信息。
2.检查USG2160策略,从local到untrust区域没有限制,查看ipsec加密报文没有任何数据。
3.从USG2160ping 192.168.31.254,是可以ping通的,证明网络联通性没有问题。
4.征求客户同意后,在防火墙上起了一个环回口,IP地址192.168.31.254(该网段落在NE设备后),以该地址为源地址ping 192.168.0.1,ping后,发现会话下一跳为内网地址。
5.通过查看路由,发现有一条192.168.0.0/24位的OSPF重分布路由:
 192.168.0.0/24  OSPF   10   3          O_AES  10.0.0.10     GigabitEthernet0/0/2
   192.168.31.0/24  OSPF   10   3           D  10.0.0.10       GigabitEthernet0/0/2
   192.168.31.1/32  OSPF   10   3           D  10.0.0.10       GigabitEthernet0/0/2
   192.168.34.0/24  OSPF   10   3           D  10.0.0.10       GigabitEthernet0/0/2
6.让客户在NE设备上把该路由删掉以后,ipsec vpn业务正常。
根因
客户反映ipsec vpn不通,初步判断有可能是nat或者策略路由导到。
建议与总结
经过向研发求证,老版本防火墙在内部trust区域有一条路由,例如是192.168.1.0/24,若有该网段数据来自外网untrust,数据包会默认丢弃,并且查看会话或日志不会有任何信息。

END