VPN IPSec

VPN IPSec

vpn client使用过程中突然断开,再次连接出现用户资料错误,各位大神怎么解决?

回复

VPNqciiev 发起了问题 • 1 人关注 • 0 个回复 • 215 次浏览 • 2020-04-20 13:01 • 来自相关话题

苹果手机 如何和Fortigate 30E 建立VPN

FortiGatekmliu 回复了问题 • 2 人关注 • 1 个回复 • 253 次浏览 • 2020-03-12 23:47 • 来自相关话题

在创建ipsec vpn 时 ,双方 已经 UP 了, 在fortigate 的 ipsec monitor 里面显示如附件图片,互相PING 不通对方的地址?大概是啥原因呢?

FortiGategxowei 回复了问题 • 2 人关注 • 1 个回复 • 737 次浏览 • 2019-01-14 23:34 • 来自相关话题

ipsec vpn

VPN恒信致远张亮 回复了问题 • 2 人关注 • 1 个回复 • 575 次浏览 • 2018-12-29 09:10 • 来自相关话题

fortigate 和 ssg140 基于路由的模式 建设点到点的ipsec vpn

VPNkmliu 回复了问题 • 2 人关注 • 6 个回复 • 1016 次浏览 • 2018-12-14 15:42 • 来自相关话题

Dialer LAN TO LAN VPN 双NAT后部冗余问题

VPNdchina 回复了问题 • 2 人关注 • 6 个回复 • 1692 次浏览 • 2017-12-20 16:15 • 来自相关话题

IPsec VPN隧道建立正常但VPN业务却不稳定 甚至不通怎么办?

VPNkmliu 发表了文章 • 7 个评论 • 3003 次浏览 • 2017-09-08 23:23 • 来自相关话题

IPsec VPN隧道建立正常,但是业务却不通或十分不稳定?
以下讨论有一个前提:并不是因为配置原因导致的VPN业务不通或不稳定,防火墙配置是正常的,而只是ESP报文在互联网上传输异常,也就是说运营商转发ESP报文的时候存在异常,或者运营商干脆就直接丢弃了ESP报文,这样的话IPsec VPN隧道看上去是好的,但是实际上业务却无法通信的这种情况。
不适用于IPsec VPN的其他故障环境下。

如何判断是ESP报文被丢弃的问题呢?
其实只需要在设备上抓对应的ESP报文即可,如果只有OUT方向的ESP而没有任何的IN方向的ESP,基本上就可以判断是运营商将ESP丢包导致的业务不通。
 抓包命令:diagnose sniffer packet any "host 202.100.1.1 and esp" 4    
 当然对于十分频繁的ESP ERROR故障此方法也是效果的。

IPsec_VPN隧道建立正常但VPN业务却不稳定甚至不通怎么办?.pdf


 
 !!!!重要更新!!!!!
   新版本上有了进一步的更新:
上述方法过于复杂,只能在FOS5.2和5.0中使用,而新版本5.4和5.6中增加了一条命令,可以完美的规避这种复杂方法,只需要在第一阶段中把NAT-T功能强制开启即可,这样ESP的流量就会被UDP4500封装。具体参考命令行:
config vpn ipsec phase1-interface
    edit "电信VPN"
        set interface "wan2"
        set peertype any
        set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
        set nattraversal forced      ----在第一阶段中添加这条命令即可
        set remote-gw 119.100.1.35
        set psksecret ENC F7No+LaW8RRpGE2ZFNZPmiK+t8D9SSjbfF/sX597liHRSrw2rNT3EHixmfKWobhRdkS8NfCZZdvFRrxN+7CxP3sAjlnuozLWIFxrPKgT3e8qmT951wWHQfiZF2/cTYuWXtGNx1koKg9fSxe8euUJn9T5UMG7rqjbxAm28Wm9jgF530YIg3sSBMhwpP69YEipjz6A8w==
    next
end
 
 !!!!新版本只需要敲一条命令就可以搞定,不需要那么复杂的VDOM规划和配置!!!!!
 
注意:
有时需要重置IPsec VPN的连接(请谨慎使用,所有的VPN都会重新连接IKE,一般不需要使用这个命令)
diagnose vpn ike restart  //重新主动发起连接
diagnose vpn tunnel reset  //重置第二阶段
diagnose vpn ike gateway clear 查看全部
IPsec VPN隧道建立正常,但是业务却不通或十分不稳定?
以下讨论有一个前提:并不是因为配置原因导致的VPN业务不通或不稳定,防火墙配置是正常的,而只是ESP报文在互联网上传输异常,也就是说运营商转发ESP报文的时候存在异常,或者运营商干脆就直接丢弃了ESP报文,这样的话IPsec VPN隧道看上去是好的,但是实际上业务却无法通信的这种情况。
不适用于IPsec VPN的其他故障环境下。

如何判断是ESP报文被丢弃的问题呢?
其实只需要在设备上抓对应的ESP报文即可,如果只有OUT方向的ESP而没有任何的IN方向的ESP,基本上就可以判断是运营商将ESP丢包导致的业务不通。
 抓包命令:diagnose sniffer packet any "host 202.100.1.1 and esp" 4    
 当然对于十分频繁的ESP ERROR故障此方法也是效果的。

 
 !!!!重要更新!!!!!
   新版本上有了进一步的更新
上述方法过于复杂,只能在FOS5.2和5.0中使用,而新版本5.4和5.6中增加了一条命令,可以完美的规避这种复杂方法,只需要在第一阶段中把NAT-T功能强制开启即可,这样ESP的流量就会被UDP4500封装。具体参考命令行:
config vpn ipsec phase1-interface
    edit "电信VPN"
        set interface "wan2"
        set peertype any
        set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
        set nattraversal forced      ----在第一阶段中添加这条命令即可
        set remote-gw 119.100.1.35
        set psksecret ENC F7No+LaW8RRpGE2ZFNZPmiK+t8D9SSjbfF/sX597liHRSrw2rNT3EHixmfKWobhRdkS8NfCZZdvFRrxN+7CxP3sAjlnuozLWIFxrPKgT3e8qmT951wWHQfiZF2/cTYuWXtGNx1koKg9fSxe8euUJn9T5UMG7rqjbxAm28Wm9jgF530YIg3sSBMhwpP69YEipjz6A8w==
    next
end
 
 !!!!新版本只需要敲一条命令就可以搞定,不需要那么复杂的VDOM规划和配置!!!!!
 
注意:
有时需要重置IPsec VPN的连接(请谨慎使用,所有的VPN都会重新连接IKE,一般不需要使用这个命令)
diagnose vpn ike restart  //重新主动发起连接
diagnose vpn tunnel reset  //重置第二阶段
diagnose vpn ike gateway clear

FortiWAN如何与FortiGate建立IPsec VPN

VPNkmliu 发表了文章 • 0 个评论 • 758 次浏览 • 2017-09-08 23:17 • 来自相关话题

FortiWAN设备的IPsec VPN使用起来和FortiGate有很多不一样的地方,在配置FortiWAN的IPsec VPN的时候可能会遇到一些思路上的问题,本文将针对FortiWAN与FortiGate建立一次IPsec VPN,让大家熟悉一下二者IPsec VPN配置上的区别。 查看全部
FortiWAN设备的IPsec VPN使用起来和FortiGate有很多不一样的地方,在配置FortiWAN的IPsec VPN的时候可能会遇到一些思路上的问题,本文将针对FortiWAN与FortiGate建立一次IPsec VPN,让大家熟悉一下二者IPsec VPN配置上的区别。

IPsec VPN 单通。

VPN360rundll 回复了问题 • 3 人关注 • 2 个回复 • 1697 次浏览 • 2017-09-08 22:18 • 来自相关话题

vpn client使用过程中突然断开,再次连接出现用户资料错误,各位大神怎么解决?

回复

VPNqciiev 发起了问题 • 1 人关注 • 0 个回复 • 215 次浏览 • 2020-04-20 13:01 • 来自相关话题

苹果手机 如何和Fortigate 30E 建立VPN

回复

FortiGatekmliu 回复了问题 • 2 人关注 • 1 个回复 • 253 次浏览 • 2020-03-12 23:47 • 来自相关话题

ipsec vpn

回复

VPN恒信致远张亮 回复了问题 • 2 人关注 • 1 个回复 • 575 次浏览 • 2018-12-29 09:10 • 来自相关话题

fortigate 和 ssg140 基于路由的模式 建设点到点的ipsec vpn

回复

VPNkmliu 回复了问题 • 2 人关注 • 6 个回复 • 1016 次浏览 • 2018-12-14 15:42 • 来自相关话题

Dialer LAN TO LAN VPN 双NAT后部冗余问题

回复

VPNdchina 回复了问题 • 2 人关注 • 6 个回复 • 1692 次浏览 • 2017-12-20 16:15 • 来自相关话题

IPsec VPN 单通。

回复

VPN360rundll 回复了问题 • 3 人关注 • 2 个回复 • 1697 次浏览 • 2017-09-08 22:18 • 来自相关话题

IPsec VPN隧道建立正常但VPN业务却不稳定 甚至不通怎么办?

VPNkmliu 发表了文章 • 7 个评论 • 3003 次浏览 • 2017-09-08 23:23 • 来自相关话题

IPsec VPN隧道建立正常,但是业务却不通或十分不稳定?
以下讨论有一个前提:并不是因为配置原因导致的VPN业务不通或不稳定,防火墙配置是正常的,而只是ESP报文在互联网上传输异常,也就是说运营商转发ESP报文的时候存在异常,或者运营商干脆就直接丢弃了ESP报文,这样的话IPsec VPN隧道看上去是好的,但是实际上业务却无法通信的这种情况。
不适用于IPsec VPN的其他故障环境下。

如何判断是ESP报文被丢弃的问题呢?
其实只需要在设备上抓对应的ESP报文即可,如果只有OUT方向的ESP而没有任何的IN方向的ESP,基本上就可以判断是运营商将ESP丢包导致的业务不通。
 抓包命令:diagnose sniffer packet any "host 202.100.1.1 and esp" 4    
 当然对于十分频繁的ESP ERROR故障此方法也是效果的。

IPsec_VPN隧道建立正常但VPN业务却不稳定甚至不通怎么办?.pdf


 
 !!!!重要更新!!!!!
   新版本上有了进一步的更新:
上述方法过于复杂,只能在FOS5.2和5.0中使用,而新版本5.4和5.6中增加了一条命令,可以完美的规避这种复杂方法,只需要在第一阶段中把NAT-T功能强制开启即可,这样ESP的流量就会被UDP4500封装。具体参考命令行:
config vpn ipsec phase1-interface
    edit "电信VPN"
        set interface "wan2"
        set peertype any
        set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
        set nattraversal forced      ----在第一阶段中添加这条命令即可
        set remote-gw 119.100.1.35
        set psksecret ENC F7No+LaW8RRpGE2ZFNZPmiK+t8D9SSjbfF/sX597liHRSrw2rNT3EHixmfKWobhRdkS8NfCZZdvFRrxN+7CxP3sAjlnuozLWIFxrPKgT3e8qmT951wWHQfiZF2/cTYuWXtGNx1koKg9fSxe8euUJn9T5UMG7rqjbxAm28Wm9jgF530YIg3sSBMhwpP69YEipjz6A8w==
    next
end
 
 !!!!新版本只需要敲一条命令就可以搞定,不需要那么复杂的VDOM规划和配置!!!!!
 
注意:
有时需要重置IPsec VPN的连接(请谨慎使用,所有的VPN都会重新连接IKE,一般不需要使用这个命令)
diagnose vpn ike restart  //重新主动发起连接
diagnose vpn tunnel reset  //重置第二阶段
diagnose vpn ike gateway clear 查看全部
IPsec VPN隧道建立正常,但是业务却不通或十分不稳定?
以下讨论有一个前提:并不是因为配置原因导致的VPN业务不通或不稳定,防火墙配置是正常的,而只是ESP报文在互联网上传输异常,也就是说运营商转发ESP报文的时候存在异常,或者运营商干脆就直接丢弃了ESP报文,这样的话IPsec VPN隧道看上去是好的,但是实际上业务却无法通信的这种情况。
不适用于IPsec VPN的其他故障环境下。

如何判断是ESP报文被丢弃的问题呢?
其实只需要在设备上抓对应的ESP报文即可,如果只有OUT方向的ESP而没有任何的IN方向的ESP,基本上就可以判断是运营商将ESP丢包导致的业务不通。
 抓包命令:diagnose sniffer packet any "host 202.100.1.1 and esp" 4    
 当然对于十分频繁的ESP ERROR故障此方法也是效果的。

 
 !!!!重要更新!!!!!
   新版本上有了进一步的更新
上述方法过于复杂,只能在FOS5.2和5.0中使用,而新版本5.4和5.6中增加了一条命令,可以完美的规避这种复杂方法,只需要在第一阶段中把NAT-T功能强制开启即可,这样ESP的流量就会被UDP4500封装。具体参考命令行:
config vpn ipsec phase1-interface
    edit "电信VPN"
        set interface "wan2"
        set peertype any
        set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
        set nattraversal forced      ----在第一阶段中添加这条命令即可
        set remote-gw 119.100.1.35
        set psksecret ENC F7No+LaW8RRpGE2ZFNZPmiK+t8D9SSjbfF/sX597liHRSrw2rNT3EHixmfKWobhRdkS8NfCZZdvFRrxN+7CxP3sAjlnuozLWIFxrPKgT3e8qmT951wWHQfiZF2/cTYuWXtGNx1koKg9fSxe8euUJn9T5UMG7rqjbxAm28Wm9jgF530YIg3sSBMhwpP69YEipjz6A8w==
    next
end
 
 !!!!新版本只需要敲一条命令就可以搞定,不需要那么复杂的VDOM规划和配置!!!!!
 
注意:
有时需要重置IPsec VPN的连接(请谨慎使用,所有的VPN都会重新连接IKE,一般不需要使用这个命令)
diagnose vpn ike restart  //重新主动发起连接
diagnose vpn tunnel reset  //重置第二阶段
diagnose vpn ike gateway clear

FortiWAN如何与FortiGate建立IPsec VPN

VPNkmliu 发表了文章 • 0 个评论 • 758 次浏览 • 2017-09-08 23:17 • 来自相关话题

FortiWAN设备的IPsec VPN使用起来和FortiGate有很多不一样的地方,在配置FortiWAN的IPsec VPN的时候可能会遇到一些思路上的问题,本文将针对FortiWAN与FortiGate建立一次IPsec VPN,让大家熟悉一下二者IPsec VPN配置上的区别。 查看全部
FortiWAN设备的IPsec VPN使用起来和FortiGate有很多不一样的地方,在配置FortiWAN的IPsec VPN的时候可能会遇到一些思路上的问题,本文将针对FortiWAN与FortiGate建立一次IPsec VPN,让大家熟悉一下二者IPsec VPN配置上的区别。