核心內容結構與重點
常見的 VPN 類型:
Site-to-Site VPN: 連線兩個固定網路(如總部連分部)。
Remote Access VPN: 允許單個遠端使用者連線到企業網路。
核心協定: 介紹 IPsec (Internet Protocol Security) 協定套件。
階段 1: IKE (Internet Key Exchange) — 建立安全通道
目標: 互相認證(身份驗證)並建立一個加密的「管理通道」(ISAKMP SA)。
關鍵匹配項: 預共享金鑰 (Pre-Shared Key, PSK)、加密演算法、雜湊演算法、Diffie-Hellman 群組。
階段 2: IPsec — 建立數據通道
目標: 建立實際的「數據傳輸通道」(IPsec SA)。
關鍵匹配項: 封裝模式(Tunnel/Transport)、協定(ESP/AH)、加密與雜湊演算法。
| 故障類型 | 關鍵日誌訊息 (關鍵字) | 意義與排查方向 |
|---|---|---|
| 金鑰不匹配 | AUTH_FAILED 或 Pre-shared key mismatch |
排查: 檢查兩端配置的 預共享金鑰 (PSK) 是否完全相同(注意區分大小寫,無額外空格)。 |
| 參數不匹配 | NO_PROPOSAL_CHOSEN 或 no acceptable proposal |
排查: 兩端 IKE 階段 1 的 加密、雜湊或 Diffie-Hellman (DH) 群組 參數必須至少有一組是完全匹配的。 |
| 介面/地址錯誤 | No route to peer 或 local address mismatch |
排查: 檢查 VPN 對端的公有 IP 地址是否正確,並確保本機防火牆/路由器有正確的路由可以到達該地址。 |
| Policy 阻擋 | Action: Deny (VPN Service) |
排查: 檢查防火牆的安全規則(Policy)是否明確允許 UDP Port 500 (IKE) 和 UDP Port 4500 (NAT-T) 流量通過。 |
iThome鐵人賽
看影片追技術