博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2431|回复: 1

CheckPoint之间IPsecVPN一方不能主动建立隧道的问题解决办法

[复制链接]
发表于 2009-12-5 12:19:22 | 显示全部楼层 |阅读模式
CheckPoint之间IPsecVPN一方不能主动建立隧道的问题解决办法
前几天我公司与一家银行建立IPsecVPN,双方使用的都是Nokia的CP。在所有配置相同的情况下,通过如下测试确认双方的隧道已经建立起来:
我方先主动测试对方业务,通讯OK;然后由对方测试我方业务,也OK。

可是第二天过来对方反映隧道建立不起来了。然后我从我方进行业务测试,发现隧道可以建立,我让对方再测试一下,此时对方也OK了。这就说明当隧道清除后,只有我方主动建立隧道,双方的通讯才OK。否则如果由对方先主动建立隧道,则隧道建立不起来。

研究了很久,发现对方有一处配置有问题:
对方在Network Objects/Check Point里的本地对象中主IP是内网ip,而不是公网ip(假如为A)。但是在此对象中的VPN/Link Selection却选择了Main address。这就表明此对象的VPN的link是Main address(也即那个内网ip:A),而没有与我方进行通信的那个公网ip。这样当然不能主动建立隧道。
需要如此修改:点选此对象的VPN/Link Selection中的Selected address from topology,然后选择那个公网ip即可。

Nokia&CP建立IPsecVPN有很多奇妙的地方,所以需要一点一滴的积累。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-22 06:06 , Processed in 0.083670 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表