USG6550使用IPSEC VPN无法正常协商

发布时间:  2015-11-26 浏览次数:  712 下载次数:  0
问题描述

割接替换USG6550恢复原网络IPSEC VPN功能,割接前原网络环境IPSEC VPN功能正常,割接后IPSEC VPN功能失效。

USG6550无法收到协商报文,通过CLI查看IKE第一阶段会话状态为空,使用debug查询不到任何协商状态。

处理过程

步骤一:

检查对端设备IPSEC VPN关键配置:

1.公网ip地址设备;

2.相关IPSEC VPN,预共享密钥,对端IP地址,匹配感兴趣流量;

步骤二:

检查USG6550设备IPSEC VPN关键配置:

1.公网ip地址设备;

2.相关IPSEC VPN,预共享密钥,对端IP地址,匹配感兴趣流量;

步骤三:

1.两端设备互PING公网地址,验证公网网络地址可达性;

2.两端设备清理IKE第一阶段会话;

3.对端设备ping远端内网地址,触发IPSEC VPN IKE第一阶段会话协商;

步骤四:

1.检查USG6550安全策略;



根因

安全策略中放行了Trust至Untrust,Untrust至Trust,未放行Untrust至local的安全策略;

IKE第一阶段需要对端设备(Untrust)与USG6550外网端口(local)进行协商,需放行Untrust至local的相关安全策略端口;

解决方案

修改安全策略,使其放行untrust区域至local区域流量

相关配置命令如下:

security-policy                          
rule name ipsec_sec_untrust_local
  source-zone untrust
  destination-zone local
  action permit

建议与总结
在配置相关VPN时,注意防火墙本身的安全策略,应当放行相应的端口;

END