Search icon Choose location
 
Search icon

當 IPsec VPN 連線失敗時,我該怎麼辦?

故障排除
更新07-02-2024 07:03:09 AM 2356
這篇文章適用於: 

內容

目標

要求

介紹

故障排除步驟

Site to Site 模式

Client to Site 模式

結論

 

目標

本文提供針對 IPsec VPN 連線問題的詳細疑難排解步驟。

請根據您的 IPsec VPN 模式,遵循以下疑難排解步驟。

要求

本節介紹必要的條件,例如設備型號、控制器類型、軟體版本等。 每個條件都用一個項目符號表示。

  • 狀態 1
  • 狀態 2

介紹

網際網路協定安全(IPsec)是一套提供 IP 網路安全的協定和服務。它是一種廣泛使用的虛擬私人網路(VPN)技術。

IPsec VPN 要求遠端使用者安裝專用的 VPN Client 或在站點部署 VPN 閘道器。Client 端或閘道器會根據使用者身分驗證規則、安全策略規則或內容安全過濾來檢查使用者存取權限。

故障排除步驟

Site to Site 模式

步驟 1. 確保兩個站點閘道器的 WAN IP 位址可以互相 ping 通。

步驟 2. 登入控制器, 前往 設定 > 網路安全性 > 攻擊防範, 停用「封鎖 WAN 端 Ping」

步驟 3. 在連接到閘道器 1 的電腦上,ping 閘道器 2 的 WAN IP。

步驟 4. 驗證閘道器 1 是否擁有公有 IP,以及閘道器 2 是否位於 NAT 設備後方。

在 IPsec 設置中,將閘道器1的「遠端閘道」欄位填入 0.0.0.0 或位於閘道器 2 前方的 NAT 設備的公用 IP 位址。將閘道器 1 和閘道器 2 的「Negotiation Mode」分別設定為「Responder Mode」和「Initiator Mode」,並使用「名稱」作為識別名稱。

注意:在「Local ID Type」和「Remote ID Type」中,「名稱」模式在不同的廠商設備中可能會有不同的名稱,例如 FQDN。

步驟 5. 驗證閘道器 1 和閘道器 2 是否都位於 NAT 設備後方。

在閘道器 1 前方的 NAT 設備上,配置 NAT 轉發規則(UDP 500、4500)。其他配置與上一步相同。

步驟 6. 檢查兩個站點閘道器的基本配置是否匹配:遠端閘道、本地網路、遠端網段、共用金鑰和 WAN 介面。

步驟 7. 檢查兩個站點閘道器的 Phase-1 Settings 是否匹配:IKE 版本、Proposal、交換模式、Local ID 和 Remote ID。如果兩個閘道器之間存在 NAT 設備,請使用 「名稱」 模式作為識別名稱。

步驟 8. 檢查兩個站點閘道器的 Phase-2 配置是否匹配:Encapsulation Mode、Proposal 和完全前向保密(PFS)。預設情況下,使用 ESP 協定,因為 AH 無法穿透 NAT。

步驟 9. 檢查是否正在使用自動 IPsec。Auto IPsec 在控制器模式下可能無法建立連線。建議使用 Manual IPsec。

步驟 10. 確認您的 ISP 是否允許 IPsec 相關流量 (UDP 500, 4500) 通過。

步驟 11. 驗證兩個閘道器是否有封鎖 IPsec 相關流量的 ACL 規則。

Client to Site 模式

步驟 1. 確保 Client 端設備可以 ping 到閘道器的 WAN IP。

在控制器頁面,前往 設定 > 網路安全性 > 攻擊防範, 停用「封鎖 WAN 端 Ping」, 然後在 Client 端設備上 ping 閘道器的 WAN IP。

步驟 2. 登入控制器,前往 設定 > 網路安全性 > 攻擊防範, 停用「封鎖 WAN 端 Ping」.

步驟 3. 確認 Client 端設備型號。

  • 若用戶端設備使用 iOS作業系統,可作為閘道器前端的NAT設備。Local ID Type 和 Remote ID Type 須設定為「名稱」模式。
  • 若用戶端設備為 Samsung 設備,可作為閘道器前端的NAT設備。Local ID Type 和 Remote ID Type 須維持在預設的「IP位址」 模式。
  • 若用戶端設備為非 Samsung 的 Android 用戶端,則不是閘道器前方的 NAT 設備。設定 Local ID Type 為 IP Address 模式,Remote ID Type 設定為「名稱」模式。

步驟 4. 確認您的閘道配置。

  • 基本配置:在「遠端主機」欄位中填入 0.0.0.0 或 Client 前端設備的公有 IP 位址。
  • Phase-1 Settings:確保 IKE 版本與 Client 端一致。Proposal 可以設定為 sha256-aes256-dh14。選擇「Responder Mode」作為 Negotiation Mode。根據步驟 2 配置 Local ID Type 和 Remote ID Type。
  • Phase-2 Setting:Proposal 可以設定為 sha256-aes256-dh14。

步驟 5. 驗證 Proposal 是否匹配。

啟用 Port Mirroring 以進行封包擷取,並擷取與 IPsec 項目關聯的 WAN 介面的流量封包。

 

使用 Wireshark 篩選 ISAKMP 封包。如果閘道回覆的第一個 ISAKMP 封包包含有效負載:通知 (41) - NOPROPOSALCHOSEN,表示 Proposals 不匹配,如下圖所示。

 

Client 端發起的第一个 ISAKMP 包含所有安全 Porposals。您可以將閘道器的 Proposal 設定為包含該數據包中指定的選項。

結論

如果使用以上步驟仍然無法解決 IPsec VPN 問題,請透過熱線或電子郵件聯繫 TP-Link 取得支援。

若想進一步了解每個功能和配置的細節,請前往檔案下載下載您的產品手冊。

Related FAQs

更多相關文章

這篇faq是否有用?

您的反饋將幫助我們改善網站

Recommend Products

來自 United States?

取得您的地區產品、活動和服務。

前往 其他選項

This website uses cookies to improve website navigation, analyze online activities and have the best possible user experience on our website. You can object to the use of cookies at any time. You can find more information in our privacy policy . Don’t show again

This website uses cookies to improve website navigation, analyze online activities and have the best possible user experience on our website. You can object to the use of cookies at any time. You can find more information in our privacy policy . Don’t show again

Basic Cookies

These cookies are necessary for the website to function and cannot be deactivated in your systems.

TP-Link

accepted_local_switcher, tp_privacy_base, tp_privacy_marketing, tp_smb-select-product_scence, tp_smb-select-product_scenceSimple, tp_smb-select-product_userChoice, tp_smb-select-product_userChoiceSimple, tp_smb-select-product_userInfo, tp_smb-select-product_userInfoSimple, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Livechat

__livechat, __lc2_cid, __lc2_cst, __lc_cid, __lc_cst, CASID

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Analysis and Marketing Cookies

Analysis cookies enable us to analyze your activities on our website in order to improve and adapt the functionality of our website.

The marketing cookies can be set through our website by our advertising partners in order to create a profile of your interests and to show you relevant advertisements on other websites.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au

Facebook

_fbp

Crazy Egg

cebsp_, _ce.s, _ce.clock_data, _ce.clock_event, cebs

Hotjar

OptanonConsent, _sctr, _cs_s, _hjFirstSeen, _hjAbsoluteSessionInProgress, _hjSessionUser_14, _fbp, ajs_anonymous_id, _hjSessionUser_<hotjar-id>, _uetsid, _schn, _uetvid, NEXT_LOCALE, _hjSession_14, _hjid, _cs_c, _scid, _hjAbsoluteSessionInProgress, _cs_id, _gcl_au, _ga, _gid, _hjIncludedInPageviewSample, _hjSession_<hotjar-id>, _hjIncludedInSessionSample_<hotjar-id>

Linkedin

lidc, AnalyticsSyncHistory, UserMatchHistory, bcookie, li_sugr, ln_or