环境

爱快 iKuai IK-Q6000 3.7.13 x64 Build202406212120

说明

组网方式:网络设置,VPN客户端,IPsec VPN
有公网IP,使用域名解析公网IP。

当两台设备第一次配置 IPSec IKEv2 对等体连接后,需要将两边 ipsec 条目均停用,然后重新启用。
当第一次设置保存时,爱快设备会使用自动协商方式选择提议以及加密,会导致协商可能不成功,导致提议或加密参数不一致,从而日志报错no matching peer config found,确保提议以及算法正确,停用再重新启用 ipsec 条目即可。

两台爱快企业路由通过配置 IPSec IKEv2 对等体连接后,网络延迟间歇性异常,变现为 Ping 值突发变高(异常高,从正常 10ms 突发至 300ms 或更高 1400ms),然后回归正常。
检查 CPU 占用:无异常增高;
检查日志:无断线重连记录;
变更提议或协议:尝试多种 IKE 提议,ESP 加密、认证算法,均有该问题;
已尝试:

  • IKE提议 AES256-SHA256-MODP1536,ESP加密算法 AES256,ESP加密认证算法 SHA256
  • IKE提议 AES256-SHA256-MODP2048,ESP加密算法 AES256,ESP加密认证算法 SHA256
  • IKE提议 AES256-SHA1-MODP1536,ESP加密算法 AES256,ESP加密认证算法 SHA256
  • IKE提议 AES128-SHA1-MODP1536,ESP加密算法 AES256,ESP加密认证算法 SHA256
  • IKE提议 AES128-SHA1-MODP1536,ESP加密算法 AES128,ESP加密认证算法 SHA1
    总结:疑似家宽 Qos 或爱快 Bug。

两台爱快企业路由通过配置 IPSec IKEv2 对等体连接后,想通过内网IP 访问对端爱快路由器时,需要在对端爱快路由系统设置,登录设置,远程访问中将外网WEB访问控制设置为启用
如果是家宽(使用默认80端口),运营商默认会阻止80端口,可放心启用(此时仍然无法通过公网IP访问后台)。
如果是家宽(不使用80端口)或商宽,请注意设置高强度密码,并启用 https!
如果是家宽(不使用80端口)或商宽,请注意设置高强度密码,并启用 https!
如果是家宽(不使用80端口)或商宽,请注意设置高强度密码,并启用 https!

最后修改:2024 年 10 月 10 日 10 : 07 PM
© 允许规范转载
如果觉得文章帮助了您,您可以随意赞赏。