杜松之家 » 网络安全及相关技术专区 » IKE 用户vpn连接问题，朋友们请帮下忙！

‹‹ 上一主题 | 下一主题 ››

发新话题

打印

[问题求助] IKE 用户vpn连接问题，朋友们请帮下忙！

ycclwyf

高级会员

Rank: 4

精华: 0

积分: 542

帖子: 56

威望: 239 点

金钱: 36 币

贡献: 91 点

经验: 02级

已经发了56篇文章咯哎哟哎哟

阅读权限: 50

注册: 2007-12-30

状态:

性别:保密-当前离线

发短消息加为好友

1^# 大中小发表于 2008-4-7 08:04 只看该作者

IKE 用户vpn连接问题，朋友们请帮下忙！

客户端日志如下，请各位朋友分析一下是什么原因，如何解决！
4-07: 08:10:48.671
4-07: 08:10:48.671 My Connections\no1 - Initiating IKE Phase 1 (IP ADDR=1.1.1.1)
4-07: 08:10:48.812 My Connections\no1 - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
4-07: 08:10:48.812 My Connections\no1 - RECEIVED<<< ISAKMP OAK AG (SA, VID 3x, KE, NON, ID, HASH, VID, NAT-D 2x)
4-07: 08:10:48.812 My Connections\no1 - Received message for non-active SA
4-07: 08:10:48.812 My Connections\no1 - RECEIVED<<< ISAKMP OAK AG (SA, VID 3x, KE, NON, ID, HASH, VID, NAT-D 2x)
4-07: 08:10:48.812 Incorrect Phase 1 ID type (expected ID_IPV4_ADDR):
4-07: 08:10:48.812 received ID DOMAIN=XXX
4-07: 08:10:48.812 My Connections\no1 - Peer supports Dead Peer Detection Version 1.0
4-07: 08:10:48.812 My Connections\no1 - Dead Peer Detection enabled
4-07: 08:10:48.812 My Connections\no1 - Peer is NAT-T draft-02 capable
4-07: 08:10:48.812 My Connections\no1 - Dead Peer Detection enabled
4-07: 08:10:48.812 My Connections\no1 - NAT is detected for Client
4-07: 08:10:48.812 My Connections\no1 - Floating to IKE non-500 port
4-07: 08:10:48.906 No matching Phase 1 ID received for Policy Entry My Connections\no1.
4-07: 08:10:48.906 My Connections\no1 - SENDING>>>> ISAKMP OAK INFO (HASH, NOTIFY:INVALID_ID_INFO)
4-07: 08:10:48.906 My Connections\no1 - Discarding IKE SA negotiation
4-07: 08:10:48.906 MY COOKIE 83 6e e8 24 1f 74 37 c
4-07: 08:10:48.906 HIS COOKIE d5 6b f a9 32 80 29 9f
4-07: 08:10:52.703 My Connections\no1 - RECEIVED<<< ISAKMP OAK AG (SA, VID 3x, KE, NON, ID, HASH, VID, NAT-D 2x)
4-07: 08:10:52.703 My Connections\no1 - Received message for non-active SA

TOP

lsall 中级会员精华: 0 积分: 449 帖子: 69 威望: 182 点金钱: 50 币贡献: 64 点经验: 02级阅读权限: 30 注册: 2007-8-28 来自: 北京状态: 发短消息加为好友	2^# 大中小发表于 2008-4-7 09:15 只看该作者最好也能贴出防火墙一端的 log 生命无止境，永攀最高峰！
查看个人网站查看详细资料	TOP

ycclwyf

高级会员

Rank: 4

精华: 0

积分: 542

帖子: 56

威望: 239 点

金钱: 36 币

贡献: 91 点

经验: 02级

已经发了56篇文章咯哎哟哎哟

阅读权限: 50

注册: 2007-12-30

状态:

性别:保密-当前离线

发短消息加为好友

3^# 大中小发表于 2008-4-7 09:37 只看该作者

Rejected an IKE packet on ethernet0/2 from 1.1.1.3:29164 to 1.1.1.7:500 with cookies 4061c19f3e1c64e8 and a734e1187fcef4b2 because The peer sent a packet with a message ID before Phase 1 authentication was done.

看日志应该是第一阶段的phase不匹配，但我查了一下，防火墙及客户端的设置没有问题啊1

[ 本帖最后由 ycclwyf 于 2008-4-7 09:40 编辑 ]

TOP

mech 注册会员精华: 0 积分: 95 帖子: 11 威望: 33 点金钱: 23 币贡献: 10 点经验: 02级阅读权限: 20 注册: 2007-11-12 状态: 发短消息加为好友	4^# 大中小发表于 2008-4-17 14:57 只看该作者 get sa， get proxy 啥的看一下，检查一下配置，另外，检查一下中间又没有nat设备
查看详细资料	TOP

wzknet 版主精华: 5 积分: 5411 帖子: 563 威望: 2001 点金钱: 1102 币贡献: 771 点经验: 07级阅读权限: 100 注册: 2007-11-14 状态: 发短消息加为好友	5^# 大中小发表于 2008-4-17 16:24 只看该作者哈哈，看看这个：http://k968888.blog.sohu.com/84918025.html 今天刚给客户处理的。 http://k968888.blog.sohu.com
查看个人网站查看详细资料	TOP

ycclwyf 高级会员精华: 0 积分: 542 帖子: 56 威望: 239 点金钱: 36 币贡献: 91 点经验: 02级阅读权限: 50 注册: 2007-12-30 状态: 发短消息加为好友	6^# 大中小发表于 2008-4-18 12:54 只看该作者谢谢兄弟们帮忙，问题已解决
查看详细资料	TOP

wzknet 版主精华: 5 积分: 5411 帖子: 563 威望: 2001 点金钱: 1102 币贡献: 771 点经验: 07级阅读权限: 100 注册: 2007-11-14 状态: 发短消息加为好友	7^# 大中小发表于 2008-4-18 21:38 只看该作者回复 6# 的帖子问题出在哪里？ http://k968888.blog.sohu.com
查看个人网站查看详细资料	TOP

‹‹ 上一主题 | 下一主题 ››

发新话题