无法建立可靠的 VPN 隧道(ShrewSoft 客户端/ZyWALL USG-50 防火墙)

tag-icon tag-icon vpn firewall router nat dmz
无法建立可靠的 VPN 隧道(ShrewSoft 客户端/ZyWALL USG-50 防火墙)

我尝试通过我的防火墙(ZyWall USG-50)设置 IPSec VPN 隧道,但它不能正常工作。

我的安装快速方案:

ME [A.B.C.D] --- **INTERNET** 
                      |
                      |
               [A2.B2.C2.D2] **ROUTER** [192.168.0.254]
                                            |
                                            | (DMZ) 
                                            |
                                   [192.168.0.250] **ZyWall USG50** [192.168.169.1] 
                                                                         |
                                                                         |
                                                                         |
                                                            LAN1 [[192.168.169.0/24]]
  • ABCD :我的 IP 地址
  • A2.B2.C2.D2 :我的路由器的 IP 地址
  • 192.168.0.0/24 是我的路由器和 ZyWall 之间的网络(Zywall 位于我的路由器的 DMZ 上)
  • 我想要访问的 LAN 是 192.168.169.0/24
  • 我们的 VPN 客户端:ShrewSoft

我已经在 Zywall 上设置了 VPN_gateway 和 VPN_connection。我的 ShrewSoft 配置似乎很好,但是当启用隧道时,我失去了互联网连接,并且无法 ping 通 LAN1 上的设备。

Zywall 日志:

(从下到上):

16
2014-06-27 14:07:27
info
IKE
The cookie pair is : 0xd5ee179c993e0210 / 0xd5866913901fc739 [count=5]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
17
2014-06-27 14:07:27
info
IKE
Recv:[HASH][NOTIFY:R_U_THERE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
18
2014-06-27 14:07:27
info
IKE
The cookie pair is : 0xd5866913901fc739 / 0xd5ee179c993e0210
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
19
2014-06-27 14:07:12
info
IKE
Send:[HASH][NOTIFY:R_U_THERE_ACK]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
20
2014-06-27 14:07:12
info
IKE
The cookie pair is : 0xd5ee179c993e0210 / 0xd5866913901fc739
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
21
2014-06-27 14:07:12
info
IKE
Recv:[HASH][NOTIFY:R_U_THERE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
22
2014-06-27 14:07:12
info
IKE
The cookie pair is : 0xd5866913901fc739 / 0xd5ee179c993e0210
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
23
2014-06-27 14:07:12
notice
Firewall
priority:11, from WAN to ZyWALL, UDP, service Default_Allow_WAN_To_ZyWALL, ACCEPT
A.B.C.D:56175
192.168.0.250:500
ACCESS FORWARD
***************************
24
2014-06-27 14:06:57
info
IKE
Dynamic Tunnel [IPSEC_GATEWAY:IPSEC_CONNECTION:0xc7101df2] rekeyed successfully
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
25
2014-06-27 14:06:57
info
IKE
[ESP des-cbc|hmac-sha1-96][SPI 0x21a0e0db|0xc7101df2][Lifetime 3620]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
26
2014-06-27 14:06:57
info
IKE
Dynamic Tunnel [IPSEC_GATEWAY:IPSEC_CONNECTION:0xdc10a224] built successfully
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
27
2014-06-27 14:06:57
info
IKE
[ESP des-cbc|hmac-sha1-96][SPI 0x3bd528f6|0xdc10a224][Lifetime 3620]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
28
2014-06-27 14:06:57
info
IKE
[Policy: ipv4(192.168.169.0-192.168.169.255)-ipv4(192.168.43.115)] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
29
2014-06-27 14:06:57
info
IKE
[Responder:192.168.0.250][Initiator:A.B.C.D] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
30
2014-06-27 14:06:57
info
IKE
Recv:[HASH] [count=2]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
31
2014-06-27 14:06:57
info
IKE
Send:[HASH][SA][NONCE][ID][ID] [count=2]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
32
2014-06-27 14:06:57
info
IKE
Recv:[HASH][SA][NONCE][ID][ID] [count=2]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
33
2014-06-27 14:06:57
info
IKE
Recv:[HASH][NOTIFY:INITIAL_CONTACT]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
34
2014-06-27 14:06:57
info
IKE
Phase 1 IKE SA process done
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
35
2014-06-27 14:06:57
info
IKE
Send:[ID][HASH]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
36
2014-06-27 14:06:57
info
IKE
Recv:[ID][HASH]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
37
2014-06-27 14:06:57
info
IKE
Send:[KE][NONCE]
192.168.0.250:500
A.B.C.D:56175
IKE_LOG
***************************
38
2014-06-27 14:06:57
info
IKE
Recv:[KE][NONCE]
A.B.C.D:56175
192.168.0.250:500
IKE_LOG
***************************
39
2014-06-27 14:06:56
notice
Firewall
priority:11, from WAN to ZyWALL, UDP, service Default_Allow_WAN_To_ZyWALL, ACCEPT
A.B.C.D:56175
192.168.0.250:500
ACCESS FORWARD

我按照 Zywall Docs 中的每个步骤和来自 shrewSoft 社区的各种帖子进行操作,但显然我错过了一些东西......

如果有人发现这些日志可能出了问题,我将不胜感激!(或者提供一些开始故障排除的想法)谢谢。

答案1

[...] 但当隧道启用时,我失去了互联网连接,无法 ping 通 LAN1 上的设备

互联网连接丢失的问题听起来很像“分割隧道”问题。如果您未在 VPN 配置中启用分割隧道,则来自 VPN 客户端的所有流量都将通过 VPN 网关。

启用拆分隧道时,您的 VPN 客户端将接收特定路由,因此只会在 VPN 隧道中发送有趣的流量。

至于另一个问题(无法 ping LAN1 上的设备),可能会发生三种情况。

  1. 如果您尝试使用设备名称进行 ping,显然需要您的 VPN 配置将 DNS 服务器“发送”到 VPN 客户端,该客户端将解析 LAN1 网络上的名称。您可以通过使用设备的 IP 对这些设备进行 ping 来检查是否是这个问题。如果成功,则说明是 DNS 问题。

  2. 某些防火墙规则可能缺失。您可能必须明确告知防火墙允许来自和流向 VPN 客户端的流量。这应通过查看防火墙上的流量日志来验证。

  3. 某些路由可能缺失。您没有提到您的 VPN 客户端获得的 IP,但您必须确保客户端知道如何路由到 LAN1 网络。您显然还需要确保 LAN1 上的设备知道如何路由您在 VPN 客户端使用的任何子网。这可以通过检查 LAN1 中的两个设备上的路由表以及连接到 VPN 隧道后的 VPN 客户端上的路由表来验证。

相关内容