Le tunnel IPSec ne peut pas s'établir normalement avec AR

208 0 0 0

Description du problème

AR1200E-S Plusieurs sorties sont configurées. Une fois le profil IPSec configuré, certains tunnels peuvent être configurés et l’autre tunnel IPSec ne peut pas être configuré.

Processus de manutention

1. Si le correspondant ne parvient pas à composer le numéro, la numérotation PPPoE est effectuée. Interrogez l'adresse IP publique XXXX et vérifiez l'état de la négociation ike. Si l'indicateur est null, cela signifie que les paquets sont reçus et que le processus IPSec est démarré.

81fd4a27af4d401889465311f2779d82

2. Vérifiez que la configuration est correcte et que la valeur de ike est identique à celle de TP-Link côté homologue.

3. Vérifiez les informations de débogage

Paquet reçu qui n'est pas un problème

<Huawei10>
Jun 21 2018 11:38:24.550.1+00:00 Huawei10 IKE/7/IKE_Debug Info:
IKE Packet Contents received from X.X.X.X for message type Recv_SA_KE_NONCE_ID_VID : 808787f1 150b5a5c 00000000 00000000 01100400 00000000 0000018a 04000034 00000001 00000001 00000028 01010001 00000020 01010000 80010005 80020001 80030001 80040002 800b0001 800c7080 0a000084 726e34c4 8431324a d1ffc74d bdadfa09 a06e3d90 0c350477 aabf3435 f1c0dcae c42fb9b3 035b5141 1ed6982f e5d3a9bb a588968e d6befbda 93734697 e789c68a b18c6c6a fd0bd31b 22d825b1 cf3b9477 4fa318b2 d10e5cce 90f49c4b 12f5226c 96820a8e 3cb90782 826c21ec 1d02e6f1 1b9594e6 84c4e2c7 f8f8cd31 6087ea7e 05000044 0d983ba2 5d078552 d7b4e9f6 c5e0b44a be3f6f88 6ed2d2f0 e4a7ef67 dc7cece1 c0da20a1 601fc0d5 704c2780 97233b15 e0572869 e7985508 e588dbf9 a2e14098 0d00000e 02000000 737a7465 73740d00 00144a13 1c810703 58455c57 28f20e95 452f0d00 00144485 152d18b6 bbcd0be8 a8469579 ddcc0d00 001

Encapsulated packet that is no problem

<Huawei10>
Jun 21 2018 11:38:24.570.1+00:00 Huawei10 IKE/7/IKE_Debug Info:
IKE Packet Contents sent to X.X.X.X for message type Send_SA_KE_NONCE_ID_VID_NATD_AUTH : 808787f1 150b5a5c 6e78792b 60fe2607 01100400 00000000 000001b0 04000034 00000001 00000001 00000028 01010001 00000020 01010000 80010005 80020001 80030001 80040002 800b0001 800c7080 0a000084 d7cc0862 d8eb3b22 c6ef2441 fc0820b7 81e77de4 987168d6 45a284ce 3672bad4 b25a4263 4c432803 3d612c2d 5443ced6 82f08caa db155346 89dacbbe 03659378 25ed7485 c9f60096 56606e6e 167b4f61 afff0b29 8fdfcbb4 74a56161 a635b79d fb3732cc 277a2e8c 7bf3ed7a b16b550b 024fe83b 6fc76eb8 a3234adf f2a10bd8 05000044 b9918c02 3d51943d 9080b17a a285ff98 e8e1b212 39fe22d0 98ce4e7d 1cceb006 4aecd463 f9d24cda 94c52f9b 99249930 41a4d09b 091bddc4 3a97f3f6 3d96674d 0d00000c 02000000 636f7265 0d000014 4a131c81 07035845 5c5728f2 0e95452f 0d000014 12f5f28c 457168a9 702d9fe2 74cc0100 0d000014

But peer end does not receive any packet.

e8f058f1f63a44b0a2124e7fc356a327

4. La probabilité que le problème soit causé par le transporteur est faible. Vérifiez la table de routage. Il s'avère que la route par défaut vers l'interface sortante n'existe pas et que l'interface sortante est une adresse IP GigabitEthernet0/0/0 fixe.

eeaa9c9732e44af68886d584ab4d826b

Vérifiez la configuration de la route du routeur. Il s'avère que le peer final pouvant établir le tunnel IPSec fait référence à la route statique et que la priorité de route par défaut de l'interface G0/0/0 est 65.

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 x.x.x.x preference 65

Par conséquent, la route est défectueuse. Bien que le routeur ait encapsulé le paquet ike, il n'envoie pas le paquet au lien correspondant. En conséquence, le peer final ne peut pas recevoir le paquet et la négociation échoue.

Cause première

La priorité de route du paquet ike est inférieure à celle des autres interfaces sortantes. En conséquence, les paquets ne sont pas envoyés au lien correspondant.

Une fois le problème détecté, le client doit accéder à Internet via le port du numéroteur. Le peer final a un périphérique d'accès à distance, l'adresse IP n'est pas fixe et la route statique ne peut pas être écrite. Par conséquent, le problème ne peut pas être traité comme d'habitude.

Solution

Le client exige que le port du numéroteur soit utilisé pour l'accès Internet par défaut. Le peer final a un périphérique d'accès à distance, l'adresse IP n'est pas fixe et la route statique ne peut pas être écrite. Par conséquent, le schéma de configuration suivant est fourni:

1. Définissez la préférence sur 55 pour le routage ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 218.17.X.X preference 65

2. Configuration de PBR pour implémenter l'équilibrage de charge

acl 3100  // for access internet

 rule permit ip

acl 3200  // for ipsec

rule permit ip source 192.168.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255 

traffic classifier test

  if-match acl 3100

traffic classifier ipsec

  if-match acl 3200

traffic behavior test

  redirect ip-nexthop 1.1.1.1

traffic behavior ipsec

  permit

traffic policy test

  classifier ipsec behavior ipsec

  classifier test behavior test

ip route-static 1.1.1.1 32 Dialer 1

ip route-static 1.1.1.1 32 Dialer 2

Après la configuration, l'interface réseau interne est appelée dans le sens entrant.

Après la configuration, le client peut se connecter au VPN et accéder à Internet via un numéroteur.

Suggestions

Cette erreur est principalement due à des problèmes de routage. Il est principalement causé par des exigences particulières des utilisateurs. Cette solution peut être utilisée à titre de référence.


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier