IPSecVPN 故障排查方式

一、IPSecVPN 两阶段建立不成功 

第1阶段：

1.    两端设备互连 IP 地址不可达（以及是否允许ESP协议、UDP500端口等）

2.    出接口选择错误，必须选择设备的出接口

3.    两端IKE安全提议参数不匹配

4.    预共享密钥 pre-share key 不相同

5.    IPSec 协议与 NAT 转换冲突原因。设备发起 IPSecVPN 协商报文经过NAT 设备，造成原始 IPSecVPN 的协商端口 UDP 500 被改变，并且中间 NAT 转换设备不支持 VPN 的 NAT 穿越。 正常 IPSecVPN 协商经过NAT 需要使用 UDP 4500 进行协商和传输数据。

第2阶段：

1.    封装协议和模式不同

2.   Ipsec proposal 参数不匹配

3.   两端Security ACL或IKE Peer地址不匹配

4.   基于策略模式的 IPSecVPN，待加密数量流两端不对称。

5.   没有策略应用到接口上。

6.  remote-id 类型和数值不匹配

二、IPSecVPN 建立成功后数据不通

1）基于路由模式的 IPSecVPN

1.    Tunnel 接口没有关联安全域

2.    VPN 路由创建错误，选择下一跳错误，或无回包路由

3.    Tunnel 所属安全域与内网安全域之间无策略互通

2）基于策略模式的 IPSecVPN

1.    IPSecVPN 关联策略未置顶Hillstone Lab Handbook

2.    SNAT 排除 IPSecVPN 加密流量的规则未置顶

3、IPSecVPN trouble-shooting 命令

三. 观察 VPN 两阶段是否建立成功

1.    display ike sa 查看第一阶段是否建立成功

2.   display ipsec sa 查看第二阶段是否建立成功

3.display ike error-info 查看IKE SA建立失败的原因

IKE协商IPSec隧道失败的常见原因