17
2024
06
20:05:42

Secospace USG6350 与某友商ipsec vpn建立不起来

问题描述

版本:V500R001C60SPC500
问题:USG6350与某友商设备IPSEC建立不起来,IKE V1 阶段一直在协商。Debug显示:Dropping Duplicate
      清除IKE SA重新协商还是一样。

告警信息

deguggin显示:

<USG6300>debugging ikev1 error  
<USG6300> Apr 14 2018 17:46:11.480.1+08:00 USG6300 IKE/7/IKE_Debug: IKE_ERROR 17:7131 Message from peer 119.254.158.2: Dropping Duplicate

处理过程

1、查看会话有来回,说明IKE协商报文双方都能收发:


[USG6300-diagnose]disp firewall  session table verbose source-port inside 500
2018-04-14 18:01:34.930 +08:00
  Current Total Sessions : 1
  udp  VPN: public --> public  ID: a58f38bb9efc0292345ad2372a
  Zone: local --> untrust  TTL: 00:02:00  Left: 00:01:58
  Recv Interface: InLoopBack0
  Interface: GigabitEthernet1/0/5  NextHop: 182.48.Y.X  MAC: 000f-e265-333f
  <--packets: 392 bytes: 68,372 --> packets: 326 bytes: 92,016
  182.48.Y.Y:500 --> 119.254.X.X:500 PolicyName: 1


2、查看信息ike sa状态,第一阶段处于NEG:

[USG6300-diagnose]disp  ike sa
2018-04-14 17:55:56.380 +08:00

IKE SA information :
    Conn-ID    Peer                  VPN                             Flag(s)               Phase
   ----------------------------------------------------------------------------------------------
    124        119.254.X.X:500                                     NEG|A                 v1:1   
 
   Number of IKE SA : 1
   ----------------------------------------------------------------------------------------------

   Flag Description:
   RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
   HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP
   M--ACTIVE   S--STANDBY   A--ALONE  NEG—NEGOTIATING


3、第一阶段协商不起来,一般是由于IKE参数不一致,

对比两边配置,发现参数都是一致:

本设备关键参数配置:

#
ipsec proposal prop1447488302
 encapsulation-mode auto
 esp authentication-algorithm sha2-256 sha1 md5
 esp encryption-algorithm aes-256-gcm-128 aes-256 3des des
#
ike proposal 1
 encryption-algorithm 3des
 dh group2
 authentication-algorithm md5
 sa duration 28800
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256

对端设备配置:

 

4、经确认:和Paloalto对接IPSec,如果不存在NAT穿越的场景,需要在本端IKE对等体视图下关闭NAT穿越功能(undo nat traversal),不然IKE第一阶段协商会失败。

5、关闭NAT穿越后,IPSEC建立成功。


根因

USG默认开启NAT穿越,友商没有开启,与此友商建立USB必须要关闭NAT穿越,否则无法建立成功。

解决方案

USG6350的ike peer试图下面,关闭NAT穿越(undo nat traversal),重新协商后建立成功。




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/6671.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:Network | 浏览:139 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

您的IP地址是: