针对IPsec VPN主要出现的问题:
第一个:北京ASA5520出现的问题
- 全局配置了本地isakmp标识后,很多设备都必须要明确指出,否则无法建立ike sa
crypto isakmp identity hostname (标识,可以有不同的类型,但意义类似)
此配置,主要是针对山石防火墙无法建立IKE SA而起的
- IKE策略执行顺序,是从上往下,可能会引起IKE策略匹配出问题,慎重
- NAT豁免,可能因版本不一样而配置不一样,另外需要注意的是豁免NAT的接口针对此次北京是DMZ不是inside,这个要看清楚
例如:ASA5520
!
object network vpn-nonat
subnet 10.220.1.0 255.255.255.0
object network vpn-to-nj-1
host 10.96.11.8
object network vpn-to-nj-2
host 10.10.1.99
object network vpn-fenghai
subnet 192.168.30.0 255.255.255.0
!
nat (inside,outside) source static 192.168.10.0 192.168.10.0 destination static NETWORK_OBJ_172.16.20.0_24 NETWORK_OBJ_172.16.20.0_24 no-proxy-arp route-lookup
nat (outside,dmz) source static any any destination static outside-map dmz-server service P-MAP P-MAP
nat (dmz,outside) source static vpn-nonat vpn-nonat destination static vpn-to-nj-2 vpn-to-nj-2
nat (dmz,outside) source static vpn-nonat vpn-nonat destination static vpn-to-nj-1 vpn-to-nj-1
nat (dmz,outside) source static vpn-nonat vpn-nonat destination static vpn-fenghai vpn-fenghai
!
也有的版本配置如下:
ASA5520(config)#access-list NONAT permit ip 192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.0 #不进行NAT转换
ASA5520(config)#nat (inside) 0 access-list NONAT 豁免技术
ASA5520(config)#nat (inside) 1 192.168.20.0 255.255.255.0
ASA5520(config)#global (outside) 1 interface
第二个:南京第一家(山石防火墙)出现IKE策略无法建立的问题
问题一:ASA上配置了pfs,而山石防火墙上没配置
方法: 配置上了相应的pfs就ok
问题二:IKE阶段1策略,ASA能起来,山石不行
原因: 山石需要明确指定对端的ISAKMP标示
方法: ASA全局配置ISAKMP标示后,山石指定了ok
第三个:南京第二家cisco路由器出现隧道无法建立的问题(但北京ASA已经完全建立)
问题1:南京在cisco的路由器上配置IKE的时候,没有配置对端ISAKMP的标示hostname(ciscoasa)
方法: 明确配置后,立即解决
问题二:南京路由器不支持IKEv1
方法: 直接使用IKEv2解决
第四:南京第三家(封海)USG5100防火墙出现单通的问题
问题一:vpn隧道已完全建立,但是北京ping南京内网通,而南京内网ping不通北京
原因: 南京丰海的外网接口上启用了nat转换,同时又配置了源nat策略
方法: 取消外网接口上的nat转换,就开始执行源nat策略了(vpn隧道流量不走nat的计数器就增加了)
问题二:由于配置vpn期间,把另外一家L2TP_VPN搞出问题了
原因: 排查IPsec_VPN故障期间,删除了某些配置,导致出了问题,具体尚未找到
方法: 由于没保存配置,重启了防火墙,恢复了之前的业务
问题三:排查L2TP_VPN故障期间,OA业务无法正常访问
原因: 排查故障期间,virtual-template模板地址设置为了 192.168.30.253跟OA地址冲突了
方法: 删除virtual-template 0的地址,恢复OA访问
问题四:防火墙重启后,重新配置了IPsec_VPN,出现单通,南京可以访问北京,北京无法访问南京
原因: USG5100的untrust 到 trunst方向的policy中没有显示添加允许北京的内网段访问南京,并且默认这个方向的策略动作为禁止
方法: 在untrust 到 trust方向中添加北京的VPN内网段访问南京VPN内网段,并将策略执行的动作改为允许解决
可以通过抓包发现很多的问题
ASA命令:
debug命令系列
capture的命令
access-list tac permit ip host 192.168.190.2 any
access-list tac permit ip any host 192.168.190.2
capture test access-list tac interface test
show capture test
show asp drop 查看drop 丢包
packet-tracer input inside icmp 192.168.1.123 8 0 192.168.100.2
方向接口协议测试PC地址对端inside 接口地址
清除会话
特权模式下:clear....
USG命令:
display firewall session table verbose source inside 192.168.30.1 destination inside 10.220.1.6
source和destination的 inside和global都可以改变以获取不通的参考
debug
debugging ike ....
debugging ipsec ...
debugging ip packet-trace acl ... ##先创建acl再调用
清除会话
特权模式下:reset