iT邦幫忙

0

『已解決』Ubiquiti EdgeRouter X SFP 設定 IPsec Site-to-Site VPN 卡關

1833 2023-01-13 23:46:011605 瀏覽
  • 分享至 

  • xImage

使用 Ubiquiti EdgeRouter X 做 Site to Site VPN 想將兩網域聯通.......持續卡關中;兩端網路服務皆是今網寬頻已請今網技術部門開啟VPN Port。
依照"EdgeRouter - 修改 IPsec Site-to-Site VPN 的默認配置"說明開啟;
IPsec 相關的端口和協議是:
UDP 500 (IKE)
Protocol 50 (ESP)
UDP 4500 (NAT-T)

https://ithelp.ithome.com.tw/upload/images/20230113/20138244YzkXsTBHWE.png

https://ithelp.ithome.com.tw/upload/images/20230113/20138244o7fvXUbOny.png

https://ithelp.ithome.com.tw/upload/images/20230113/201382445whU1riVV3.png

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
zyman2008
iT邦大師 6 級 ‧ 2023-01-15 11:22:48
最佳解答

下列幾個檢查步驟, (附圖是我的測試環境供參考, 相關IP或介面請依你的環境值設定)

  1. 設定請把 Automatically open firewall and exclude from NAT 開啟.
  2. Peer 是設定今網寬頻幫你開的另一端的 public IP 或是 DNS name.
    https://ithelp.ithome.com.tw/upload/images/20230115/20020804NG9Volo3YG.jpg
  3. 從一端的 LAN ping 另一端的 LAN IP. (例如從 192.168.1.x ping 192.168.2.x)
  4. 先用CLI確認VPN是否有建立起來, $ show vpn ipsec state
    https://ithelp.ithome.com.tw/upload/images/20230115/200208047WqwYFMUZu.jpg
  5. 如果沒有建立, 到 Toolbox 用 Packet Capture 工具看是否有IKE(UDP port 500)的封包收送. (先設好packet capture,你的case interface是設eth5,抓個100個包,按 Start. 再做步驟3的ping測試)
    如果你是在 A 這台,要確認packet capture下面test result是否有看到 192.168.254.24:500->對端的public IP:500, 和對端的public IP:500->192.168.254.24:500 的封包)
    https://ithelp.ithome.com.tw/upload/images/20230115/20020804y8h7t8Pr7C.jpg
  • 如果沒有對端的public IP:500->192.168.254.24:500 的封包, 要在對端也開 packet capture看是否有收到封包. 沒有的話要請今網那邊檢查NAT是否開對.
  • 如果有封包, 就要用CLI看 vpn log找問題, $ show vpn log (有需要可以把log私我,再幫你看)
看更多先前的回應...收起先前的回應...
1833 iT邦新手 3 級 ‧ 2023-01-16 05:14:40 檢舉

須從頭開始練

https://ithelp.ithome.com.tw/upload/images/20230116/20138244DjKzZsYUK0.pnghttps://ithelp.ithome.com.tw/upload/images/20230116/20138244OMewj3KFCx.pnghttps://ithelp.ithome.com.tw/upload/images/20230116/201382444iGQhDGFCL.pnghttps://ithelp.ithome.com.tw/upload/images/20230116/20138244NunIMRUvdM.png

zyman2008 iT邦大師 6 級 ‧ 2023-01-16 08:57:13 檢舉

你這些 NAT port forwarding 目的是 ?
https://ithelp.ithome.com.tw/upload/images/20230116/20020804ME88EN4ih3.jpg
如果只是 EdgeRouter 對 EdgeRouter 要建 IPSec. 是不需要做這設定的.

1833 iT邦新手 3 級 ‧ 2023-01-16 12:30:35 檢舉

https://ithelp.ithome.com.tw/upload/images/20230116/20138244FxSf4Rw3gp.pnghttps://ithelp.ithome.com.tw/upload/images/20230116/20138244hRtae3oVGh.png

zyman2008 iT邦大師 6 級 ‧ 2023-01-16 16:01:26 檢舉

Peer IP 要填對方的公有IP. (截圖記得後製一下把公有IP資訊抹掉,不要公開的貼出來)
https://ithelp.ithome.com.tw/upload/images/20230116/200208041VqDJNksOn.jpg

1833 iT邦新手 3 級 ‧ 2023-01-17 00:45:27 檢舉

https://ithelp.ithome.com.tw/upload/images/20230117/201382448AlgyJgvyc.png

兩端Peer IP改成公有IP,確實有IKE(UDP port 500)封包,但是依然PING不到另一端Local IP,兩端VPN都還是沒起來。

我要發表回答

立即登入回答