无法建立可靠的VPN隧道(ShrewSoft client / ZyWALL USG-50防火墙)
无法建立可靠的VPN隧道(ShrewSoft client / ZyWALL USG-50防火墙)
提问于 2014-06-27 13:07:39
我试图通过我的防火墙( IPSec USG-50)设置一个ZyWall VPN隧道,但它的工作方式并不像它应该的那样。
快速安装方案:
ME [A.B.C.D] --- **INTERNET**
|
|
[A2.B2.C2.D2] **ROUTER** [192.168.0.254]
|
| (DMZ)
|
[192.168.0.250] **ZyWall USG50** [192.168.169.1]
|
|
|
LAN1 [[192.168.169.0/24]]- A.B.C.D :我的IP地址
- A2.B2.C2.D2 :我的路由器的IP地址
- 192.168.0.0/24是我的路由器和我的ZyWall之间的网络(Zywall位于路由器的DMZ上)
- 我想进入的局域网是192.168.169.0/24
- 我们的VPN客户端: ShrewSoft
我已经在我的Zywall上设置了VPN_gateway和VPN_connection。我的ShrewSoft配置似乎很好,但是当隧道启用时,我失去了互联网连接,我无法在LAN1上切换设备。
Zywall日志:
(自下而上):
16
2014-06-27 14:07:27
info
IKE
The cookie pair is : 0xd5ee179c993e0210 / 0xd5866913901fc739 [count=5]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
17
2014-06-27 14:07:27
info
IKE
Recv:[HASH][NOTIFY:R_U_THERE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
18
2014-06-27 14:07:27
info
IKE
The cookie pair is : 0xd5866913901fc739 / 0xd5ee179c993e0210
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
19
2014-06-27 14:07:12
info
IKE
Send:[HASH][NOTIFY:R_U_THERE_ACK]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
20
2014-06-27 14:07:12
info
IKE
The cookie pair is : 0xd5ee179c993e0210 / 0xd5866913901fc739
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
21
2014-06-27 14:07:12
info
IKE
Recv:[HASH][NOTIFY:R_U_THERE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
22
2014-06-27 14:07:12
info
IKE
The cookie pair is : 0xd5866913901fc739 / 0xd5ee179c993e0210
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
23
2014-06-27 14:07:12
notice
Firewall
priority:11, from WAN to ZyWALL, UDP, service Default_Allow_WAN_To_ZyWALL, ACCEPT
A.B.C.D:56175
192.168.0.250:500
ACCESS FORWARD
***************************
24
2014-06-27 14:06:57
info
IKE
Dynamic Tunnel [IPSEC_GATEWAY:IPSEC_CONNECTION:0xc7101df2] rekeyed successfully
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
25
2014-06-27 14:06:57
info
IKE
[ESP des-cbc|hmac-sha1-96][SPI 0x21a0e0db|0xc7101df2][Lifetime 3620]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
26
2014-06-27 14:06:57
info
IKE
Dynamic Tunnel [IPSEC_GATEWAY:IPSEC_CONNECTION:0xdc10a224] built successfully
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
27
2014-06-27 14:06:57
info
IKE
[ESP des-cbc|hmac-sha1-96][SPI 0x3bd528f6|0xdc10a224][Lifetime 3620]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
28
2014-06-27 14:06:57
info
IKE
[Policy: ipv4(192.168.169.0-192.168.169.255)-ipv4(192.168.43.115)] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
29
2014-06-27 14:06:57
info
IKE
[Responder:192.168.0.250][Initiator:A.B.C.D] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
30
2014-06-27 14:06:57
info
IKE
Recv:[HASH] [count=2]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
31
2014-06-27 14:06:57
info
IKE
Send:[HASH][SA][NONCE][ID][ID] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
32
2014-06-27 14:06:57
info
IKE
Recv:[HASH][SA][NONCE][ID][ID] [count=2]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
33
2014-06-27 14:06:57
info
IKE
Recv:[HASH][NOTIFY:INITIAL_CONTACT]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
34
2014-06-27 14:06:57
info
IKE
Phase 1 IKE SA process done
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
35
2014-06-27 14:06:57
info
IKE
Send:[ID][HASH]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
36
2014-06-27 14:06:57
info
IKE
Recv:[ID][HASH]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
37
2014-06-27 14:06:57
info
IKE
Send:[KE][NONCE]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
38
2014-06-27 14:06:57
info
IKE
Recv:[KE][NONCE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
39
2014-06-27 14:06:56
notice
Firewall
priority:11, from WAN to ZyWALL, UDP, service Default_Allow_WAN_To_ZyWALL, ACCEPT
A.B.C.D:56175
192.168.0.250:500
ACCESS FORWARD我遵循Zywall中的每一步,以及shrewSoft社区的各种帖子,但我显然错过了一些东西.
如果有人发现这些日志可能出错,我会很感激的!(或一些开始故障排除的想法)谢谢。
回答 1
Server Fault用户
回答已采纳
发布于 2014-06-27 17:24:38
...但是当隧道启用时,我失去了我的互联网连接,我不能在我的LAN1
上切换设备
失去互联网连接的问题听起来就像一个“分裂隧道”的问题。如果您没有在VPN配置中启用拆分隧道,来自VPN客户端的所有流量都将通过您的VPN网关。
启用拆分隧道时,您的VPN客户端将接收特定的路由,因此只会在VPN隧道中发送有趣的流量。
至于另一个问题(不能在LAN1上使用ping设备),有三种情况可以发生。
- 如果您试图使用设备名称,您显然需要您的虚拟专用网配置“发送”一个DNS服务器到VPN客户端,该客户端将解析LAN1网络上的名称。你可以通过使用if点击设备来检查这是否是问题所在。如果有效的话,那就是DNS问题。
- 可能缺少一些防火墙规则。您可能必须显式地告诉防火墙允许来自VPN客户端和向VPN客户端的通信量。应该通过查看防火墙上的流量日志来验证这一点。
- 有些路线可能漏掉了。您没有提到您的VPN客户端获得了什么IP,但是您必须确保客户端知道如何路由到LAN1网络。显然,您还需要确保LAN1上的设备知道如何路由您在VPN客户端使用的任何子网。这可以通过检查LAN1中的两个设备上的路由表和连接到VPN隧道的VPN客户端上的路由表来验证。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/608434
复制相关文章
相似问题
腾讯云开发者
