深信服IPSECVPN常见问答
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3) Login incorrect,PAP authentication failed. 用户登录失败,不存在此用户,请检查用户名是否输入正确。 4)LCP terminated by peer(peer refused to authentication) 对端设备终止连接/拒绝连接,请重新拨号或者联系ISP 5)No response to 3 echo-requests. Serial link appears to be disconnected. 远端服务器没有相应本端的回声请求,线路可能断开,检查线路是否正常 6)拨号时出现提示“out of range”之类,很有可能是运营商绑定了拨号设备
1)Authentication failure. PAP authentication failed. PAP用户认证失败,请确保填写的是正确的用户名和密码。 2)CHAP authentication failed. CHAP用户认证失败,请确保填写的是正确的用户名和密码。
二、拨号常见问题排查和解决办法
A、查看系统日志的提示
B、检查设备的部署方式和配置;(例如排除VPN两端在同 一局域网来连VPN;设备本身被限制无法上网等原因)
C、检查VPN连接的配置(webagent、帐号等);
D、测试总部的VPN端口是否能通,总部单臂模式下,如果 启用UDP传输,注意前置网络设备要做UDP4009端口的映 射;
故障三 VPN不稳定,频繁断 开
A、尝试换传输模式(分支设备的连接管理处修改),看是否修 复。
B、修改总部VPN连接的端口,改成常用的低端口,如81等,避 免运营商对高端口做了限制。
C、如果有设置VPN的多线路策略,修改多线路策略看是否稳定 D、反向连接,把原来的VPN分支端和总部端配置互换,改成由
二、拨号常见问题排查和解决办法
3. 一直处于等待中,无法拨号成功
检查设备连接modem的WAN口(WAN1对应eth2)的MAC地址是否为 00-00-00-00-00-00,如果是,重启设备,或者重启网卡,MAC地址仍然 是全0的话,则可以认为是硬件故障需要返修。
4. 其他拨号不成功的原因,请详细参照拨号日志提示
另一端发起连接,看是否稳定。
故障四 VPN已经建立,但访问不到内网资源
A、从最靠近内网资源的VPN设备上测试能否访问内网资源; (通过网关升级客户端登录到VPN设备上进行PING测试)
B、PING对端设备的LAN口地址看是否能ping通 C、检查配置(内网权限、VPN-LAN规则、时间计划); D、两端都检查路由设置,可以通过 tracert观察数据流走到了哪
深信服 IPSEC VPN 常见问题排错思路
IPSEC常见问题排查 指导
IPSEC常见问题排错指导
1. VPN无法建立连接 2.Webagent无法更新成功 3. VPN不稳定,频繁断开 4. 通过VPN访问不到内网资源 5. 通过VPN访问不到部分服务器 6. 通过VPN访问服务器慢
故障一 VPN无法建立连接
E、检查是否两端VPN设备上是否做了端口全映射或者映射 了VPN连接的端口到内网;
F、确认两端VPN设备的版本是否匹配
G、测试两端VPN设备之间的网络是否可达(ping或收发包 测试);
H、尝试修改VPN设备接口的MTU;
故障二 Webagent无法更新成功
A、确保VPN总部设备和分支设备均能上外网(设备配置的 IP和DNS均正确,能解析到域名和访问公网)。
B、检查两端的路由设置,确认数据能到达服务器。 检查PC和服务器上的路由设置,看是否有错误的主机路
由。 C、把PC和服务器的网关均指向VPN设备,测试是否能通信。 D、检查服务器或PC上的杀毒软件和FW是否有限制。
故障六 觉得VPN慢或VPN隧道内数 据传输慢
A、ping对端VPN设备的公网IP和内网主机IP,比较延时 。 (可ping大包测试)
里,必须确保双向访问均能到达; 检查PC和内网资源服务器上的路由设置,看是否有错误的主
机路由。或者把PC和内网资源的网关均指向VPN设备,测试是 否能通信。 E、关闭内网资源服务器上的杀毒软件和防火墙再测试一下。
故障五 通过VPN某些服务器不能访问,某些可以
A、检查VPN设备上的配置(内网权限、VPN-LAN规则、查 看不能访问的服务器IP是否被设置到了虚拟IP池);
B、如果ping对端VPN设备公网IP的延时小于内网主机IP的 延时,则修改传输模式看是否修复。
C、修改VPN连接端口,修改成常用的端口,例如81等,避 免公网运营商对高端口进行流控限制。
D、检查VPN设备出口流量是否较大;在带宽有限的情况下, 如果公网流量较大,也会导致VPN数据传输较慢的情况。
一、登录不了SANGFOR设备网关控制台
第一种情况:不知道设备的IP地址,登录不了SANGFOR设备的网关控制台。
C、如果使用上述两种方法都登录不了AC/SG的控制台,可以尝试使用交叉线接 电口恢复默认配置的方法恢复AC/SG的出厂配置(请谨慎使用此方法,此方 法会导致设备原有的配置丢失),恢复出厂配置后,使用出厂IP登录设备的 控制台,LAN口IP是10.251.251.251/24,DMZ口IP是10.252.252.252/24。
B、PC配置同SANGFOR设备万能IP同网段的IP,使用万能IP登录设备控制台。 SANFOR AC/SG设备路由模式(网桥和旁路模式下均没有万能IP的说法)的 LAN口万能IP为128.127.125.252/28,其他SANGFOR 产品LAN口的万能IP是 10.111.222.33/30 如果不确认AC/SG设备的工作模式,可以尝试用PC连接设备的DMZ口,使用 DMZ口出厂IP(10.252.252.252/24)登录设备,很多时候客户没有使用DMZ 口,故DMZ口的IP有可能还是保留出厂配置。
的MAC地址,此时可以通过换一台PC拨号来证实。这种情况需联系运营商重 新绑定SANGFOR设备WAN口的MAC地址 7)提示出现 “ppp unit has been used”之类的,可能设备在重复拨号,可以重 启下设备再拨号试下
VPN总部设备需要上网更新webagent地址,而分支设 备需要访问webagent地址获得总部VPN设备的公网IP地址。
B、某些运营商封堵了80端口的访问,可以尝试把VPN总部 webagent更新端口改成8080端口来更新。例如: www.sinfors.com:8080/ssl/xxx.php 的形式。
E、检查内网通讯是否正常(内网是否有arp欺骗,电脑中病 毒的情况)
F、判断VPN设备是否性能不足(看CPU,内存占用情况等)
其他常见问题排查指导
一、登录不了SANGFOR设备网关控制台
第一种情况:不知道设备的IP地址,登录不了SANGFOR设备的网关控制台。
A、PC直接连SANGFOR设备的LAN口,在PC上使用Findme或者网关升级客户端 搜索SANGFOR设备的IP,通过搜索到的设备IP登录网关控制台(电脑要配置 同网段的IP地址)
如果使用SANGFOR设备拨号,发现拨号断的比较频繁,请检查拨号参数设置,
ADSL拨号参数推荐设置成20,80,3,光纤拨号参数推荐设置成60,240,9
2. 通过SANGFOR设备拨不上号,电脑可以拨上
SANGFOR S5100的网口不支持自动翻转,如果客户使用的是不支持线序自动 翻转的modem(如华为MT800),并使用直通线连接设备和modem,则会出 现设备拨不上号的情况。 解决办法是更换交叉线连接设备和modem,或者在设备和modem之间加个小 交换机。
如果电脑直接接设备,PING不通设备的IP,可以尝试电脑换其他同网段的IP地 址再试下,有可能是因为电脑的IP被包含在设备设置的虚拟IP池范围内,导致数 据包被VPN抓走。
一、登录不了SANGFOR设备网关控 制台
第二种情况:确认设备的IP地址是正确的,但是登录不了控制台
C、如果电脑可以PING通设备的IP,但是登录不了控制台,那么从电脑上telnet 设备控制台的端口(AC和加速是TCP 443,SSL控制台端口是TCP1000)看是否能 通,如果不能通,telnet TCP51111(升级客户端的连接端口)端口看是否能通。
如果电脑接设备的LAN口telnet 设备控制台端口和51111端口均不通,有可能设 备上做了错误的全端口映射导致,可以尝试电脑接设备的其他网口,再登录控பைடு நூலகம்制台试下,如果可以从其他网口登录设备控制台,检查防火墙端口映射配置, 删除错误的全端口映射规则。
二、拨号常见问题排查和解决办法
1. 通过SANGFOR设备拨号经常断
一、登录不了SANGFOR设备网关控 制台
第二种情况:确认设备的IP地址是正确的,但是登录不了控制台
A、首先确认登录设备控制台的电脑IP是否和设备的IP同网段,如果不在同网段, 确认是否路由可达
B、如果电脑和设备是同网段或者路由可达的,尝试PING下设备的IP地址,看是 否能PING通,如果不能PING通,可以尝试电脑直接接设备的LAN口,配置和设 备LAN口同网段IP,看是否可以ping通和登录控制台,排除是否内网原因。
1)Authentication failure. PAP authentication failed. PAP用户认证失败,请确保填写的是正确的用户名和密码。 2)CHAP authentication failed. CHAP用户认证失败,请确保填写的是正确的用户名和密码。
二、拨号常见问题排查和解决办法
A、查看系统日志的提示
B、检查设备的部署方式和配置;(例如排除VPN两端在同 一局域网来连VPN;设备本身被限制无法上网等原因)
C、检查VPN连接的配置(webagent、帐号等);
D、测试总部的VPN端口是否能通,总部单臂模式下,如果 启用UDP传输,注意前置网络设备要做UDP4009端口的映 射;
故障三 VPN不稳定,频繁断 开
A、尝试换传输模式(分支设备的连接管理处修改),看是否修 复。
B、修改总部VPN连接的端口,改成常用的低端口,如81等,避 免运营商对高端口做了限制。
C、如果有设置VPN的多线路策略,修改多线路策略看是否稳定 D、反向连接,把原来的VPN分支端和总部端配置互换,改成由
二、拨号常见问题排查和解决办法
3. 一直处于等待中,无法拨号成功
检查设备连接modem的WAN口(WAN1对应eth2)的MAC地址是否为 00-00-00-00-00-00,如果是,重启设备,或者重启网卡,MAC地址仍然 是全0的话,则可以认为是硬件故障需要返修。
4. 其他拨号不成功的原因,请详细参照拨号日志提示
另一端发起连接,看是否稳定。
故障四 VPN已经建立,但访问不到内网资源
A、从最靠近内网资源的VPN设备上测试能否访问内网资源; (通过网关升级客户端登录到VPN设备上进行PING测试)
B、PING对端设备的LAN口地址看是否能ping通 C、检查配置(内网权限、VPN-LAN规则、时间计划); D、两端都检查路由设置,可以通过 tracert观察数据流走到了哪
深信服 IPSEC VPN 常见问题排错思路
IPSEC常见问题排查 指导
IPSEC常见问题排错指导
1. VPN无法建立连接 2.Webagent无法更新成功 3. VPN不稳定,频繁断开 4. 通过VPN访问不到内网资源 5. 通过VPN访问不到部分服务器 6. 通过VPN访问服务器慢
故障一 VPN无法建立连接
E、检查是否两端VPN设备上是否做了端口全映射或者映射 了VPN连接的端口到内网;
F、确认两端VPN设备的版本是否匹配
G、测试两端VPN设备之间的网络是否可达(ping或收发包 测试);
H、尝试修改VPN设备接口的MTU;
故障二 Webagent无法更新成功
A、确保VPN总部设备和分支设备均能上外网(设备配置的 IP和DNS均正确,能解析到域名和访问公网)。
B、检查两端的路由设置,确认数据能到达服务器。 检查PC和服务器上的路由设置,看是否有错误的主机路
由。 C、把PC和服务器的网关均指向VPN设备,测试是否能通信。 D、检查服务器或PC上的杀毒软件和FW是否有限制。
故障六 觉得VPN慢或VPN隧道内数 据传输慢
A、ping对端VPN设备的公网IP和内网主机IP,比较延时 。 (可ping大包测试)
里,必须确保双向访问均能到达; 检查PC和内网资源服务器上的路由设置,看是否有错误的主
机路由。或者把PC和内网资源的网关均指向VPN设备,测试是 否能通信。 E、关闭内网资源服务器上的杀毒软件和防火墙再测试一下。
故障五 通过VPN某些服务器不能访问,某些可以
A、检查VPN设备上的配置(内网权限、VPN-LAN规则、查 看不能访问的服务器IP是否被设置到了虚拟IP池);
B、如果ping对端VPN设备公网IP的延时小于内网主机IP的 延时,则修改传输模式看是否修复。
C、修改VPN连接端口,修改成常用的端口,例如81等,避 免公网运营商对高端口进行流控限制。
D、检查VPN设备出口流量是否较大;在带宽有限的情况下, 如果公网流量较大,也会导致VPN数据传输较慢的情况。
一、登录不了SANGFOR设备网关控制台
第一种情况:不知道设备的IP地址,登录不了SANGFOR设备的网关控制台。
C、如果使用上述两种方法都登录不了AC/SG的控制台,可以尝试使用交叉线接 电口恢复默认配置的方法恢复AC/SG的出厂配置(请谨慎使用此方法,此方 法会导致设备原有的配置丢失),恢复出厂配置后,使用出厂IP登录设备的 控制台,LAN口IP是10.251.251.251/24,DMZ口IP是10.252.252.252/24。
B、PC配置同SANGFOR设备万能IP同网段的IP,使用万能IP登录设备控制台。 SANFOR AC/SG设备路由模式(网桥和旁路模式下均没有万能IP的说法)的 LAN口万能IP为128.127.125.252/28,其他SANGFOR 产品LAN口的万能IP是 10.111.222.33/30 如果不确认AC/SG设备的工作模式,可以尝试用PC连接设备的DMZ口,使用 DMZ口出厂IP(10.252.252.252/24)登录设备,很多时候客户没有使用DMZ 口,故DMZ口的IP有可能还是保留出厂配置。
的MAC地址,此时可以通过换一台PC拨号来证实。这种情况需联系运营商重 新绑定SANGFOR设备WAN口的MAC地址 7)提示出现 “ppp unit has been used”之类的,可能设备在重复拨号,可以重 启下设备再拨号试下
VPN总部设备需要上网更新webagent地址,而分支设 备需要访问webagent地址获得总部VPN设备的公网IP地址。
B、某些运营商封堵了80端口的访问,可以尝试把VPN总部 webagent更新端口改成8080端口来更新。例如: www.sinfors.com:8080/ssl/xxx.php 的形式。
E、检查内网通讯是否正常(内网是否有arp欺骗,电脑中病 毒的情况)
F、判断VPN设备是否性能不足(看CPU,内存占用情况等)
其他常见问题排查指导
一、登录不了SANGFOR设备网关控制台
第一种情况:不知道设备的IP地址,登录不了SANGFOR设备的网关控制台。
A、PC直接连SANGFOR设备的LAN口,在PC上使用Findme或者网关升级客户端 搜索SANGFOR设备的IP,通过搜索到的设备IP登录网关控制台(电脑要配置 同网段的IP地址)
如果使用SANGFOR设备拨号,发现拨号断的比较频繁,请检查拨号参数设置,
ADSL拨号参数推荐设置成20,80,3,光纤拨号参数推荐设置成60,240,9
2. 通过SANGFOR设备拨不上号,电脑可以拨上
SANGFOR S5100的网口不支持自动翻转,如果客户使用的是不支持线序自动 翻转的modem(如华为MT800),并使用直通线连接设备和modem,则会出 现设备拨不上号的情况。 解决办法是更换交叉线连接设备和modem,或者在设备和modem之间加个小 交换机。
如果电脑直接接设备,PING不通设备的IP,可以尝试电脑换其他同网段的IP地 址再试下,有可能是因为电脑的IP被包含在设备设置的虚拟IP池范围内,导致数 据包被VPN抓走。
一、登录不了SANGFOR设备网关控 制台
第二种情况:确认设备的IP地址是正确的,但是登录不了控制台
C、如果电脑可以PING通设备的IP,但是登录不了控制台,那么从电脑上telnet 设备控制台的端口(AC和加速是TCP 443,SSL控制台端口是TCP1000)看是否能 通,如果不能通,telnet TCP51111(升级客户端的连接端口)端口看是否能通。
如果电脑接设备的LAN口telnet 设备控制台端口和51111端口均不通,有可能设 备上做了错误的全端口映射导致,可以尝试电脑接设备的其他网口,再登录控பைடு நூலகம்制台试下,如果可以从其他网口登录设备控制台,检查防火墙端口映射配置, 删除错误的全端口映射规则。
二、拨号常见问题排查和解决办法
1. 通过SANGFOR设备拨号经常断
一、登录不了SANGFOR设备网关控 制台
第二种情况:确认设备的IP地址是正确的,但是登录不了控制台
A、首先确认登录设备控制台的电脑IP是否和设备的IP同网段,如果不在同网段, 确认是否路由可达
B、如果电脑和设备是同网段或者路由可达的,尝试PING下设备的IP地址,看是 否能PING通,如果不能PING通,可以尝试电脑直接接设备的LAN口,配置和设 备LAN口同网段IP,看是否可以ping通和登录控制台,排除是否内网原因。