Vpn

無法建立可靠的 VPN 隧道(ShrewSoft 客戶端/ZyWALL USG-50 防火牆)

  • June 27, 2014

我嘗試通過我的防火牆 (ZyWall USG-50) 設置一個 IPSec VPN 隧道,但它不能正常工作。

我的安裝快速方案:

ME [A.B.C.D] --- **INTERNET** 
                     |
                     |
              [A2.B2.C2.D2] **ROUTER** [192.168.0.254]
                                           |
                                           | (DMZ) 
                                           |
                                  [192.168.0.250] **ZyWall USG50** [192.168.169.1] 
                                                                        |
                                                                        |
                                                                        |
                                                           LAN1 [[192.168.169.0/24]]
  • ABCD : 我的 IP 地址
  • A2.B2.C2.D2 : 我的路由器的 IP 地址
  • 192.168.0.0/24 是我的路由器和我的 ZyWall 之間的網路(Zywall 在我路由器的 DMZ 上)
  • 我想訪問的區域網路是 192.168.169.0/24
  • 我們的 VPN 客戶端:ShrewSoft

我已經在我的 Zywall 上設置了 VPN_gateway 和 VPN_connection。我的 ShrewSoft 配置似乎不錯,但啟用隧道後,我失去了網際網路連接,無法 ping LAN1 上的設備。

Zywall 日誌:

(從下到上):

16
2014-06-27 14:07:27
info
IKE
The cookie pair is : 0xd5ee179c993e0210 / 0xd5866913901fc739 [count=5]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
17
2014-06-27 14:07:27
info
IKE
Recv:[HASH][NOTIFY:R_U_THERE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
18
2014-06-27 14:07:27
info
IKE
The cookie pair is : 0xd5866913901fc739 / 0xd5ee179c993e0210
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
19
2014-06-27 14:07:12
info
IKE
Send:[HASH][NOTIFY:R_U_THERE_ACK]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
20
2014-06-27 14:07:12
info
IKE
The cookie pair is : 0xd5ee179c993e0210 / 0xd5866913901fc739
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
21
2014-06-27 14:07:12
info
IKE
Recv:[HASH][NOTIFY:R_U_THERE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
22
2014-06-27 14:07:12
info
IKE
The cookie pair is : 0xd5866913901fc739 / 0xd5ee179c993e0210
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
23
2014-06-27 14:07:12
notice
Firewall
priority:11, from WAN to ZyWALL, UDP, service Default_Allow_WAN_To_ZyWALL, ACCEPT
A.B.C.D:56175
192.168.0.250:500
ACCESS FORWARD
***************************
24
2014-06-27 14:06:57
info
IKE
Dynamic Tunnel [IPSEC_GATEWAY:IPSEC_CONNECTION:0xc7101df2] rekeyed successfully
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
25
2014-06-27 14:06:57
info
IKE
[ESP des-cbc|hmac-sha1-96][SPI 0x21a0e0db|0xc7101df2][Lifetime 3620]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
26
2014-06-27 14:06:57
info
IKE
Dynamic Tunnel [IPSEC_GATEWAY:IPSEC_CONNECTION:0xdc10a224] built successfully
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
27
2014-06-27 14:06:57
info
IKE
[ESP des-cbc|hmac-sha1-96][SPI 0x3bd528f6|0xdc10a224][Lifetime 3620]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
28
2014-06-27 14:06:57
info
IKE
[Policy: ipv4(192.168.169.0-192.168.169.255)-ipv4(192.168.43.115)] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
29
2014-06-27 14:06:57
info
IKE
[Responder:192.168.0.250][Initiator:A.B.C.D] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
30
2014-06-27 14:06:57
info
IKE
Recv:[HASH] [count=2]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
31
2014-06-27 14:06:57
info
IKE
Send:[HASH][SA][NONCE][ID][ID] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
32
2014-06-27 14:06:57
info
IKE
Recv:[HASH][SA][NONCE][ID][ID] [count=2]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
33
2014-06-27 14:06:57
info
IKE
Recv:[HASH][NOTIFY:INITIAL_CONTACT]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
34
2014-06-27 14:06:57
info
IKE
Phase 1 IKE SA process done
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
35
2014-06-27 14:06:57
info
IKE
Send:[ID][HASH]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
36
2014-06-27 14:06:57
info
IKE
Recv:[ID][HASH]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
37
2014-06-27 14:06:57
info
IKE
Send:[KE][NONCE]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
38
2014-06-27 14:06:57
info
IKE
Recv:[KE][NONCE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
39
2014-06-27 14:06:56
notice
Firewall
priority:11, from WAN to ZyWALL, UDP, service Default_Allow_WAN_To_ZyWALL, ACCEPT
A.B.C.D:56175
192.168.0.250:500
ACCESS FORWARD

我遵循了 Zywall Docs 中的每個步驟以及 shrewSoft 社區的各種文章,但我顯然錯過了一些東西……

如果有人看到這些日誌可能出現問題,我將不勝感激!(或一些開始故障排除的想法)謝謝。

$$ … $$但是當隧道啟用時,我失去了網際網路連接,我無法在我的 LAN1 上 ping 設備

失去網際網路連接的問題聽起來很像“拆分隧道”問題。如果您沒有在 VPN 配置中啟用拆分隧道,則來自您的 VPN 客戶端的所有流量都將通過您的 VPN 網關。

啟用拆分隧道時,您的 VPN 客戶端將接收特定路由,因此只會在 VPN 隧道中發送感興趣的流量。

至於另一個問題(無法 ping LAN1 上的設備),可能會發生三件事。

  1. 如果您嘗試使用設備名稱 ping,您顯然需要您的 VPN 配置將 DNS 伺服器“發送”到 VPN 客戶端,該客戶端將解析 LAN1 網路上的名稱。您可以通過使用其 IP ping 設備來檢查是否是問題所在。如果它工作,這是一個DNS問題。
  2. 可能缺少某些防火牆規則。您可能必須明確告訴防火牆允許來自和發往 VPN 客戶端的流量。這應該通過查看防火牆上的流量日誌來驗證。
  3. 有些路線可能會失去。您沒有提及您的 VPN 客戶端獲得的 IP,但您必須確保客戶端知道如何路由到 LAN1 網路。您顯然還需要確保 LAN1 上的設備知道如何路由您在 VPN 客戶端使用的任何子網。這可以通過檢查 LAN1 中兩台設備上的路由表以及連接到 VPN 隧道後的 VPN 客戶端上的路由表來驗證。

引用自:https://serverfault.com/questions/608434