USG6330与华三设备建立IPSEC VPN隧道不通

发布时间:  2016-08-22 浏览次数:  238 下载次数:  0
问题描述

USG6330与华三防火墙建立IPSEC VPN不能正常协商IKE SA信息,查看两端ike协商参数已经保持一致;

拓扑:

 

告警信息

处理过程

1、在两端设备上相互ping接口地址能正常通信
2、查看设备两端接口下已经正常调用ipsec 策略
3、分别查看两端设备ike配置信息协商参数已经一致
<F100-A>dis ike proposal
priority authentication authentication encryption Diffie-Hellman duration
              method       algorithm    algorithm     group       (seconds)
---------------------------------------------------------------------------
  2        PRE_SHARED     SHA         DES_CBC         MODP_768       86400   
  

————————————————————————————————————————————————————

<USG6300>dis ike proposal
12:38:52  2016/08/10
priority authentication authentication encryption Diffie-Hellman duration
              method       algorithm    algorithm     group       (seconds)
--------------------------------------------------------------------------- 
2        PRE_SHARED     SHA1           DES_CBC    MODP_768       86400   
  
<USG6300>
4、检查ike的安全策略(到自身的安全策略和从自身发送的安全策略)是否放行。
5、确认udp 500端口是否有IKE 的会话信息
<USG6300>dis firewall session table destination-port 500
15:51:32  2016/08/10
Current Total Sessions : 1
  udp  VPN:public --> public 59.42.*.1:500[59.42.*.1:2051]-->121.32.*.*:500
通过查看500端口会话信息,当设备发起IPSEC VPN隧道协商时源端口被NAT转化;

5、添加源nat策略,让local区域到untrust执行no-nat策略不让端口500被NAT转化;
nat-policy 
rule name nat  
source-zone local  
destination-zone untrust 
action no-nat
添加后在查看会话信息已经能正常建立ike sa信息

根因
由于源NAT将UDP 500端口转化导致两端设备ipsec vpn第一阶段协商不通过
解决方案

添加源nat策略,让local区域到untrust区域执行no-nat策略不让端口500被NAT转化;
nat-policy 
rule name nat  
source-zone local  
destination-zone untrust 
action no-nat
建议与总结
NGFW在配置IPSEC VPN时,在nat场景下需要从local区域到对端区域放行UDP 500端口,

END