• 1
  • 2
 
 
常見問題
 
 
 
 
 
常見問題
您當前的位置: 首頁>>服務與支持>>常見問題
【wall1600係列下一代防火牆】SRA認證後顯示狀態為“認證成功,隧道不存在”,保護子網顯示為不可訪問
發布時間:2016-11-11 丨 閱讀次數:635

首先建議確認SRA客戶端是否是5.1.X版本,目前建議使用5.1.12版本,兼容性會比較好;

1)、排查一:

查看PC的【設備管理器】-【網絡適配器】,需要顯示隱藏的設備(因為虛擬網卡是隱藏的屬性),查看是否存在IPSEC客戶端的虛擬網卡:

如果不存在的話,需要重新安裝客戶端程序確保可以安裝成功

2)、排查二:

需要確保PC到網關之間的協商端口udp500、udp4500是不是通行的。如果實在不能通,那麽可以嚐試開啟TTG選項進行協商。(網關上同樣要啟用TTG) TTG也有可能由於用戶線路80端被運營商禁用也協商不成功。

網關端也需要在debug賬號命令行下開啟TTG:ttgctl start

3)、排查三:

需要確認網關上麵是否存在同接口的網關到網關的服務器的配置,該網關到網關的配置的認證方式必須要雙選;

4)、排查四:

需要確保如果網關上存在同接口的網關到網關的服務器的配置,那麽這條隧道配置不能使用FQDN標識,因為SRA客戶端使用的也是FQDN標識,會衝突。

說明:

因為sra接入後的隧道配置是fqdn標識,而且是通配,所以同一接口的服務器配置中還有網關到網關也用fqdn標識的話  可能協商fqdn跑到sra隧道裏麵了,所以如果同一接口的服務器配置中還有網關到網關也用fqdn標識的話   那麽就一定要配置明細fqdn  不能再配置通配方式了。

5)、排查五:

PC的本機時間超過了VPN網關證書的有效期期限內。

6)、排查六:

網關的默認出廠的CA證書要保留,可以在管理界麵【PKI】-【證書管理】-【證書辦法機構】:

如果已經刪除掉了,需要重新導入默認CA證書進去。

7)、排查七:

可能VPN網關的本機證書出了問題,可以在【IPSEC VPN】-【重載設備證書】操作,然後查看日誌記錄:

如果看到上述日誌記錄“公鑰與私鑰匹配”的情況則表明證書操作是正常的。 如果顯示unmatch,那麽說明VPN網關證書公鑰和私鑰不匹配,需要修複網關的證書

8)、排查八:

win7係統要注意獲取的虛地址不能是4的倍數或4的倍數減1的值;如192.168.1.3或192.168.1.4 這種地址也會導致隧道協商失敗,日誌會提示多次協商超時;

 
 
雲南亚游集团科技有限公司版權所有 copyright@2016
地址:雲南省昆明市五華區中海學府路8號      電話:13987190222      備案號:備案號00000001
技術支持:雲創網絡  微商通  昆明網站建設