當VPN不通時要如何從IKEv2 來檢查設定

Zyxel小編 MinChi

前言

當我們使用精靈模式來設定VPN時發現所建立的VPN無法動作，那是因為此種精靈模式預設的建議方案設定值不一定會適用於每一台機器所設置的環境，所以更重要的是我們要如何修改成我們環境所要的需求。

新設定的VPN卻不通有各樣可能原因，我們先教您如何檢查IKEv2的設定來排除此類的障礙。(若是使用憑證做認證的話,憑證在使用上就相當於PSK一樣有夠複雜)

檢查流程

1.先找到log 紀錄中的這筆 “Phase 1 proposal mismatch” 紀錄。之後，您可以找到對方站點所使用的提議方案設定，例如: Recv IKE sa : SA[0] protocol = IKE(1)AES256,SHA256/SHA128,DH14 (2) AES256,SHA256/SHA128,DH19

也可以在封包擷取中找到這些對方設備的提議方案設定在IKE_SA_INIT 階段

然後您便可以設定成符合雙方的參數在VPN Gateway設定項目中 (階段一)

2. 再找到log 紀錄中的這筆 “Phase 1 proposal mismatch”紀錄

對方的“Remote ID” 欄位設定中必需是和自己本地的 “Local ID” 相同

3. 如果紀錄顯示是卡在認證階段，就檢查一下對方是否有憑證 (若雙方要以憑證做認證的話)

4. 如果紀錄中的訊息顯示 “[AUTH fail]”，那就檢查一下你的帳號和密碼吧

5. IP address pool 中的IP 數量不可以超過65535(注意subnet mask的設定)