检查远程服务器端口是否阻塞了我的IKEv2 2/IPSec VPN连接

Question

我正在使用Ubuntu上的StrongSwan来尝试建立到远程IKEv2 IPSec VPN服务器的站点到站点VPN连接，但是我的连接请求似乎没有到达远程服务器。

我是否可以使用我的服务器来检查我试图连接的端口是否被远程服务器的防火墙丢弃？

尝试在已知可以工作的VPN服务器上使用telnet <remote-ip> 500，但该命令只是在超时。我没有访问远程VPN服务器的权限。

谢谢!

StrongSwan Logs

initiating IKE_SA remoteServer[3] to 2.2.2.2
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) V ]
sending packet: from 10.150.0.33[500] to 2.2.2.2[500] (1256 bytes)
retransmit 1 of request with message ID 0
sending packet: from 10.150.0.33[500] to 2.2.2.2[500] (1256 bytes)
retransmit 2 of request with message ID 0
sending packet: from 10.150.0.33[500] to 2.2.2.2[500] (1256 bytes)
retransmit 3 of request with message ID 0
sending packet: from 10.150.0.33[500] to 2.2.2.2[500] (1256 bytes)
retransmit 4 of request with message ID 0
sending packet: from 10.150.0.33[500] to 2.2.2.2[500] (1256 bytes)
retransmit 5 of request with message ID 0
sending packet: from 10.150.0.33[500] to 2.2.2.2[500] (1256 bytes)
giving up after 5 retransmits
establishing IKE_SA failed, peer not responding
establishing connection 'remoteServer' failed

sudo tcpdump udp端口500 (从客户端捕获)

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens4, link-type EN10MB (Ethernet), capture size 262144 bytes
13:14:25.475539 IP my-server.us-east4-c.c.foo-bar-142406.internal.isakmp > 2.2.2.2.isakmp: isakmp: parent_sa ikev2_init[I]
13:14:29.475878 IP my-server.us-east4-c.c.foo-bar-142406.internal.isakmp > 2.2.2.2.isakmp: isakmp: parent_sa ikev2_init[I]
13:14:36.676279 IP my-server.us-east4-c.c.foo-bar-142406.internal.isakmp > 2.2.2.2.isakmp: isakmp: parent_sa ikev2_init[I]
13:14:49.636657 IP my-server.us-east4-c.c.foo-bar-142406.internal.isakmp > 2.2.2.2.isakmp: isakmp: parent_sa ikev2_init[I]
13:15:12.965064 IP my-server.us-east4-c.c.foo-bar-142406.internal.isakmp > 2.2.2.2.isakmp: isakmp: parent_sa ikev2_init[I]
13:15:54.955428 IP my-server.us-east4-c.c.foo-bar-142406.internal.isakmp > 2.2.2.2.isakmp: isakmp: parent_sa ikev2_init[I]

Answer 1

要确定您的流量是否到达远程VPN服务器，您必须询问该服务器的管理员。

但是，使用tcpdump，您可以查找ICMP流量，这表明您的通信量的目的地是不可到达的。例如，您可以这样检查：

sudo tcpdump -w vpn.pcap 'host 2.2.2.2 or icmp[0] = 3'

这可能会捕获比您想要的更多的ICMP流量。

最后，您可以通过使用Wireshark检查vpn.pcap来检查服务器发送的IKE第1阶段参数。第一个IKE消息总是未加密的，Wireshark有不错的数据包分解器。

如果初始IKE_SA_INIT请求不包含正确的参数，则某些VPN服务器根本不会响应。

关于NAT，当设置了适当的选项时，IKEv2可以处理这个问题。