【原】IPsecVPN的设置调试端，总部是华三分支机构是山石

sslVPN也不安全了，使用硬件的IPsecVPN也是更胜一筹，只是调试两端不同品牌的网络设备比较麻烦了

远端 外网IP：x.x.x.x
内网IP （共计1个网段）：10.0.94.0/24
IPSEC VPN  点——点
第一阶段
认证算法    MD5
加密算法    DES 
DH          GROUP2
第二阶段
安全协议     ESP
ESP认证算法  MD5 
ESP 加密算法  DES
共享密钥：bac753894
内网：10.0.94.0/24     
测试：Ping 10.0.94.254 
修改hosts 文件
10.0.94.220  xwy.
访问业务 https://xwy.     完成

远端：华三h3c的IPsecVPN的配置情况

一开始测试不通啊

电脑上互联网正常，IPsecVPN连接不成功，ping不通总端IP，系统不能登录，华三设备上只能看到发送没有接收

总端这边收到你发过来的包，隧道都正常；怀疑分端那边是不是有拦截或测试没打开 

隧道详细信息×

隧道；SA；隧道统计. 柱状图显示丢包统计；饼状图显示丢包统计；刷新

接收的受安全保护的数据包的数目 0

发送的受安全保护的数据包的数目 67

接收的受安全保护的字节数目 0

发送的受安全保护的字节数目 4936

接收的受安全保护的数据包的速率 0

发送的受安全保护的数据包的速率 1

接收的受安全保护的字节速率 0

发送的受安全保护的字节速率 53

被设备丢弃了的接收的受安全保护的数据包的数目 0

被设备丢弃了的发送的受安全保护的数据包的数目 0

被丢弃的重放的数据包的数目 0

因为找不到IPsec SA而被丢弃的数据包的数目 0

因为IPsec SA错误而被丢弃的数据包的数目 0

因为数据包长度不正确而被丢弃的数据包的数目 0

因为认证失败而被丢弃的数据包的数目 0

因为加封装失败而被丢弃的数据包的数目 0

因为解封装失败而被丢弃的数据包的数目 0

因为解封装后检测流范围失败而被丢弃的数据包的数目 0

因为MTU检测失败而被丢弃的数据包的数目 0

因为本机处理的次数超过限制而被丢弃的数据包的数目 0

因为加密速度的限制而被丢弃的数据包的数目 0

诊断项 诊断结果

lPsec对端路由可达 可达

接口状态 物理层up、IP协议层up

接口上应用了IPsec安全策略 已应用

lPsec安全策略的ACL规则匹配指定数据流 是

lPsec策略完整性 配置完整

IKE协商结果 lKE SA不存在或状态不正常

IPSec协商结果 隧道不存在

近端山石设置又如何呢

添加分支机构的名称和IP地址，修改对端设置

如何修改p1提议协议的内容

最终访问成功

山石网科PPPOE+IPsecVPN配置注意事项https://blog.csdn.net/normanhere/article/details/138239180山石网科防火墙IPsecVPN调试手册https://zhuanlan.zhihu.com/p/148248681   https://www.volcengine.com/docs/6455/107688

设置山石AX500防火墙以支持IPsec VPN的步骤大致如下：

‌建立隧道‌：首先，登录到山石防火墙（Hillstone firewall），选择IPsec部分，然后点击新建。

‌配置第一阶段IKE ×××‌：在接下来的界面进行IKE ×××的配置，包括选择隧道模式（如代理ID的设置，如果两端设备都是山石则选择自动，否则需要手动指定）。

‌高级配置‌：在高级配置中，勾选NAT穿越和对端存活监测，如果存在NAT穿越的情况。

‌配置第二阶段‌：接着配置第二阶段的协商参数，包括隧道模式的设置。

‌配置策略‌：在策略界面进行配置，选择双向配置，并确保策略被置顶，这是为了确保优先级和通信的顺畅。

‌源不转换配置‌：由于在策略模式下不能配置路由，但需要将本地到对端的内网流量进行不转换指定，因此需要进行“源不转换”（SNAT）的配置，以保证隧道内网流量不会被转换成公网出口IP。

‌测试连接‌：完成上述配置后，可以通过ping测试来验证IPsec VPN是否成功建立。

这些步骤提供了一个基本的指南，但具体的配置可能会根据山石防火墙的具体型号和版本有所不同。因此，在进行配置前，建议参考山石防火墙的用户手册或官方提供的配置指南，以确保正确无误地完成设置‌