山石网科防火墙----VPN--debug思路

已于 2024-08-12 16:37:04 修改
阅读量92 收藏 2
点赞数 5
分类专栏: 防火墙专栏 文章标签: 网络
于 2024-08-12 16:36:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoutong2323/article/details/141124787
版权

文章目录

前言

工作中碰见山石的防火墙,调试VPN过程中发现web页面没有路由追踪的功能,需要登录后台使用debug,手动追踪报文匹配情况。

一.常见debug页面

页面中红框enctype中显示双方协商的加密算法不一致,因此出现报错显示协商不成功 

 二.IPsec协商成功后数据不通排查思路

  1. 使用debug检查:debug dp basic 和debug dp ipsec 查看数据包加解密
  2. 检查路由和peer配置中gateway是否一致
  3. 检查双方的配置是否一致
  4. 多vpn实例时tunnel逆向路由关闭
  5. 对端设备是否允许ping
  6. 策略模式不支持直接ping对端内网网关接口

常用命令

第一步:
   查看cpu状态:show cpu detail
   查看IKE SA 状态:show isakmp sa
   查看IPsec SA 状态:show ipsec sa
   查看debug协商日志筛选不成功原因:show logging debug
第二步:
   查看IPsec 第一阶段配置:show isakmp peer
   查看IPsec 第二阶段配置:show tunnel ipsec auto
   判断双方配置是否一致,不一致需要进行更改,详细见下图
第三步:
    清除指定IP第一阶段协商日志:clear isakmp sa 192.168.1.1
    清除第一阶段的协商状态,使其重新协商:clear isakmp sa
    查看debug日志:show logging debug
第四步:
    查看tunnel口是否绑定IPsec-vpn:show configuration interface tunnel
    查看路由:对端内网的下一跳是否指向tunnel口,若路由中tunnel前含有网关
             那么tunnel口也需要绑定相同网关,具体操作见下方图解
第五步:
    在防火墙上debug,测试报文是否可达防火墙,查看策略是否匹配

辅助命令:
   查看debug-vpn 策略表:show vpn-filter
   debug指定IP的IPsec流量:debug vpn filter ip 192.168.1.1
   查看IPsec协商过程:debug vpn ike

 更改第一阶段协商参数:

  • tunnel口绑定网关 

总结

北 染 星 辰
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
防火墙性能测试实战篇-测试仪
悦分享
06-16 2054
防火墙性能测试标准RFC1242介绍了RFC2544测试所用到的术语。http://www.ietf.org/rfc/rfc1242.txtRFC2544介绍了路由设备(防火墙)性能测试方法,主要是3层的测试。http://www.ietf.org/rfc/rfc2544.txtRFC2544测试吞吐量吞吐量是衡量一款设备转发数据包能力的测试。这个数据是衡量一款防火墙或者路由交换设备的最重要的指标。测试吞吐量首先根据标称性能确定被测试设备的可能吞吐量大小,这样来决定我们测试一款设备所需要的测试仪端口数量。如
山石网科防火墙DNAT常见问题基础排查
qq_41919868的博客
03-05 4752
山石网科防火墙DNAT常见问题基础排查
山石网科-Hillstone-PNP-***应用实战经验终结篇
weixin_33974433的博客
12-24 1197
各位晚上好自上次更新已经有了20多天没更新了罪过罪过。不过确实有一个令人振奋的消息需要主动的推送给大家。上周历经9个小时完成了Hillstone-HCSE的考试并通过了。这期间让我感触最深的就是细心和经验非常关键痴迷命令行的网工在考试中是有优势的因为命令行集中体现了思路、逻辑、快的三个特点所以这一次考试也算给自己在山石的售后近两年一个完美的交代。 ...
山石网科Hillstone防火墙L2TP详细配置步骤(官方最新版)
路与肥的博客
04-29 9218
山石网科Hillstone防火墙安全网关L2TP详细配置步骤(官方最新版)
山石网科-Hillstone-IPsec V_P_N常见故障debug排错心得终结版
weixin_34410662的博客
06-04 2664
嗨,各位好。相信各位过来点开的时候会鄙视一句“这厮,又来搞山石了”,哈哈没错,这次确实又来了,不过这次带了点排错的心得过来,希望给未来在常见的配置过程当中,不知道怎么排错时候有些帮助。说句真心话,山石(hillstone)确实挺好用的,不行你可以试试!!好了,废话少说。直接上菜ipsec的拓扑图,我临时画了一个,目的希望各位能有图看到,不然各位心里冒出千万个草泥马“NO pi...
山石网科PPPOE+IPsecVPN配置注意事项
normanhere的博客
04-27 484
隧道 有2种配置方法,一种是不配置IP地址,另外一种是配置IP地址 ,特别需要注意,如果配置IP地址(跑路由)那么隧道绑定这里也需要填写对端隧道口的路由信息(就是截图里面的网关必须写)其次分支机构因为是PPPOE拨号 ,所以 需要将自己指定为发起者 并且关闭对端存活检测(由于PPPOE分配到IP一来会发生变化,而来可能不是公网。同样的,如果隧道口配置了IP地址 则写静态路由的时候需要指定下一跳,如果不写隧道IP地址,下一跳空着。通过排查,首先排除隧道内NAT 详见图片1-2。最后安全策略放行,流量就通了。
Hillstone Version 5.5 NAT配置
动物寓言的Boom秘籍
08-06 3113
IPSEC VPN配置介绍;(建议两端设备最好使用相同的系统版本两端配置一致即可) 配置思路:1. 对象-->用户—>新建VPN登陆用户名密码 2.新建Ipsec VPN安全域 3.新建隧道接口配置IP地址(用作VPN连接时的网关)并绑定到SSLVPN安全域中(VPN需规划独立网段) ...
山石网科 HILLSTONE SG6000-NAV20-5.0R4P9.4 IPV6版
01-12
山石网科 HILLSTONE SG6000-NAV20固件5.0R4P9.4-v6,支持IPV6版固件
思科路由器对接山石网科防火墙——IPSec.doc
08-18
思科路由器对接山石网科防火墙——IPSec.doc
HCIE-DATACOM数通分解实验
05-20
HCIE-DATACOM数通分解实验: HCIE-MPLS-Inter-AS VPN(初始环境) HCIE-安全-双机热备 HCIE-安全-虚拟系统(场景1) HCIE-安全-虚拟系统(场景2)IPv6-ISATAP...HCIE-MPLS-Inter-AS VPN-RR(初始环境) HCIE-Qos-HQoS综合案例
HCIE-datacom讲解视频.zip
10-16
网盘文件永久链接 HCIE-datacom讲解视频 数通IE-datacom实验集训.mp3(1-11)
Tap-Windows Adapter 虚拟网卡
05-23
Tap-Windows Adapter 虚拟网卡 vpn 多联 神器
网络安全入门教程(非常详细)从零基础入门到精通,看完这一篇就够了。
2401_84466359的博客
08-12 304
这个方向更符合于大部分人对“黑客”的认知,他们能够黑手机、黑电脑、黑网站、黑服务器、黑内网,万物皆可黑(当然是要有授权的,不然进橘子我可不管),这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。是一种面向对象、直译式电脑编程语言,具有近二十年的发展历史,成熟且稳定。压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
深度解密CRLF注入与重定向漏洞:从原理到实践
2301_80064376的博客
08-08 890
重定向漏洞(Open Redirect)是一种安全漏洞,攻击者可以利用它将用户从受信任的网站重定向到恶意网站。这种漏洞通常出现在网站处理 URL 参数时,没有对用户输入进行适当验证。
开发android app用于移远模块读写IMEI 模组EC200DEULA-D08-SNNDA 支持socket连接读写IMEI
chenhao0568的专栏
08-07 375
发送{“function”: “write_imei”,“imei”: “860004050179648”}响应{“message”: “success”,“imei”: “860004050179648”}当结果正常时message为success,否则message给出英文具体原因,其它参数可能为空。发送{“function”: “read_imei”}响应{“message”: “success”}前面本地5902 转发到 后面设备为5902。PC与终端APP之间 json通信协议。
HAProxy基本配置及参数实操
Webston的博客
08-12 654
静态#动态#以下静态和动态取决于hash_type 是否consistentfirst #使用较少static-rr #做了session 共享的web集群leastconn #数据库source#基于客户端公网IP 的会话保持Uri--------------->http #缓存服务器,CDN服务商,蓝汛、百度、阿里云、腾讯url_param--------->http #可以实现session 保持hdr #基于客户端请求报文头部做下一步处理高。
『渗透面试思路』——内网篇
最新发布
qq_48368964的博客
08-12 99
内网渗透测试思路 1. 环境准备:在进行内网渗透测试之前,需要先了解目标内网的情况,包括 IP 地址、子网掩码、网关、DNS、域名信息等。同时,还需要准备测试环境,例如 Kali Linux 等渗透测试工具和平台。 2. 主机发现:在内网中,需要先进行主机发现,确定内网中存活的主机和服务。可以使用 Nmap 等扫描工具来进行主机发现和端口扫描。 3. 漏洞扫描:在确定内网中的主机和服务后,需要对其进行漏洞扫描,以便找出存在漏洞的主机和服务。可以使用 Nessus、OpenVAS 等漏洞扫描工具来进行漏
mpls vpn基础实验
wudongfang666的专栏
08-10 381
场景:异地两个站点通过mpls vpn骨干网络实现安全通讯虚拟路由转发 VRF ,相当于在设备内建立一条虚拟通道,一个vpn的实例(vrf)可以简单的理解为一台虚拟设备。拓扑图。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北 染 星 辰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值