Vpn

無法建立可靠的 VPN 隧道(ShrewSoft 客戶端/ZyWALL USG-50 防火牆)

  • June 27, 2014

我嘗試通過我的防火牆 (ZyWall USG-50) 設置一個 IPSec VPN 隧道,但它不能正常工作。

我的安裝快速方案:

ME [A.B.C.D] --- **INTERNET** 
                     |
                     |
              [A2.B2.C2.D2] **ROUTER** [192.168.0.254]
                                           |
                                           | (DMZ) 
                                           |
                                  [192.168.0.250] **ZyWall USG50** [192.168.169.1] 
                                                                        |
                                                                        |
                                                                        |
                                                           LAN1 [[192.168.169.0/24]]
  • ABCD : 我的 IP 地址
  • A2.B2.C2.D2 : 我的路由器的 IP 地址
  • 192.168.0.0/24 是我的路由器和我的 ZyWall 之間的網路(Zywall 在我路由器的 DMZ 上)
  • 我想訪問的區域網路是 192.168.169.0/24
  • 我們的 VPN 客戶端:ShrewSoft

我已經在我的 Zywall 上設置了 VPN_gateway 和 VPN_connection。我的 ShrewSoft 配置似乎不錯,但啟用隧道後,我失去了網際網路連接,無法 ping LAN1 上的設備。

Zywall 日誌:

(從下到上):

16
2014-06-27 14:07:27
info
IKE
The cookie pair is : 0xd5ee179c993e0210 / 0xd5866913901fc739 [count=5]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
17
2014-06-27 14:07:27
info
IKE
Recv:[HASH][NOTIFY:R_U_THERE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
18
2014-06-27 14:07:27
info
IKE
The cookie pair is : 0xd5866913901fc739 / 0xd5ee179c993e0210
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
19
2014-06-27 14:07:12
info
IKE
Send:[HASH][NOTIFY:R_U_THERE_ACK]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
20
2014-06-27 14:07:12
info
IKE
The cookie pair is : 0xd5ee179c993e0210 / 0xd5866913901fc739
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
21
2014-06-27 14:07:12
info
IKE
Recv:[HASH][NOTIFY:R_U_THERE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
22
2014-06-27 14:07:12
info
IKE
The cookie pair is : 0xd5866913901fc739 / 0xd5ee179c993e0210
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
23
2014-06-27 14:07:12
notice
Firewall
priority:11, from WAN to ZyWALL, UDP, service Default_Allow_WAN_To_ZyWALL, ACCEPT
A.B.C.D:56175
192.168.0.250:500
ACCESS FORWARD
***************************
24
2014-06-27 14:06:57
info
IKE
Dynamic Tunnel [IPSEC_GATEWAY:IPSEC_CONNECTION:0xc7101df2] rekeyed successfully
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
25
2014-06-27 14:06:57
info
IKE
[ESP des-cbc|hmac-sha1-96][SPI 0x21a0e0db|0xc7101df2][Lifetime 3620]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
26
2014-06-27 14:06:57
info
IKE
Dynamic Tunnel [IPSEC_GATEWAY:IPSEC_CONNECTION:0xdc10a224] built successfully
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
27
2014-06-27 14:06:57
info
IKE
[ESP des-cbc|hmac-sha1-96][SPI 0x3bd528f6|0xdc10a224][Lifetime 3620]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
28
2014-06-27 14:06:57
info
IKE
[Policy: ipv4(192.168.169.0-192.168.169.255)-ipv4(192.168.43.115)] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
29
2014-06-27 14:06:57
info
IKE
[Responder:192.168.0.250][Initiator:A.B.C.D] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
30
2014-06-27 14:06:57
info
IKE
Recv:[HASH] [count=2]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
31
2014-06-27 14:06:57
info
IKE
Send:[HASH][SA][NONCE][ID][ID] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
32
2014-06-27 14:06:57
info
IKE
Recv:[HASH][SA][NONCE][ID][ID] [count=2]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
33
2014-06-27 14:06:57
info
IKE
Recv:[HASH][NOTIFY:INITIAL_CONTACT]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
34
2014-06-27 14:06:57
info
IKE
Phase 1 IKE SA process done
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
35
2014-06-27 14:06:57
info
IKE
Send:[ID][HASH]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
36
2014-06-27 14:06:57
info
IKE
Recv:[ID][HASH]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
37
2014-06-27 14:06:57
info
IKE
Send:[KE][NONCE]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
38
2014-06-27 14:06:57
info
IKE
Recv:[KE][NONCE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
39
2014-06-27 14:06:56
notice
Firewall
priority:11, from WAN to ZyWALL, UDP, service Default_Allow_WAN_To_ZyWALL, ACCEPT
A.B.C.D:56175
192.168.0.250:500
ACCESS FORWARD

我遵循了 Zywall Docs 中的每個步驟以及 shrewSoft 社區的各種文章,但我顯然錯過了一些東西……

如果有人看到這些日誌可能出現問題,我將不勝感激!(或一些開始故障排除的想法)謝謝。

$$ … $$但是當隧道啟用時,我失去了網際網路連接,我無法在我的 LAN1 上 ping 設備

失去網際網路連接的問題聽起來很像“拆分隧道”問題。如果您沒有在 VPN 配置中啟用拆分隧道,則來自您的 VPN 客戶端的所有流量都將通過您的 VPN 網關。

啟用拆分隧道時,您的 VPN 客戶端將接收特定路由,因此只會在 VPN 隧道中發送感興趣的流量。

至於另一個問題(無法 ping LAN1 上的設備),可能會發生三件事。

  1. 如果您嘗試使用設備名稱 ping,您顯然需要您的 VPN 配置將 DNS 伺服器“發送”到 VPN 客戶端,該客戶端將解析 LAN1 網路上的名稱。您可以通過使用其 IP ping 設備來檢查是否是問題所在。如果它工作,這是一個DNS問題。
  2. 可能缺少某些防火牆規則。您可能必須明確告訴防火牆允許來自和發往 VPN 客戶端的流量。這應該通過查看防火牆上的流量日誌來驗證。
  3. 有些路線可能會失去。您沒有提及您的 VPN 客戶端獲得的 IP,但您必須確保客戶端知道如何路由到 LAN1 網路。您顯然還需要確保 LAN1 上的設備知道如何路由您在 VPN 客戶端使用的任何子網。這可以通過檢查 LAN1 中兩台設備上的路由表以及連接到 VPN 隧道後的 VPN 客戶端上的路由表來驗證。

引用自:https://serverfault.com/questions/608434

相關問答

Windows-Server-2008-R2

我是否需要具有 2 個防火牆 DMZ 解決方案的 LAN 中的路由器?

  • October 5, 2018
檢視問答
Vpn

類似於 Hamachi、R emobo 或 GBridge 的 VPN 軟體?

  • June 29, 2018
檢視問答
Vpn

OpenVpn + 沒有防火牆和 NAT 的網際網路

  • May 22, 2017
檢視問答
Vpn

當 VPN 在 DD-WRT 路由器和單獨的 VPN/直接客戶端上停止時,如何阻止網際網路訪問?

  • October 30, 2015
檢視問答
Vpn

通過雙NAT(路由器+ISP)訪問內部ip(家庭伺服器)

  • May 13, 2015
檢視問答
Vpn

暴露 VPN 遠端的機器

  • December 15, 2014
檢視問答