1 楔子：

宋朝末期，终南山上名曰王重阳之人历时数年建成一神秘古墓，因抗金义举失败，自居于内，虽生尤死，世人唤此古墓为“活死人墓”。而后，对王重阳情有独钟的林朝英移居古墓，并逝于墓内。王重阳想起林朝英一生对自己痴情如一，此番恩情铭刻于心，此时已人鬼殊途，心中顿感伤痛，于是悄悄修筑阴阳隧道进墓，以避开她的丫鬟弟子。王重阳对这位江湖旧侣的遗容熟视良久，仰声痛哭一场。

为免世人擅闯私入，王重阳在阴阳隧道两端放置一对采用坚如磐石的“ER路由器”修筑而成的石墙，此对石墙甚是奥妙，暗藏玄机，可通过各种机关控制隧道通断，并将该机关密图绘于本将留作自用的古墓石棺中，后由于小龙女和杨过躲避李莫愁纠缠，无意间发现该密图与隧道，不慎流传于世，但阴阳隧道之入口，隐蔽至极，终未有人寻觅。

2 第一节：了解阴阳隧道

通过阴阳隧道可快速进入古墓密室，其构成如下图所示

图1 ER 路由器IPSec VPN组网图

当正常建立IPSec隧道后，我们可以在安全联盟这个页面上查看到本端与对端出入方向的IPSec SA信息。

图2

在192.168.1.0网段一端局域网内的某PC上ping对端局域网网关地址能通。

图3

IPSec VPN隧道正常建立后的日志记录信息如下：

2000-01-01 00:14:54 [Notice] : WAN2接口物理连接已成功。

2000-01-01 00:14:54 [Notice] : 设置WAN2接口的IP地址192.200.200.232/24。

2000-01-01 00:14:56 [Notice] : ipsec2接口物理连接已成功。

2000-01-01 00:16:33 [Informational] : 192.200。200.232<->192.200.200.46[AR46-3]: ISAKMP SA建立完成 {加密算法=oakley_des_cbc_64 认证算法=oakley_sha DH组=DH1}。

2000-01-01 00:16:34 [Informational] : 安全策略[AR46-3]: IPSEC SA建立完成 {ESP 出SPI=0x61a1a16e 入SPI=0xedf43d51 加密算法=3DES_0 认证算法=HMAC_MD5 NATD=none DPD=关闭 PFS=禁止}。

开始IPSec VPN隧道排查之前，需要将ER路由器的日志记录等级打开到debug（7）。

图4

3 第二节：阴阳隧道机关之感应触发

有流量进入隧道才能触发IPSec VPN协商，可以在一端局域网内的某PC上长ping对端局域网网关地址，以保证有流量匹配进入VPN隧道的策略，触发两端VPN协商。

图5

1）如VPN隧道无法建立，请确认IPSec虚接口所绑定的Wan接口的链路状态是否为“已连接”，如果非“已连接”，则相应的IPSec Policy规则不会下发。这是最容易犯的错误之一：检查一下网线是否插紧，接口是否启用，WAN接口的PPPoE或者DHCP是否成功获取到IP，链路检测是否失败。

图6

图7

2）如果VPN隧道还是无法建立，请确认是否配置了到对端私网的路由（可以使用静态路由或策略路由），以策略路由为例，如下图所示

图8

3）还要检查触发流量是否被“安全专区”里的某些规则如出站通信策略配置所过滤掉了。

图9

4 第三节：阴阳隧道机关之销声匿迹

判断协商是否成功，最好的定位方法是抓包分析（使用端口镜像），这样可以最大限度的缩小范围：是第一阶段不成功？还是第二阶段不成功？根据抓包的结果再进一步定位。

这里如果是初始协商报文发出后，对方一直没有响应，请确认：

1) 对端地址是否可达（对端地址配置为域名时特别要注意DNS是否可以解析成功）；

2) 对端IPSec VPN功能是否开启；

3) 与对端第一阶段的协商模式是否错配（H3C公司V3，V5平台野蛮模式，ID为IP类型时，使用主模式去协商，表现不一致）；

4) 两端的IKE PEER（对等体）是否错配，如：对端地址(remote-addr)，本端地址(local-addr)是否错配。另外ID类型不匹配，也会出现不响应的问题。

5 第四节：阴阳隧道机关之主攻模式

ISAKMP第一阶段主模式协商——IKE SA 协商

1）IKE PROPOSAL错配（对端和本端配置的IKE安全提议错配）

抓包分析：

本端发起协商后，对端直接回应NO-PROPOSAL-CLOSEN如下图:

图10

日志分析：

日志中显示收到NO_PROPOSAL_CHOSEN：

Packet from 192.200.200.46:500: receive informational payload NO_PROPOSAL_CHOSEN

2）PSK错配（对端和本端的PSK不一致）

抓包分析：

主模式协商最后阶段报错误，INVALID-PAYLOAD-TYPE，如下图

图11

日志分析：

日志中显示收到INVALID_PAYLOAD_TYPE

Packet from 192.200.200.46:500: receive informational payload INVALID_PAYLOAD_TYPE

6 第五节：阴阳隧道机关之野蛮攻击

ISAKMP第一阶段 野蛮模式协商 ——IKE SA 协商

1）IKE PROPOSAL错配

对端和本端配置的IKE安全提议配错，同主模式协商，同样都是提示NO_PROPOSAL_CHOSEN。

这里特别要注意，由于野蛮模式下携带的IKE PROPOSAL只有一个，对端主动发起协商的时候，只会带上最优先的PROPOSAL，而不是整个列表。这时候，本端IKE安全提议的选择就特别重要，必须和对方最优先的IKE PROPOSAL相一致。

2）PSK错配（对端和本端的PSK不一致）

本端先发起协商，对方响应并携带相应的认证信息后，如果发现PSK不匹配，最后本端会提示：INVALID_HASH_INFORMATION。

图12

并记录日志：

sending notification INVALID_HASH_INFORMATION to 192.200.200.46:500.

但是如果是对端先发起协商，本端响应并携带认证信息，对端如果非ER路由器，部分设备不一定会有响应。

3）ID类型及ID值错配

本端先发起协商，如果对端是非ER系列的其他路由器，如公司平台的设备，对端可能不会响应。

对端先发起的协商，ID类型或ID值配错的情况下，本端ER路由器会有如下提示，并会回应一个INVALID_ID_INFORMATION消息

sending notification INVALID_ID_INFORMATION to 192.200.200.46:500.

7 第六节：阴阳隧道机关之飞镖在天

ISAKMP第二阶段 快速模式协商 ——IPSec SA 协商

第一阶段协商成功后（主模式/野蛮模式），将进入第二阶段——快速模式(Quick Mode)。这个阶段用来协商IPSec SA，我们主要关注的配置是：IPSec PROPOSAL（IPSec 安全提议）、PFS（完善的前向安全性）、ACL（本端子网和对端的子网）

1）IPSec PROPOSAL错配（对端和本端配置的IPSec 安全提议错配）

对端会回应一个ISAKMP Informational消息，由于是加密的内容，抓包无法分析，但是日志中已经给出具体的原因：

receive informational payload NO_PROPOSAL_CHOSEN.

对端先发起协商，表现一样，提示NO_PROPOSAL_CHOSEN

2）PFS（完善的前向安全性）错配

表现形式和IPSec PROPOSAL错配一致，双方都会响应NO_PROPOSAL_CHOSEN的ISAKMP Informational消息。

但是ER路由器可以再明确一些具体内容，日志文件中会有错误类型的提示信息BAD_PROPOSAL_SYNTAX。

3）ACL错配

两端ACL设置不一致：ACL设置，两端必须是完全相等，或存在包含关系，其他形式下的ACL设置（如：交集）无法协商成功。

本端发起的协商，对端如果发现ACL不匹配，则对端会回应一个ISAKMP Informational消息INVALID_ID_INFORMATION，但是没有具体指明什么错误。

对端先发起协商，本端也响应INVALID_ID_INFORMATION，并发送相应的ISAKMP Informational消息。

8 第七节：阴阳隧道机关之总控密室

协商出错总结

主要查看相应的日志信息，并结合抓包分析

提示NO_PROPOSAL_CHOSEN：表示相应阶段的安全提议设置错误（包括DH组/PFS的设置）

提示INVALID_ID_INFORMATION：表示配置不匹配，ACL/ID类型

提示INVALID_HASH_INFORMATION：表示PSK不匹配（野蛮模式）

提示INVALID_PAYLOAD_TYPE：表示PSK不匹配（主模式）

总的来说：在第一阶段，不管是主模式还是野蛮模式，协商交互（第一次握手）过以后发生的错误，基本可以判定为PSK错误，其他类型的错误基本在第一次握手时发生。

9 第八节：阴阳隧道机关之紫电穿云

穿越NAT与对端设备建立IPSec VPN的组网下，ER系列设备，默认就开启NAT穿越功能，在复杂组网中，注意确定中间是否有NAT设备，以及对端是否开启支持NAT穿越功能。NAT穿越需要在野蛮模式ESP下才能运行正常。

10 后记：

愿后生晚辈能反复研读，铭记于心，如有一日有缘人能发现终南山活死人墓的阴阳隧道入口，便可根据上述密解图谱一一破解隧道机关，出入古墓，可来去自如而幸免于难，期待英雄好汉，能在古墓发现更多秘密，使用包治百病的寒冰床，造福于百姓，使得天下百姓能免于病痛之苦！将这些失传已久的武功绝学发扬光大，以便抗击外辱、保家卫国！还有数不胜数的绝世珍宝，建下轰轰烈烈的伟业，永保天下天平！