华为USG65xx防火墙IPSec数据流加密的坑

warning: 这篇文章距离上次修改已过478天,其中的内容可能已经有所变动。

华为USG65xx防火墙IPSec数据流加密的坑

项目需要新增一个ip与对端网段进行通讯,本来以为很简单的一个acl ip增减的问题,但实际遇到了个大坑。

项目vpn一直是正常通讯的,起初在感兴趣流里加上了新增的ip 192.168.1.167,之后发现无论怎么设置防火墙,都ping不了对端,对端也ping不了这台机。display firewall session查看会话,发现根本没有icmp会话(但是有其它非icmp的会话,可以正常上网)。rdispaly ike sa 协商正常,eset ike sa 没起作用,display ipsec sa,发现加密的数据流只有1.98和lan10这个网段的,缺少1.167的加密策略。 在policy---security policy里把这个IP permit any ,并提到最前面,再测试,没效果,一路折腾,甚至还把1.167的ip改了,也没起作用。。。。

后来想到既然1.98能通,那干脆把它去掉,只保留一个看,于是测试一下,果然正常,ping了一下,通了!

因为印象中某个路由不支持多个单ip放到组里加密的,所以一直没对这个网段的两个ip放到一个组里,结果踩了个大坑! 以下是测试实验:

image-20230803105734418image-20230803105452112

image-20230803110139732

none
最后修改于:2023年08月03日 11:35

评论已关闭