针对IPsec VPN主要出现的问题

针对IPsec VPN主要出现的问题：

---

第一个：北京ASA5520出现的问题

• 全局配置了本地isakmp标识后，很多设备都必须要明确指出，否则无法建立ike sa
  crypto isakmp identity hostname （标识，可以有不同的类型，但意义类似）

此配置，主要是针对山石防火墙无法建立IKE SA而起的

• IKE策略执行顺序，是从上往下，可能会引起IKE策略匹配出问题，慎重
• NAT豁免，可能因版本不一样而配置不一样，另外需要注意的是豁免NAT的接口针对此次北京是DMZ不是inside，这个要看清楚

例如：ASA5520

!
object network vpn-nonat
 subnet 10.220.1.0 255.255.255.0
object network vpn-to-nj-1
 host 10.96.11.8
object network vpn-to-nj-2
 host 10.10.1.99
object network vpn-fenghai
 subnet 192.168.30.0 255.255.255.0
!
nat (inside,outside) source static 192.168.10.0 192.168.10.0 destination static NETWORK_OBJ_172.16.20.0_24 NETWORK_OBJ_172.16.20.0_24 no-proxy-arp route-lookup
nat (outside,dmz) source static any any destination static outside-map dmz-server service P-MAP P-MAP
nat (dmz,outside) source static vpn-nonat vpn-nonat destination static vpn-to-nj-2 vpn-to-nj-2
nat (dmz,outside) source static vpn-nonat vpn-nonat destination static vpn-to-nj-1 vpn-to-nj-1
nat (dmz,outside) source static vpn-nonat vpn-nonat destination static vpn-fenghai vpn-fenghai
!

也有的版本配置如下：

ASA5520(config)#access-list NONAT permit ip 192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.0 #不进行NAT转换
ASA5520(config)#nat (inside) 0 access-list NONAT 豁免技术
ASA5520(config)#nat (inside) 1 192.168.20.0 255.255.255.0
ASA5520(config)#global (outside) 1 interface

第二个：南京第一家（山石防火墙）出现IKE策略无法建立的问题

问题一：ASA上配置了pfs，而山石防火墙上没配置
方法：  配置上了相应的pfs就ok

问题二：IKE阶段1策略，ASA能起来，山石不行
原因： 山石需要明确指定对端的ISAKMP标示
方法： ASA全局配置ISAKMP标示后，山石指定了ok

第三个：南京第二家cisco路由器出现隧道无法建立的问题（但北京ASA已经完全建立）

问题1：南京在cisco的路由器上配置IKE的时候，没有配置对端ISAKMP的标示hostname（ciscoasa）  
方法： 明确配置后，立即解决

问题二：南京路由器不支持IKEv1
方法： 直接使用IKEv2解决

第四：南京第三家（封海）USG5100防火墙出现单通的问题

问题一：vpn隧道已完全建立，但是北京ping南京内网通，而南京内网ping不通北京  
原因：  南京丰海的外网接口上启用了nat转换，同时又配置了源nat策略  
方法：  取消外网接口上的nat转换，就开始执行源nat策略了（vpn隧道流量不走nat的计数器就增加了）  

问题二：由于配置vpn期间，把另外一家L2TP_VPN搞出问题了
原因： 排查IPsec_VPN故障期间，删除了某些配置，导致出了问题，具体尚未找到
方法： 由于没保存配置，重启了防火墙，恢复了之前的业务

问题三：排查L2TP_VPN故障期间，OA业务无法正常访问
原因： 排查故障期间，virtual-template模板地址设置为了 192.168.30.253跟OA地址冲突了
方法： 删除virtual-template 0的地址，恢复OA访问

问题四：防火墙重启后，重新配置了IPsec_VPN，出现单通，南京可以访问北京，北京无法访问南京
原因： USG5100的untrust 到 trunst方向的policy中没有显示添加允许北京的内网段访问南京，并且默认这个方向的策略动作为禁止
方法： 在untrust 到 trust方向中添加北京的VPN内网段访问南京VPN内网段，并将策略执行的动作改为允许解决

可以通过抓包发现很多的问题

ASA命令：

debug命令系列

capture的命令

access-list tac permit ip host 192.168.190.2 any
access-list tac permit ip any host 192.168.190.2
capture test access-list tac interface test
show capture test
show asp drop 查看drop 丢包
packet-tracer input inside icmp 192.168.1.123 8 0 192.168.100.2
方向接口协议测试PC地址对端inside 接口地址

清除会话

特权模式下：clear....

USG命令：

display firewall session table verbose source inside 192.168.30.1 destination inside 10.220.1.6
source和destination的 inside和global都可以改变以获取不通的参考

debug

debugging ike ....
debugging ipsec ...
debugging ip packet-trace acl ... ##先创建acl再调用

清除会话

特权模式下：reset