PS:很久又没有更新过了,刷一下存在感吧。
SRX与NetScreen之间建立点对点VPN的配置其实和普通的SRX与SRX之间或者NetScreen与NetScreen之间的配置一样,没有什么特别的地方,但是这次在做一个SRX与NetScreen之间的VPN时遇到了点问题。
VPN做好后,在Netscreen侧出现如下错误提示:
2014-09-22 11:39:46 info Rejected an IKE packet on ethernet0/0 from x.x.x.x::500 to x.x.x.x:500 with cookies e454e3f78aa1799c and ed8e53025878ee21 because There was a preexisting session from the same peer.
就是这个错误搞了我两天,一直没有想到解决方法,在网上寻找答案的时候在Juniper的官网论坛也碰到有人发过这个问题,给的答复是在Netscreen侧修改ike soft-lifetime-buffer,但是我按照这个方法修改完后还是不行,所以就彻底没辙了。
今天外面出差,晚上吃饭的时候先是同事打电话给我说这个问题领导知道了,下达死命令今天晚上必须解决,我擦,我说只能尽力,不保证。挂断电话后刚吃了两口,领导就打电话过来了,并且电话中语气特别严厉的告诉我,必须今天解决掉!!我只能说好的,一定想办法解决
回酒店后重新按照以前的标准方法建立了一次,问题依旧,怀疑是不是于是修改P1和P2的协商时间问题?于是又是各种时间尝试,还是没有解决,崩溃了!
没办法,最后想到干脆在SRX侧debug VPN协商看一下吧,就是这个操作,找到了问题的真正原因啊!(早就应该debug的)
Nov 10 22:27:49 AMHZLZ kmd[1427]: IKE negotiation failed with error: Authentication failed. IKE Version: 1, VPN: To-IDC Gateway: IKE-Gateway, Local: x.x.x.x/500, Remote: y.y.y.y/500, Local IKE-ID: x.x.x.x, Remote IKE-ID: z.z.z.z, VR-ID: 0
看到了么?IKE协商失败,发现里面的Remote IKE Gateway IP与Remote IKE-ID不一样,顿时想到了一个问题,我的Netscreen是在内网,通过外网的防火墙映射一个公网IP出去的,y.y.y.y就是Netscreen被映射的公网IP,而z.z.z.z是内网IP,于是乎在Netscreen侧配置IKE Gateway的时候手动指定local-id为公网映射的IP地址后,奇迹发生了,VPN瞬间OK了!~
呵呵,其实这台Netscreen还与其他好多地点都建立了点对点的VPN,不用指定local-id也不会有问题,这是第一次做与SRX的,就出现了这个问题,不过总算是找到问题原因并且解决了,以后再碰到类似的案件就知道如何对应了。