山石网科Vpn基本配置与简单排错

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射（服务器负载均衡） (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤（有URL许可证） (58)配置自定义URL库 (61)URL过滤（无URL许可证） (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射（服务器负载均衡） (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤（有URL许可证） (58)配置自定义URL库 (61)URL过滤（无URL许可证） (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

Hillstone SCVPN调试说明1Secure Connect VPN介绍为解决远程用户安全访问私网数据的问题，安全网关提供基于SSL 的远程登录解决方案Secure Connect VPN，简称为SCVPN。

SCVPN 功能可以通过简单易用的方法实现信息的远程连通。

Hillstone 山石网科多核安全网关的SCVPN 功能包含设备端和客户端两部分。

配置了SCVPN功能的安全网关作为设备端，具有以下功能：♦接受客户端连接；♦为客户端分配IP 地址、DNS 服务器地址和WINS 服务器地址；♦进行客户端用户的认证与授权；♦进行客户端主机的安全检测；♦对IPSec 数据进行加密与转发。

安全网关SCVPN 的客户端工具为Hillstone Secure Connect。

用户可以通过浏览器下载该客户端，然后将其安装到PC，连接设备端成功后，用户就可以通过SCVPN 功能安全的传输数据信息。

不同型号的安全网关默认情况下支持的同时在线最大VPN 客户端数不同，如果想增加支持的客户端数，请向代理商购买相应的许可证。

1.1 SCVPN设备端配置安全网关的SCVPN 功能配置包括以下各部分：♦地址池配置♦UDP 端口号配置♦SCVPN 实例配置♦绑定SCVPN 实例到隧道接口♦配置客户端USB KEY 证书认证♦配置主机验证功能♦配置主机安全检测功能♦配置自动选择最优通道功能♦强制断开客户端SCVPN 连接详细配置说明，请参见《Hillstone山石网科安全网关使用手册》2 常见问题及解决方案2.1 Client 与server的通讯逻辑不匹配原因分析原因1：scvpn地址池中的地址和远端pc的本地网卡地址冲突原因2：scvpn的tunnel 接口地址与scvpn pool 地址不在同一个网段解决方法修改Hillstone安全网关设备上scvpn pool的地址设置，尽可能不使用像192.168.1.0或192.168.0.0这类客户端常用的IP，来避免IP冲突检查Hillstone安全网关设备上SCVPN的tunnel 接口地址是否和scvpn pool 地址在同一网段2.2 服务器证书还没生效原因分析Hillstone安全网关的时间与SCVPN用户系统时间不匹配解决方法通过web 同步Hillstone安全网关的系统时间，把设备的时间调整正确，然后重启设备如果还不行，请手动删除SCVPN用户PC上安装目录（如“C:\Program Files\Hillstone\Hillstone Secure Connect\cert”）下的所有文件，再尝试进行连接。

一．设备恢复出厂操作如果设备忘记登录的管理账号密码，只能通过恢复出厂设置的方式重新登录管理设备，恢复出厂设置步骤如下：1.设备断电2.用一个尖的东西，按住前面面板上的“CLR“按钮，设备加电3.等到前面面板上的“STA“和”ALM“指示灯同时变成红色，松开”CLR”按钮4.再等到”STA”指示灯变成绿色闪烁，设备就可以通过E0/0接口，通过默认的管理地址，默认的管理账号账号登录二．设备的登录设备默认的管理接口为E0/0，登录的ip为192.168.1.1,，默认的管理账号为hillstone，密码为hillstone。

默认情况下在浏览器中输入192.168.1.1 就可以通过WEBui的方式登录管理设备。

注意：SG6000-NAV 系列的http的服务端口统一为9090，https的服务端口统一为8443。

所以默认登录该设备的WEBui的方式为http://192.168.1.1:9090,登录的账号密码都为hillstone三．基本上网配置1.设置接口信息配置外网接口，比如ethernet0/1 为连接外网的接口网络>>接口，在接口列表中选择ethernet0/1，点击该接口后面的“编辑”按钮显示接口配置界面如下：配置完基本信息，点击“确认”配置内网口，比如ethernet0/3连接内网：网络>>接口，在接口列表中选择ethernet0/3，点击该接口后面的“编辑”按钮，显示ethernet0/3的配置界面如下：配置完基本信息，点击“确认”2.增加内网上网的目的路由网络>>路由>>目的路由，点击“新建”填写完信息，点击“确认”3．增加内网用户上网的NAT配置防火墙>>NAT>>源NAT，点击“新建”选择“基本配置”：选择出接口，点击“确认”。

4.增加内网用户访问外网的策略防火墙>>策略，源安全域选择“trust”，目前安全域选择“untrust”，点击“新建”点击“新建”显示如下：选择服务簿、设备行为，点击“确认”配置完以上四步后，就可以实现内部用户的基本上网。

Windows XP 做客户端，Win7做服务器的VPN连接（部分源于网络资料，部分为自身体验，对症下药绝对有效！！）我的台式机vpn拨号可以连通，但是笔记本总是在注册计算机的时候出现：VPN 错误720 ：未配置PPP 控制协议检查了自己的协议，ppp 是存在的，但是无论怎么更改设置，都没有成功。

最后的判断是PPP 协议受损，但是在网上查了很久，都没有找到重新安装的方法。

一天早晨，无意中看到了一篇网页，文章的作者和我遇到了极为类似的情况，经历过百般辛苦最后解决。

于是我照着上面的方法作了一下，果然很有效，成功！第一步：修改注册表regedit 。

找到HKEY_LOCAL_MACHINE ，然后展开SYSTEM- 〉CurrentControlSet->Control- 〉Class-> 以4D36E972 开头的文件夹，点击下面的各个文件夹，删除包含键值DriverDesc 且DriverDesc= WAN 微型端口（PPPOE ）和WAN 微型端口（IP ）的两个文件夹（最好事先备份一下）。

这样才能在设备管理器中删除我们要删掉的两个设备。

第二步：进入设备管理器，在工具栏的视图里面选择显示隐藏设备。

然后点开网络适配器，删掉WAN 微型端口（PPPOE ）和WAN 微型端口（IP ）。

第三步：打开c:/windows/inf/netrasa.inf 文件（需要先显示隐藏文件），然后在ExcludeFromSelect =/之前加上分号和空格, 在MS_NdisWanNbfOut 之后加上分号。

保存文件。

这步的作用是使得隐藏的硬件添加选项WAN 微型端口（PPPOE ）和WAN 微型端口（IP ）能够在第四步中显现！！修改后如下显示：第四步：在“添加新硬件”中添加WAN 微型端口（PPPOE ）和WAN 微型端口（IP ），将这两个设备添加，然后重启。

这第四步骤比较复杂以图示表述如下：打开控制面板—》打印机及其他硬件下一步后：下一步（关键：拉到最底下,选择最后一个）下一步下一步下一步发现需要的东西（WAN 微型端口（PPPOE ）和WAN 微型端口（IP ）），下一步安装即可。

VPN常见错误代码及相应的解决方法VPN（Virtual Private Network）是一种用于在公共网络上建立私密连接的技术。

在使用VPN时，有时会出现一些错误代码，这可能会导致VPN无法正常连接、断开连接或无法访问特定网站等问题。

本文将介绍一些常见的VPN错误代码及相应的解决方法。

1.错误代码619：这是由于无法建立VPN连接引起的错误。

解决方法包括：-确认输入的用户名和密码是否正确。

-检查防火墙设置，并确保VPN协议被允许通过。

-确保VPN服务器正常运行并且可访问。

2.错误代码800：这是由于无法建立远程服务器的VPN连接引起的错误。

解决方法包括：-检查网络连接是否正常。

如果使用无线网络，请尝试连接有线网络进行测试。

-确认防火墙设置是否允许VPN流量通过。

-重新安装VPN客户端，或使用其他VPN客户端进行测试。

3.错误代码806：这是由于VPN服务器和客户端的协议不匹配引起的错误。

解决方法包括：- 确认VPN服务器和客户端使用相同的VPN协议（如PPTP、L2TP、OpenVPN等）。

-检查防火墙设置，确保相应的协议端口被允许通过。

-尝试在不同的操作系统上进行连接，以确定是否是特定操作系统的兼容性问题。

4.错误代码789：这是由于远程服务器的安全层协议设置不正确引起的错误。

解决方法包括：-检查VPN服务器的安全层协议设置，确保与客户端匹配。

-检查客户端的安全层协议设置，确保与服务器匹配。

-尝试禁用防火墙或安全软件，以确定是否是它们引起的问题。

5.错误代码691：这是由于远程服务器拒绝访问引起的错误。

解决方法包括：-确认输入的用户名和密码是否正确。

-检查账号是否被锁定或禁用。

6.错误代码633：这是由于已经在使用的端口被VPN占用引起的错误。

解决方法包括：-重新启动电脑，以释放被占用的端口。

-在网络适配器的属性设置中重新安装VPN协议。

7.错误代码628：这是由于无法连接到远程服务器引起的错误。

⼭⽯⽹科Vpn基本配置与简单排错Vpn基本配置与简单排错前⾔本⼿册来源于在⼭学习期间做实验与⼯作时候遇到的问题总结，web配置以5.R4版本为主，其中容层次不深，只希望对还在学习的同学有⼀点借鉴作⽤此类⽂章是第⼀次书写，写的不全的地还请包含，如果中间有错误的地请及时联系我任鹏实习⽣Hillstone ipsec vpn （web ui 和cli）Webui配置法：1.配置端到端的vpn第⼀步需要建⽴ipsecVPN隧道，如下图：选择IPsec VPN 新建（俩边都是固定公⽹ip的情况下）配置第⼀阶段对端的时候注意：1.接⼝选择公⽹接⼝2.模式模式可以任意选择，但是俩端模式必须相同3.类型静态ip4.对端地址对公⽹地址5.该环境下的vpn不需要填写本地id和对端的FQDN6.提议任意填写，但是俩端必须相同7.秘钥任意填写，但是俩端必须相同⼀阶段完成，配置⼆阶段隧道⼆阶段注意事项1．⼆阶段提议俩端要相同2．代理id 如果俩端都是我们⼭的设备可以选择⾃动（juniper也可以）和别的⼚家的vpn不能选择⾃动需要⼿动填写对端id 和本地id （都是⽹地址）3. 选择⾼级配置开启⾃动连接配置完ipsecvpn隧道后将协议绑定到隧道中如下图：创建隧道接⼝隧道接⼝创建隧道名称只能填1-8 建议写描述便以后查看安全域建议⾃定义⼀个vpn安全域便与策略管理隧道接⼝ip地址如果两端⾛静态路由访问可以不填ip地址（对有特殊要求除外）如果俩端⾛动态路由的访问⼀定要填写ip地址，且隧道ip地址要与对端隧道ip地址在同⼀⽹段隧道绑定静态或者这个接⼝下只绑定⼀个vpn时不需要填写⽹关动态或者绑定多接⼝的时候需要填写⽹关完成以上配置后再添加路由和策略在没有策略路由，源路由和源接⼝的路由情况下：建⽴⼀条⽬的地址是对私⽹的地址，下⼀条为tunnel隧道的路由如果有上述路由，请⽤优先级⾼的路由进⾏流量引流策略放⾏根据个⼈设置的安全域进⾏放⾏放⾏隧道接⼝安全域到⽹安全域的策略再放⾏⼀条反向的策略如果有特殊需求，可以⾃⾏更改⾃此之上为web界⾯配置法。

VPN客户端常见错误说明及解决方案1 VPN打开后自动缩到任务栏，整个GUI界面无法显示原因：vpn配置文件vpnclient.ini中的WindowX，WindowY值被修改超级大，超出屏幕界面［main]ClientLanguage=［GUI］DefaultConnectionEntry=Avnet VPN — AmericasWindowWidth=600WindowHeight=330WindowX=245000WindowY=245000VisibleTab=0ConnectionAttribute=0AdvancedView=1LogWindowWidth=0LogWindowHeight=0LogWindowX=0LogWindowY=0解决方案：在客户端安装目录下找到，把它修改为WindowX=75、 WindowY=75，恢复正常.2 错误代码56原因：VPN的服务被关闭解决方案：计算机—---> 管理—--————>服务和应用程序—-—--> 服务—---->Cisco Systems, Inc. VPN Service—————〉右键——-————--〉启动 OK如果遇到启动一会后就被kill ：cvpnd服务是被Internet Connection Sharing（ICS)服务kill掉的：1。

将Internet Connection Sharing服务类型设置为手动。

2.停止Internet Connection Sharing服务.3.启动Cisco System, Inc. VPN Service.另外，如果在连接的时候，报了无法启用虚拟网卡的错误,需要先取消物理网卡的共享(停止Internet Connection Sharing服务）,再连就OK了。

3 错误代码413原因：用户名或密码不正确，或vpn连接的分组与本部门分组不一致解决方案（用户名或密码不正确）：输入密码时，如果邮件客户端使用的是foxmail，建议将密码复制到文本文档里面，然后再复制到客户端,因为foxmail会在outlook发送的密码后面加一个空格或回车。

VPN常见问题及常用设置VPN多个选项中Alternate&AUS比较好用可以将常用的选项设置为默认选项：右键Set as Default Connection Entry错误处理集锦：一、如果是Error31选择要登录的入口右键，修改（modify）Name：如果是空白或是非自己用户名称，点击黑三角选择自己用户名Save再登录即可。

备注：还有可能是个人网络问题：如果用无线网卡登录VPN没问题，在家不能登录，则问题出在个人网络。

cisco vpn有对应操作系统版本之分，而且安装之后会使系统不稳定，当你执行违规操作的话会出现蓝屏现象。

二、报错412，但是有的地方时可以的“Secure VPN connection terminated locally by client. Reason 412: The remote peer is no longer responding."crypto isakmp ipsec-over-tcp port 45可能是有的地方不让使用UDP连接，所以改成tcp 45 端口。

然后VPN客户端修改成如下，就好了。

1.如果使用无线连接，请尝试使用有线方式。

2.先关闭client端的防火墙，看报错情况是否继续出现。

如果报错情况不再出现，请重新打开pc防火墙，并设置开放udp500、4500端口，放行esp流量。

3.在vpnserver端和client端都打开nat-t功能。

如果使用nat over tcp，请设置pc端防火墙开放tcp10000端口。

4.将forcekeepalive=0修改为1三、433错误，错误如下”Security VPN Connection terminated by tier. Reason 433“官方给出了3种解决方法，1、是地址池里面或者DHCP里面检查是否包含有广播地址2、检查外部的AAA 服务是验证成功3、是关闭威胁检测，大致意思是偶尔ASA会认为多个重连接关于不同的AS的时候，会认为是威胁，所以关掉就好了。