IPsec vpn早上可以建立连通,到了中午就不通,求指点

设备型号为90D,对端是600C,VPN是通过动态DNS建立的,对端的600C由于是总部建立了比较多的VPN。通过在90D上dianose debug application ike -1截图得到命令行一直提示 request is on the queue,在日志查看那里看到VPN的阶段一是已经建立起来了,但是就是一直没有收到阶段二建立的信息。
参数方面检查过也是没啥问题,因为之前VPN是可以通的,现在想请教一下是什么原因导致VPN建立不起来。
QQ图片20150506114709.png QQ图片20150506115024.png QQ图片20150506115327.jpg
已邀请:

sky00 - 上海道天-lsk

赞同来自:

同样阶段2起不来

kmliu - Fortinet-TAC

赞同来自:

IPsec VPN的问题从来都是不通过一个描述就可以判断出问题在哪儿的。
需要跟多的线索,比如配置还有抓包情况
 
 
第二阶段是否开启自动协商?对方是什么设备?

kmliu - Fortinet-TAC

赞同来自:

IPsec VPN隧道起不来的问题:
首先,确认UDP 500/4500 双方通信是否正常
diagnose sniffer packet any "host 116.6.100.241 and  ( port 500 or port 4500)" 4     //IP换成对方公网IP

然后,通过日志,debug app ike 确认问题是再第一阶段还是第二阶段
diagnose vpn ike  log-filter name SZFT  // 第一阶段名称
diagnose vpn ike log-filter dst-addr4 116.6.100.241  //IP换成对方公网IP 
diagnose debug  application ike  -1
diagnose debug  enable 

注意事项:debug app ike的时候要注意,自己不要主动发起连接,需要把第一阶段/第二阶段的自动协商关闭
注意一:可能需要关掉一阶段第二阶段的自动协商
BJLab-240D # config vpn ipsec phase1-interface 
BJLab-240D (phase1-interface) # edit VPN
BJLab-240D (VPN) # set auto-negotiate disable 
BJLab-240D (VPN) # end
BJLab-240D # config vpn ipsec phase2-interface 
BJLab-240D (phase1-interface) # edit VPN
BJLab-240D (VPN) # set auto-negotiate disable 
BJLab-240D (VPN) # end

注意二:有时候需要重置IPsec VPN的连接
diagnose vpn tunnel reset 
diagnose vpn ike restart 

要回复问题请先登录注册