內容
本文提供針對 IPsec VPN 連線問題的詳細疑難排解步驟。
請依據您的 IPsec VPN 模式,遵循以下疑難排解步驟。
Omada / Omada pro / Festa 路由器
網際網路協定安全(IPsec)是一套提供 IP 網路安全的協定和服務。它是一種廣泛使用的虛擬私人網路(VPN)技術。
IPsec VPN 要求遠端使用者安裝專用的 VPN Client 或在站點佈署 VPN 路由器。Client 端或路由器會依據使用者身分驗證規則、安全策略規則或內容安全過濾來檢查使用者存取權限。
步驟 1. 確保兩個站點路由器的 WAN IP 位址可以互相 ping 通。
步驟 2. 登入控制器, 前往 設定 > 網路安全性 > 攻擊防禦,停用「封鎖 WAN 端 ping」。
步驟 3. 在連接到路由器 1 的電腦上,ping 路由器 2 的 WAN IP。
步驟 4. 驗證路由器 1 是否擁有 Public IP,以及路由器 2 是否位於 NAT 設備後方。
在 IPsec 設定中,將路由器1的「遠端閘道」欄位填入 0.0.0.0 或位於路由器 2 前方的 NAT 設備的公用 IP 位址。將路由器 1 和路由器 2 的「Negotiation Mode」分別設定為「Responder Mode」和「Initiator Mode」,並使用「名稱」作為識別名稱。
注意:在「Local ID Type」和「Remote ID Type」中,「名稱」模式在不同的廠商設備中可能會有不同的名稱,例如 FQDN。
步驟 5. 驗證路由器 1 和路由器 2 是否都位於 NAT 設備後方。
在路由器 1 前方的 NAT 設備上,配置 NAT 轉發規則(UDP 500、4500)。其他配置與上一步相同。
步驟 6. 檢查兩個站點路由器的基本配置是否匹配:遠端閘道、本地網路、遠端網段、共用金鑰和 WAN 介面。
步驟 7. 檢查兩個站點路由器的 Phase-1 Settings 是否匹配:IKE 版本、Proposal、交換模式、Local ID 和 Remote ID。如果兩個路由器之間存在 NAT 設備,請使用 「名稱」 模式作為識別名稱。
步驟 8. 檢查兩個站點路由器的 Phase-2 配置是否匹配:Encapsulation Mode、Proposal 和完全前向保密(PFS)。預設情況下,使用 ESP 協定,因為 AH 無法穿透 NAT。
步驟 9. 檢查是否正在使用自動 IPsec。Auto IPsec 在控制器模式下可能無法建立連線。建議使用 Manual IPsec。
步驟 10. 確認您的 ISP 是否允許 IPsec 相關流量(UDP 500, 4500)通過。
步驟 11. 驗證兩個路由器是否有封鎖 IPsec 相關流量的 ACL 規則。
步驟 1. 確保 Client 端設備可以 ping 到路由器的 WAN IP。
在控制器頁面,前往 設定 > 網路安全性 > 攻擊防範,停用「封鎖 WAN 端 ping」,然後在 Client 端設備上 ping 路由器的 WAN IP。
步驟 2. 登入控制器,前往 設定 > 網路安全性 > 攻擊防禦,停用「封鎖 WAN 端 ping」。
步驟 3. 確認 Client 端設備型號。
- 若用戶端設備使用 iOS 作業系統,可作為路由器前端的 NAT 設備。Local ID Type 和 Remote ID Type 需設定為「名稱」模式。
- 若用戶端設備為 Samsung 裝置,可作為路由器前端的 NAT 設備。Local ID Type 和 Remote ID Type 需維持在預設的「IP 位址」 模式。
- 若用戶端設備為非 Samsung 的 Android 用戶端,則不是路由器前方的 NAT 設備。設定 Local ID Type 為 IP Address 模式,Remote ID Type 設定為「名稱」模式。
步驟 4. 確認您的路由器設定。
- 基本設定:在「遠端主機」欄位中填入 0.0.0.0 或 Client 前端設備的 Public IP 位址。
- Phase-1 Settings:確保 IKE 版本與 Client 端一致。Proposal 可以設定為 sha256-aes256-dh14。選擇「Responder Mode」作為 Negotiation Mode。依據步驟 2 配置 Local ID Type 和 Remote ID Type。
- Phase-2 Setting:Proposal 可以設定為 sha256-aes256-dh14。
步驟 5. 驗證 Proposal 是否匹配。
啟用 Port Mirroring 來進行封包擷取,並擷取與 IPsec 項目相關的 WAN 介面的流量封包。
使用 Wireshark 篩選 ISAKMP 封包。如果路由器回覆的第一個 ISAKMP 封包包含有效負載:通知 (41) - NOPROPOSALCHOSEN,表示 Proposals 不匹配,如下圖所示。
Client 端發起的第一個 ISAKMP 包含所有安全 Porposals。您可以將路由器的 Proposal 設定為包含該封包中指定的選項。
如果使用以上步驟仍然無法解決 IPsec VPN 問題,請透過電話或電子郵件聯繫 TP-Link 取得支援。
要了解各項功能和設定的更多詳細資訊,請前往 檔案下載下載您的產品手冊。