iT邦幫忙

0

『已解決』Ubiquiti EdgeRouter X SFP 設定 IPsec Site-to-Site VPN 卡關

【help】ubiquiti edgerouter x sfp 設定 ipsec site-to-site vpn 卡關
1833 2023-01-13 23:46:011399 瀏覽

  • 分享至 

  • xImage

使用 Ubiquiti EdgeRouter X 做 Site to Site VPN 想將兩網域聯通.......持續卡關中;兩端網路服務皆是今網寬頻已請今網技術部門開啟VPN Port。
依照"EdgeRouter - 修改 IPsec Site-to-Site VPN 的默認配置"說明開啟;
IPsec 相關的端口和協議是:
UDP 500 (IKE)
Protocol 50 (ESP)
UDP 4500 (NAT-T)

https://ithelp.ithome.com.tw/upload/images/20230113/20138244YzkXsTBHWE.png

https://ithelp.ithome.com.tw/upload/images/20230113/20138244o7fvXUbOny.png

https://ithelp.ithome.com.tw/upload/images/20230113/201382445whU1riVV3.png

登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
zyman2008
iT邦大師 6 級 ‧ 2023-01-15 11:22:48
最佳解答

下列幾個檢查步驟, (附圖是我的測試環境供參考, 相關IP或介面請依你的環境值設定)

  1. 設定請把 Automatically open firewall and exclude from NAT 開啟.
  2. Peer 是設定今網寬頻幫你開的另一端的 public IP 或是 DNS name.
    https://ithelp.ithome.com.tw/upload/images/20230115/20020804NG9Volo3YG.jpg
  3. 從一端的 LAN ping 另一端的 LAN IP. (例如從 192.168.1.x ping 192.168.2.x)
  4. 先用CLI確認VPN是否有建立起來, $ show vpn ipsec state
    https://ithelp.ithome.com.tw/upload/images/20230115/200208047WqwYFMUZu.jpg
  5. 如果沒有建立, 到 Toolbox 用 Packet Capture 工具看是否有IKE(UDP port 500)的封包收送. (先設好packet capture,你的case interface是設eth5,抓個100個包,按 Start. 再做步驟3的ping測試)
    如果你是在 A 這台,要確認packet capture下面test result是否有看到 192.168.254.24:500->對端的public IP:500, 和對端的public IP:500->192.168.254.24:500 的封包)
    https://ithelp.ithome.com.tw/upload/images/20230115/20020804y8h7t8Pr7C.jpg
  • 如果沒有對端的public IP:500->192.168.254.24:500 的封包, 要在對端也開 packet capture看是否有收到封包. 沒有的話要請今網那邊檢查NAT是否開對.
  • 如果有封包, 就要用CLI看 vpn log找問題, $ show vpn log (有需要可以把log私我,再幫你看)
看更多先前的回應...收起先前的回應...
1833 iT邦新手 4 級 ‧ 2023-01-16 05:14:40 檢舉

須從頭開始練

https://ithelp.ithome.com.tw/upload/images/20230116/20138244DjKzZsYUK0.pnghttps://ithelp.ithome.com.tw/upload/images/20230116/20138244OMewj3KFCx.pnghttps://ithelp.ithome.com.tw/upload/images/20230116/201382444iGQhDGFCL.pnghttps://ithelp.ithome.com.tw/upload/images/20230116/20138244NunIMRUvdM.png

zyman2008 iT邦大師 6 級 ‧ 2023-01-16 08:57:13 檢舉

你這些 NAT port forwarding 目的是 ?
https://ithelp.ithome.com.tw/upload/images/20230116/20020804ME88EN4ih3.jpg
如果只是 EdgeRouter 對 EdgeRouter 要建 IPSec. 是不需要做這設定的.

1833 iT邦新手 4 級 ‧ 2023-01-16 12:30:35 檢舉

https://ithelp.ithome.com.tw/upload/images/20230116/20138244FxSf4Rw3gp.pnghttps://ithelp.ithome.com.tw/upload/images/20230116/20138244hRtae3oVGh.png

zyman2008 iT邦大師 6 級 ‧ 2023-01-16 16:01:26 檢舉

Peer IP 要填對方的公有IP. (截圖記得後製一下把公有IP資訊抹掉,不要公開的貼出來)
https://ithelp.ithome.com.tw/upload/images/20230116/200208041VqDJNksOn.jpg

1833 iT邦新手 4 級 ‧ 2023-01-17 00:45:27 檢舉

https://ithelp.ithome.com.tw/upload/images/20230117/201382448AlgyJgvyc.png

兩端Peer IP改成公有IP,確實有IKE(UDP port 500)封包,但是依然PING不到另一端Local IP,兩端VPN都還是沒起來。

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙