附上 虛擬器 加載共享文件 方式
sudo mount -t vboxsf down /mnt/share
其中 虛擬機用的 oracle 的 virtualbox 所以文件系統是 vboxsf
前提 虛擬機安裝增強功能
down 是 在虛擬機中的設備--》分配數據空間 查找win上的某個目錄 數據空間命名爲 down
/mnt/share 掛載在 /mnt/share 目錄上。
1.Checking that pluto is running
Checking that pluto is running [FAILED]
whack: is Pluto running? connect() for "/var/run/pluto/pluto.ctl" failed (111 Connection refused)
如果出現如上問題, 可以嘗試 sudo service ipsec restart 重啓服務 本人重啓後解決
2. NETKEY detected, testing for disabled ICMP send_redirects [FAILED]
NETKEY detected, testing for disabled ICMP accept_redirects [FAILED]
可以創建文件 dis.sh 放在 /home/xjp 目錄下 然後在 rc.local 中添加 /home/xjp/dis.sh 系統在每次開機時
執行 dis.sh 中內容,dis.sh 中內容如下:
#!/bin/bash
# Disable send redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth1/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/lo/send_redirects
# Disable accept redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/default/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth1/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/lo/accept_redirects
3.修改內核參數,防火牆
vi /etc/sysctl.conf 將下面兩項:
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
改爲:
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0
執行以下命令使設置生效:
sysctl -p
4.可以將nat設置添加到/etc/rc.local裏面,讓開機時自動執行
在LServer上執行以下命令設置NAT:
iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.0/24 -d 10.10.20.0/24 -j MASQUERADE
在RServer上執行以下命令設置NAT:
iptables -t nat -A POSTROUTING -o eth0 -s 10.10.20.0/24 -d 10.10.10.0/24 -j MASQUERADE
其他操作 可上google 搜索
另附上 網上找的 問題排查手冊
3.1 IPsec VPN故障排除基本思路
當IPsec VPN出現問題時,最直接的表現就是無法通過IPsec VPN訪問遠端內部網絡。按照具體的情況又分爲:IPsec隧道無法建立、IPsec隧道建立但無法訪問遠端內部網絡和IPsec隧道時斷時連。通過IPsec的debug信息檢測問題是比較快的,但需要使用者對debug信息比較熟悉。所以這裏介紹針對上面三種情況的一般檢測方法。
1. IPsec VPN隧道無法建立
檢測方法:使用show cry ike proposal <string>和sh cry ipsec proposal <string>命令查看ike和ipsec的策略兩端是否相同。使用sh cry policy <string>查看兩端數據流是否匹配。
2. IPsec隧道建立但無法訪問遠端內部網絡
檢測方法:sh ip esp查看是否有in和out的數據;查看訪問列表是否deny了受保護的數據流。
3. IPsec隧道時斷時連
檢測方法:查看物理線路是否時通時斷;查看是否有網點衝突。
3.2 IPsec VPN常見故障處理
故障一:IPsec VPN隧道無法建立
可能的原因 |
判斷方法和解決方案 |
1.兩端VPN設備無法互通 |
1. 從一端VPN設備ping另外一端,看是否能否ping通。如果不通,首先檢查網絡連接情況。 |
2.兩端VPN可以ping通,但是相互收不到IKE協商報文 |
1. 檢查VPN是否配置ACL或者前端是否有防火牆,禁止了IKE協商報文,需要在ACL或者防火牆上開放UDP500/4500端口; 2. 檢查發起方VPN的內網口是否UP,特別是3005C-104以SW接口作爲內網口,LAN口上沒有接PC,SW口無法UP,將導致擴展ping不通對端。 |
3.兩端VPN採用證書認證方式,但是沒有證書或者證書無效;採用預共享密鑰方式認證沒有配置密碼 |
1. 通過show cry ike sa查看IKE隧道狀態沒有任何信息; 2. 打開debug cry ike normal,提示%IKE-ERR: can't initiate, no available authentication material (cert/psk) ; 3. sh crypto ca certificates,查看證書是否有效。 |
4.兩端IKE和IPsec策略不一致 |
1. 如果採用主模式,查看IKE狀態停止在STATE_MAIN_I1,採用積極模式,IKE狀態停止在STATE_AGGR_I1,說明可能是兩端策略不一致,通過show cry ike proposal和show cry ipsec proposal查看兩端策略是否相同; 2. 打開debug cry ike normal,提示ignoring notification payload, type NO_PROPOSAL_CHOSEN 。 |
5.兩端VPN設備配置了ID不是IP地址作爲身份標識,而是域名或者其他,但是採用IKE協商採用主模式 |
1. 查看IKE KEY配置了identity,但是tunnel配置中配置了set mode main; 2. 查看IKE狀態停止在STATE_MAIN_I1狀態。 |
6.對端VPN設備配置錯誤ID或者沒有配置ID |
1. 查看IKE KEY配置了identity,但是tunnel配置中沒有配置ID; 2. 查看IKE狀態停止在STATE_AGGR_I1狀態; 3. 有%IKE-ERR: Aggressive Mode packet from 20.0.0.2:500 has invalid ID報錯。 |
7.兩端VPN設備不支持NAT穿越 |
1. 如果採用主模式,查看IKE狀態停止在STATE_MAIN_I2狀態,說明有可能VPN不支持NAT穿越,我們VPN默認支持,一般可能其他廠家VPN不支持。 |
8.兩端VPN設備預共享密鑰不一致 |
1. 如果採用主模式,查看IKE狀態停止在STATE_MAIN_I3狀態,說明有可能兩端VPN預共享密鑰配置不一致; 2. 通過show run cry key查看兩端的KEY是否相同。 |
9.兩端保護數據流不匹配 |
1. 查看IKE狀態停止在STATE_QUICK_I1狀態,說明有可能兩端VPN預共享密鑰配置不一致; 2. 通過show cry ipsec sa查看沒有ipsec隧道; 3. 日誌中有報錯:%IKE-ERR: cannot respond to IPsec SA request for instance-65666: 30.0.0.0/8:0/0 === 20.0.0.2 (20.0.0.2)... 20.0.0.1 (20.0.0.1)=== 192.168.0.0/16:0/0 |
& 注:
IKE第一階段採用積極模式,因爲積極模式進行IKE協商同時傳送與SA、密鑰交換和認證相關的載荷,所以一般IKE的錯誤都將導致IKE SA的狀態爲STATE_AGGR_I1。因此上述對IKE第一階段問題判斷基本都是基於主模式。
故障二:VPN隧道通,無法辦理業務
可能的原因 |
判斷方法和解決方案 |
1.業務數據走NAT,沒有走VPN隧道 |
1. 設備配置了NAT轉換,訪問列表沒有將VPN的業務數據deny,可以查看訪問列表來判斷; 2. 可以通過show cry ipsec sa或者show ip esp查看output的數據一直沒有增加; 3. 修改訪問列表,拒絕VPN數據走NAT轉換。 |
2.要訪問服務器沒有路由指向對端VPN網關或者網關設置不對 |
1. 在中心端VPN設備上ping服務器看能否ping通; 2. 第一步可以ping通,則可以在客戶端VPN設備上通過show cry ipsec sa或者show ip esp查看output的數據有增加,但是input的數據一直沒有增加,在中心端VPN設備相反,有input的數據,但是沒有output; 3. 設置服務器對應的下端網段路由應該指向中心IPsec VPN設備的內網口。 |
3.線路PMTU導致大數據包丟棄 |
1. 某些業務軟件(例如一些財務軟件或者登陸需要下載大量數據的應用程序)可以出現登陸界面,但是輸入用戶名密碼後一直沒有反應; 2. 客戶端採用默認ping包可以ping通服務器,ping大包不通; 3. 可以修改服務器網卡的MTU=線路PMTU。 |
故障三:VPN時通時斷
可能的原因 |
判斷方法和解決方案 |
1.公網連接不穩定 |
1. 通過ping測試檢測物理線路問題; 2. 直接用PC接在公網線路測試看看是否會斷; 3. 如果是動態撥號,可以更改idle-timeout爲0。 |
2.某次線路故障造成兩端的IPsec SA不能夠同步 |
1. 查看兩端VPN設備是否關閉了DPD; 2. 通過show cry ipsec sa查看兩端SPI是否不相同; 3. 在兩端手工清除隧道重新建立或者設置DPD解決不同步問題。 |
3.分支機構VPN配置重複 |
1. 隧道時斷時連表現爲當只有一個下端的時候一切正常,但當第二個或某個特定下端連接上來的時候,出現只有一個能正確建立IPsec隧道或時斷時連; 2. 在中心VPN設備檢查某個分支機構不能建立VPN隧道時卻有相關的IPsec數據流; 3. 可以在分支機構VPN上更換網段測試或者配置使用積極模式,配置不通的標識ID。 |
以上信息僅供參考