USG6330和NE40E建立IPSec over GRE不通

发布时间:  2015-10-29 浏览次数:  757 下载次数:  0
问题描述
NE40E作为总部,IPSec为模板方式;USG6330为分支,USG6330和NE40E之间的IPSec over GRE不通,其他分支的防火墙和NE40E之间的IPSec over GRE能正常建立。
处理过程
步骤 1 检查两端的IPSec各协商参数是否一致。

由于无法查看总部NE40E的默认参数,只能通过对比其他分支来确定协商参数是否一致。通过对比发现:

能通的分支局点的ike proposal参数如下:


ike proposal 10 
encryption-algorithm aes-cbc 256

而不通的USG6330的ike proposal参数如下:


ike proposal 10 
encryption-algorithm aes-cbc 128

初步判断为IKE安全提议中的加密算法不一致,将USG6330的IKE安全提议加密算法修改为encryption-algorithm aes-cbc 256。

步骤 2 修改后还是无法建立ipsec隧道,对比其他协商参数都没有不一致的地方,只能通过参考会话表或者denug来进一步诊断。

<USG6300>display firewall session table verbose destination-port 500
15:26:21  2015/04/29
Current Total Sessions : 1
udp  VPN:public --> public  ID: a48f3fd220f307ccb5540f049
Zone: local--> untrust  TTL: 00:02:00  Left: 00:01:47  
Output-interface: GigabitEthernet1/0/0  NextHop: 10.254.218.181  MAC: e4-68-a3-53-8d-e0
  <--packets:171 bytes:28856   -->packets:171 bytes:41696
  10.254.218.182:500[10.254.218.182:2050]-->10.254.218.1:500

通过查看会话表发现,USG6330建立IPSec时500端口号被转换成了2050,IPSec肯定无法建立。检查USG6330配置发现存在一条NAT策略,而客户实际不需要出公网,没必要配置NAT策略,取消后IPSec over GRE正常建立。

nat-policy 
rule name GuideNat1429872189263 
egress-interface GigabitEthernet1/0/0 
action nat easy-ip

----结束
根因
USG6330上配置了NAT策略导致建立IPSec隧道的源端口被转换为其他端口。
解决方案
如果实际不需要NAT策略,删除NAT策略问题即可解决。

如果实际使用中需要有出公网的业务,必须配置NAT策略,此时建议配置NAT策略时要限定区域和源地址。
建议与总结
IPSec无法正常建立的问题,除了协商参数不一致外,NAT策略或者路由策略也是引起IPSec无法建立的常见原因。当核对完参数一致性后可进一步通过查看会话或者debug信息来判断。

END