Network Manage Tech Experience

Welcome to my tech home !!!
posts - 32, comments - 35, trackbacks - 0, articles - 0
  IT博客 :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

前几天我公司与一家银行建立IPsecVPN,双方使用的都是Nokia的CP。在所有配置相同的情况下,通过如下测试确认双方的隧道已经建立起来:

我方先主动测试对方业务,通讯OK;然后由对方测试我方业务,也OK。

可是第二天过来对方反映隧道建立不起来了。

然后我从我方进行业务测试,发现隧道可以建立,我让对方再测试一下,此时对方也OK了。这就说明当隧道清除后,只有我方主动建立隧道,双方的通讯才OK。否则如果由对方先主动建立隧道,则隧道建立不起来。

研究了很久,发现对方有一处配置有问题:

对方在Network Objects/Check Point里的本地对象中主IP是内网ip,而不是公网ip(假如为A)。但是在此对象中的VPN/Link Selection却选择了Main address。这就表明此对象的VPN的link是Main address(也即那个内网ip:A),而没有与我方进行通信的那个公网ip。这样当然不能主动建立隧道。

需要如此修改:点选此对象的VPN/Link Selection中的Selected address from topology,然后选择那个公网ip即可。

Nokia&CP建立IPsecVPN有很多奇妙的地方,所以需要一点一滴的积累。

Feedback

# re: CheckPoint之间IPsecVPN一方不能主动建立隧道的问题  回复  更多评论   

2008-12-02 13:29 by 电热水器
wpon

# re: CheckPoint之间IPsecVPN一方不能主动建立隧道的问题  回复  更多评论   

2009-01-09 14:29 by 品牌小家电
mkhhyyd
只有注册用户登录后才能发表评论。