深信服问题排错文档.pdf

SANGFOR_IPSEC_ALL pdlan 常见问题解决办法 深信服科技有限公司 2011 年07 月16 pdlan 常见问题解决办法 PDLAN 连接不上总时，首先请查看日志，根据日志提示排错，常见的日志有以下几种： 1) 日志显示wait_connectsuccess 在移动端telnet 总部的VPN 监听口（默认是4009 ）是否是通的，若不通， a ：请检查总部设备是否配置了全端口映射。 b:检查总部设备是否单臂部署，且在前置设备没有把设备的 TCP/ UDP4009 端口成功映射出 来。 c:是否运营商做了限制，尝试修改VPN 监听端口. d:检查两端的WEBAGENT 配置是否正确。 e、pdlan 电脑是代理上网的，那pdlan 也需要设置代理的，支持sock4 和sock5 代理的，否 则会telnet 端口4009 是不通的 f 、检查pdlan 所在网络的前置设备做了限制，拦截了VPN 通迅。 2) 日志显示wait_version_syn_ack 1、检查总部和pdlan 的版本是否一致，2.5x 和2.5x 可以连接，4.X 和4.X 连接，2.5X 和4.X 的是不可以连接ipsecvpn 的 2、可以尝试把vpn 端口改成低端端口 3、可以尝试修改MTU 3) 日志提示load file error 和configure init failed 之类的日志 1、这个是pdlan 的注册表项被损坏的原因的，重装pdlan 即可 4 ）“[TcpNode] OnRead error:10053,errDsc = 您的主机中的软件中止了一个已建立的连接。” 1、是被本机的其他软件把连接给拒绝断开了 5 ）移动用户PDLAN 接入一直提示连接端口超时,但是测试总部端口是通的 1、检查虚拟IP 池和内网是否有冲突 6 ）“绑定socket 时发生错误，错误描述:以一种权限不允许的方式做了一个访问套接字的尝 试” 1、可能是 pdlan 的系统用户权限不够，或与其他软件有冲突，导致 pdlan 无法正确的绑定 ip/mac 地址的，保证电脑是超级管理员登陆的，或把电脑上其他的软件先退出再去连接 除了查看日志外，也可根据一些现象排错，常见的有以下几种： 1）ipsecvpn 频繁掉线 1、总部和pdlan 电脑是否有ip 网段冲突 2、尝试切换传输模式 3、尝试修改总部设备的MTU 值 4 、尝试修改VPN 监听端口 5、检查上网线路本身是否正常 2 ）pdlan 连接不了总部 1、测试telnet 总部的4009 端口是否通的，检查总部和pdlan 的配置是否正确的 2、查看pdlan 控制台的日志信息，根据日志信息来排查 3 ）pdlan 连接上总部了，但访问不了 1、被访问的服务和总部的VPN 设备不在同一个网段，检查是否有配置系统路由和本地子网 列表，如果是DLAN2.52，还需要配置dlan 路由 2、检查是否有对移动用户作VPN 内网权限设置 3、如果设备是单臂部署的，虚拟ip 池配置的不是和vpn 设备lan 口同网段的，检查总部的 前置设备上是否有回包路由的 4 、确认是否为总部内网电脑开启防火墙，可以尝试Ping 其他电脑或使用telnet 来测试。 5、如果访问的是总部dmz 口下面的电脑的，检查总部VPN 设备上是否在VPN 接口ip 配置 中有勾选dmz 口并正确配置dmz 口的子网掩码的，同样的lan 口子网掩码也需和实际的一 致的，否则也会访问不了内网的 6、或者尝试关闭设备上的防DOS 测试的，如果总部是AC 设备的话，可以把AC 开直通的， 或检查AC 上的规则库是否是正常的 4 ）PDLAN 控制台上提示授权数已满的日志 1、检查总部VPN 设备里面的DLAN 移动用户授权个数 2、如果总部是2.X 的，因为会记录登陆过的PDLAN 的，所以需要重启dlan 服务下释放连接 的 3、移动VPN 账号是否是公共账号的 4 、移动VPN 账号尝试使用TCP 的模式来连接总部 5、检查内网是否有其他的设备上有VPN 服务的，造成有冲突，把其他设备上的VPN 服务给 停止 5 ）PDLAN 接入总部，虚拟网卡获取不到虚拟地址 1、检查总部VPN 设备里面的虚拟ip 池的配置 2、把PDLAN 的电脑上的杀毒软件或其他安全软件先退出