飞塔防火墙相关配置和命令

IPSec建立

网络
高级-添加路由：禁用（拨号连接务必禁用）
对等体状态探测：空闲
认证
预共享密钥
模式：野蛮
访问类型：特定对等体ID
对等体ID（其中一端WAN动态IP时填写，对端填写本地ID）
阶段 1 提案
保留两层加密
本地ID（其中一端WAN动态IP时填写，对端填写对等体ID）
阶段2
本地地址 子网 0.0.0.0/0
对端地址 子网 0.0.0.0/0
阶段 2 提案
自动协商/自动密钥保持存活

增加防火墙策略，IPSec to LAN、LAN to IPSec

未增加防火墙策略，在debug时会报错

ike 0:HLLG_HLZQ: ignoring request to establish IPsec SA, no policy configured

手动配置静态路由，远程地址 to IPSec、远程地址 to 黑洞（管理距离254）

手动配置 IPSec端点IP

常用命令

查看路由表
get router info routing-table all

开启SCP

config system global
set admin-scp enable
end

排错：查看流量走向

diagnose debug flow filter addr 192.168.0.1
diagnose debug flow trace start 20
diagnose debug enable

排错结束后

diagnose debug reset
diagnose debug disable

排错：IPSec

diagnose vpn ike log-filter clear
diagnose vpn ike log-filter dst-addr4 192.168.0.1
diagnose debug app ike 255
diagnose debug enable

排错结束后

diagnose debug reset
diagnose debug disable