Vpn
無法建立可靠的 VPN 隧道(ShrewSoft 客戶端/ZyWALL USG-50 防火牆)
我嘗試通過我的防火牆 (ZyWall USG-50) 設置一個 IPSec VPN 隧道,但它不能正常工作。
我的安裝快速方案:
ME [A.B.C.D] --- **INTERNET** | | [A2.B2.C2.D2] **ROUTER** [192.168.0.254] | | (DMZ) | [192.168.0.250] **ZyWall USG50** [192.168.169.1] | | | LAN1 [[192.168.169.0/24]]
- ABCD : 我的 IP 地址
- A2.B2.C2.D2 : 我的路由器的 IP 地址
- 192.168.0.0/24 是我的路由器和我的 ZyWall 之間的網路(Zywall 在我路由器的 DMZ 上)
- 我想訪問的區域網路是 192.168.169.0/24
- 我們的 VPN 客戶端:ShrewSoft
我已經在我的 Zywall 上設置了 VPN_gateway 和 VPN_connection。我的 ShrewSoft 配置似乎不錯,但啟用隧道後,我失去了網際網路連接,無法 ping LAN1 上的設備。
Zywall 日誌:
(從下到上):
16 2014-06-27 14:07:27 info IKE The cookie pair is : 0xd5ee179c993e0210 / 0xd5866913901fc739 [count=5] 192.168.0.250:500 A.B.C.D:56175 IKE_LOG *************************** 17 2014-06-27 14:07:27 info IKE Recv:[HASH][NOTIFY:R_U_THERE] A.B.C.D:56175 192.168.0.250:500 IKE_LOG *************************** 18 2014-06-27 14:07:27 info IKE The cookie pair is : 0xd5866913901fc739 / 0xd5ee179c993e0210 A.B.C.D:56175 192.168.0.250:500 IKE_LOG *************************** 19 2014-06-27 14:07:12 info IKE Send:[HASH][NOTIFY:R_U_THERE_ACK] 192.168.0.250:500 A.B.C.D:56175 IKE_LOG *************************** 20 2014-06-27 14:07:12 info IKE The cookie pair is : 0xd5ee179c993e0210 / 0xd5866913901fc739 192.168.0.250:500 A.B.C.D:56175 IKE_LOG *************************** 21 2014-06-27 14:07:12 info IKE Recv:[HASH][NOTIFY:R_U_THERE] A.B.C.D:56175 192.168.0.250:500 IKE_LOG *************************** 22 2014-06-27 14:07:12 info IKE The cookie pair is : 0xd5866913901fc739 / 0xd5ee179c993e0210 A.B.C.D:56175 192.168.0.250:500 IKE_LOG *************************** 23 2014-06-27 14:07:12 notice Firewall priority:11, from WAN to ZyWALL, UDP, service Default_Allow_WAN_To_ZyWALL, ACCEPT A.B.C.D:56175 192.168.0.250:500 ACCESS FORWARD *************************** 24 2014-06-27 14:06:57 info IKE Dynamic Tunnel [IPSEC_GATEWAY:IPSEC_CONNECTION:0xc7101df2] rekeyed successfully 192.168.0.250:500 A.B.C.D:56175 IKE_LOG *************************** 25 2014-06-27 14:06:57 info IKE [ESP des-cbc|hmac-sha1-96][SPI 0x21a0e0db|0xc7101df2][Lifetime 3620] 192.168.0.250:500 A.B.C.D:56175 IKE_LOG *************************** 26 2014-06-27 14:06:57 info IKE Dynamic Tunnel [IPSEC_GATEWAY:IPSEC_CONNECTION:0xdc10a224] built successfully 192.168.0.250:500 A.B.C.D:56175 IKE_LOG *************************** 27 2014-06-27 14:06:57 info IKE [ESP des-cbc|hmac-sha1-96][SPI 0x3bd528f6|0xdc10a224][Lifetime 3620] 192.168.0.250:500 A.B.C.D:56175 IKE_LOG *************************** 28 2014-06-27 14:06:57 info IKE [Policy: ipv4(192.168.169.0-192.168.169.255)-ipv4(192.168.43.115)] [count=2] 192.168.0.250:500 A.B.C.D:56175 IKE_LOG *************************** 29 2014-06-27 14:06:57 info IKE [Responder:192.168.0.250][Initiator:A.B.C.D] [count=2] 192.168.0.250:500 A.B.C.D:56175 IKE_LOG *************************** 30 2014-06-27 14:06:57 info IKE Recv:[HASH] [count=2] A.B.C.D:56175 192.168.0.250:500 IKE_LOG *************************** 31 2014-06-27 14:06:57 info IKE Send:[HASH][SA][NONCE][ID][ID] [count=2] 192.168.0.250:500 A.B.C.D:56175 IKE_LOG *************************** 32 2014-06-27 14:06:57 info IKE Recv:[HASH][SA][NONCE][ID][ID] [count=2] A.B.C.D:56175 192.168.0.250:500 IKE_LOG *************************** 33 2014-06-27 14:06:57 info IKE Recv:[HASH][NOTIFY:INITIAL_CONTACT] A.B.C.D:56175 192.168.0.250:500 IKE_LOG *************************** 34 2014-06-27 14:06:57 info IKE Phase 1 IKE SA process done 192.168.0.250:500 A.B.C.D:56175 IKE_LOG *************************** 35 2014-06-27 14:06:57 info IKE Send:[ID][HASH] 192.168.0.250:500 A.B.C.D:56175 IKE_LOG *************************** 36 2014-06-27 14:06:57 info IKE Recv:[ID][HASH] A.B.C.D:56175 192.168.0.250:500 IKE_LOG *************************** 37 2014-06-27 14:06:57 info IKE Send:[KE][NONCE] 192.168.0.250:500 A.B.C.D:56175 IKE_LOG *************************** 38 2014-06-27 14:06:57 info IKE Recv:[KE][NONCE] A.B.C.D:56175 192.168.0.250:500 IKE_LOG *************************** 39 2014-06-27 14:06:56 notice Firewall priority:11, from WAN to ZyWALL, UDP, service Default_Allow_WAN_To_ZyWALL, ACCEPT A.B.C.D:56175 192.168.0.250:500 ACCESS FORWARD
我遵循了 Zywall Docs 中的每個步驟以及 shrewSoft 社區的各種文章,但我顯然錯過了一些東西……
如果有人看到這些日誌可能出現問題,我將不勝感激!(或一些開始故障排除的想法)謝謝。
$$ … $$但是當隧道啟用時,我失去了網際網路連接,我無法在我的 LAN1 上 ping 設備
失去網際網路連接的問題聽起來很像“拆分隧道”問題。如果您沒有在 VPN 配置中啟用拆分隧道,則來自您的 VPN 客戶端的所有流量都將通過您的 VPN 網關。
啟用拆分隧道時,您的 VPN 客戶端將接收特定路由,因此只會在 VPN 隧道中發送感興趣的流量。
至於另一個問題(無法 ping LAN1 上的設備),可能會發生三件事。
- 如果您嘗試使用設備名稱 ping,您顯然需要您的 VPN 配置將 DNS 伺服器“發送”到 VPN 客戶端,該客戶端將解析 LAN1 網路上的名稱。您可以通過使用其 IP ping 設備來檢查是否是問題所在。如果它工作,這是一個DNS問題。
- 可能缺少某些防火牆規則。您可能必須明確告訴防火牆允許來自和發往 VPN 客戶端的流量。這應該通過查看防火牆上的流量日誌來驗證。
- 有些路線可能會失去。您沒有提及您的 VPN 客戶端獲得的 IP,但您必須確保客戶端知道如何路由到 LAN1 網路。您顯然還需要確保 LAN1 上的設備知道如何路由您在 VPN 客戶端使用的任何子網。這可以通過檢查 LAN1 中兩台設備上的路由表以及連接到 VPN 隧道後的 VPN 客戶端上的路由表來驗證。