1、SRA认证后显示状态为“认证成功，隧道不存在”，保护子网显示为不可访问

首先建议确认SRA客户端是否是5.1.X版本，目前建议使用5.1.12版本,兼容性会比较好；

1)、排查一：

查看PC的【设备管理器】-【网络适配器】，需要显示隐藏的设备（因为虚拟网卡是隐藏的属性），查看是否存在IPSEC客户端的虚拟网卡：

 

如果不存在的话，需要重新安装客户端程序确保可以安装成功

 

2)、排查二：

 需要确保PC到网关之间的协商端口udp500、udp4500是不是通行的。如果实在不能通，那么可以尝试开启TTG选项进行协商。（网关上同样要启用TTG） TTG也有可能由于用户线路80端被运营商禁用也协商不成功。

网关端也需要在debug账号命令行下开启TTG：ttgctl start

 

3)、排查三：

 需要确认网关上面是否存在同接口的网关到网关的服务器的配置，该网关到网关的配置的认证方式必须要双选，如下：

 

4)、排查四：

 需要确保如果网关上存在同接口的网关到网关的服务器的配置，那么这条隧道配置不能使用FQDN标识，因为SRA客户端使用的也是FQDN标识，会冲突。

说明：

 因为sra接入后的隧道配置是fqdn标识，而且是通配，所以同一接口的服务器配置中还有网关到网关也用fqdn标识的话  可能协商fqdn跑到sra隧道里面了,所以如果同一接口的服务器配置中还有网关到网关也用fqdn标识的话   那么就一定要配置明细fqdn  不能再配置通配方式了。

 

 5)、排查五：

PC的本机时间超过了VPN网关证书的有效期期限内。

 

6)、排查六：

网关的默认出厂的CA证书要保留，可以在管理界面【PKI】-【证书管理】-【证书办法机构】：

如果已经删除掉了，需要重新导入默认CA证书进去。

 

7)、排查七：

可能VPN网关的本机证书出了问题，可以在【IPSEC VPN】-【重载设备证书】操作，然后查看日志记录：

如果看到上述日志记录“公钥与私钥匹配”的情况则表明证书操作是正常的。 如果显示unmatch，那么说明VPN网关证书公钥和私钥不匹配，需要修复网关的证书。

 

8)、排查八：

win7系统要注意获取的虚地址不能是4的倍数或4的倍数减1的值；如192.168.1.3或192.168.1.4 这种地址也会导致隧道协商失败，日志会提示多次协商超时；

 

 

2、SRA拨入时无法获取到地址

在vpn上设备不给绑定表以外的用户分配IP地址

 

3、安全远程接入系统SRA登陆IPSEC VPN提示证书错误

1）确认PC的时区（需特别注意时区）和时间，在证书生效时间范围内；

2）确认VPN服务端上，认证参数——证书认证选项，是否有勾选对应的CA根证书，如果未勾选，在时间日志中也可以看到如下日志：

In certificate authentication, user "" login failed! (get CA certificate failed)

3）如果上述1、2点确认没有问题，再将SRA所用证书的CA根证书与设备的CA根证书进行对比（可导出到本地，用写字板打开查看），看是否使用的CA根证书不一致。

 

注意：如果SRA使用的是用户名密码方式拨入VPN，VPN网关上 认证参数——证书认证 处可以勾选CA根证书，也可以不勾选。

 

4、SRA安装报错，提示驱动安装不成功

需确认是否是64位的操作系统，在SRA 5.1.3版本以前不支持64位系统。

如果是win7 32位home版系统，也建议使用SRA 5.1.3版本。

 

5、VPN设备“证书失效”

服务器和客户端的VPN设备的时间差距太大，导致“证书失效”，请修改客户端或者服务端的时间和时区。

 

6、SRA拨入提示认证成功，隧道已建立，显示保护子网可访问，但是无法访问到保护子网的数据

1）查看隧道通信状态，如果发送、接收数据包相差很大，请检查来回的路由；

2）如果是win7系统，需要注意查看sra获取到的虚IP地址，最后一位是否是4的倍数或者4的倍数减1的数（30位掩码的网络地址及广播地址）

   如果是，需要更换分配的地址，因为使用此类地址，无法在win7系统上写入路由到系统路由表中

3）win7系统，在排查完如上两点之后，需要在VPN网关的ipsec配置模块，远程用户管理——查看用户通信策略菜单下查看使用的ESP加密算法是否为AES；

   如果不是，请修改回AES算法，然后删除VPN网关上之前建立的主机对（隧道配置——对方设备中名称带local及接口名的设备），删除后SRA重新拨入。

4）IPSec VPN-高级选项 中 IPSec通信策略，是直接放行还是按规则处理，如果是按规则处理，需要排查访问规则中是否访问虚拟子网到内网子网的访问；

 

7、SRA客户端登陆VPN网关提示失败

1）保证客户端与中心网关的路由可达的；

2）客户端的时间要和中心网关的系统时间保持一致；

3）客户端所在网络的出口设备必须放开UDP 4949和TCP 4949端口作为客户端认证的端口；

4） 客户端认证的身份（用户名或者证书）必须正确和有效；

5） 如果客户端采用第三方CA证书的方式登陆中心网关，中心网关的“远程用户管理”——“认证参数”——“证书认证设置”中必须勾选该CA根；

6）中心网关的“远程用户管理”——“用户特征码表”不能设置为“禁止接入”的状态。

 

8、SRA远程客户端经常掉线，出现重认证

客户端和网关的保活报文被丢弃，造成重认证现象，请将用户认证=>认证参数=>常规里的参数调大：

 

9、SRA客户端安装出现找不到虚拟网卡提示

请确认SRA的版本是否跟PC系统对应，否则需要重装SRA。

如VPN软件版本在2.60.x或更高版本，强烈推荐使用SRA 5.1.3版本；如VPN软件版本在2.60.x以下，XP系统建议使用2.20.04.2，WIN7建议使用3.01.05（64位系统不支持）

 

10、SRA勾选TTG后无法建立隧道

需要在网关上底层开启TTG命令才有效，如：

[debug@RG-WALL]# ttgctl start

 

11、SRA登陆账号ping内网资源出现丢包，但是更换新用户不丢包

出现丢包的用户的SRA非正常退出，导致隧道残留，使得第二次登陆还使用以前的隧道，导致丢包；可以在VPN网关上查看是否存在大量相同的隧道；

出现此问题时，请确认VPN版本是否为 2.50.03.7E及以后的版本

 

12、SRA登陆提示“认证失败，原因是客户端向网关远程接入服务注册失败”

一般为虚IP地址池自动分配已经分配完所致，可以在VPN网关日志上查看到此日志。

虚IP地址池自动分配时，会按照30位掩码计算，去掉30位掩码的广播地址和网络地址，实际只会分配地址池中一半的地址。

解决方法有二：

1）手动给需要分配IP的用户添加虚IP地址，注意这个手动添加分配的地址不能是4的倍数或者4的倍数减1的数；

2）添加虚IP地址池。（不过要注意，这样做的话，如果VPN是旁挂模式，且没有做虚地址池网段的NAT，需要在交换机上增加到这个虚地址池的路由）

 

13、SRA在win7 home版本上安装不正常

安装时报错：

 

需要关闭win7用户账户控制（UAC），同时使用管理员账号登陆安装和使用。

 

14、win7上运行客户端提示RG-SRA已停止工作：

需要禁用系统的IKE与IPSec服务：

 

15、SRA使用USBkey认证,显示认证失败

1）确认电脑的时间是不是当前的北京时间,注意时区；

2）确认VPN设备的时间是否是当前的北京时间，VPN的时间需要在系统工具－－设备时间中查看；

3）确认在　用户认证－－认证参数－－证书认证中的CA根证书是否有勾选；

4）确认在   证书管理--证书--证书吊销列表  中，没有包含当前USB-Key中的用户证书；

 

16、SRA使用用户名认证，显示认证失败

1）确认电脑的时间是不是当前的北京时间,注意时区

2）确认VPN设备的时间是否是当前的北京时间，VPN的时间需要在系统工具－－设备时间中查看。

3）如果SRA认证方式选择网关本地认证，确认VPN设备上 用户认证--本地用户数据库 中是否有当前输入用户信息，并且用户权限是可登陆的；

4）如果SRA认证方式选择Radius认证，需要确认VPN设备上是否配置了Radius服务器、VPN设备与Radius设备通信正常，并且VPN设备上有当前的用户信息；

5）确认SRA的网关地址是否有填写正确;

6）尝试编辑对应的用户名，对账号进行重新激活；

 

17、SRA隧道协商成功后频繁掉线故障

这种情况一般是由于多个IP使用同一个IP登陆或者保活报文被丢弃导致的，可以通过如下步骤排查：

1）在日志管理--查询日志--客户端登陆日志 中查询IPSec客户端登陆日志（需要2.60.x版本才可以查看，并且需要在VPN上勾选记录IPSec登陆日志），确认一个用户名是否有多个IP登陆；

2）在VPN端和SRA端均开启TTG功能；

3）在VPN设备上修改认证参数（用户认证 -- 认证参数 -- 常规），将IPSec客户端保活中的保活重试次数、保活超时时间适当改大；

4）在SRA和VPN设备的通路上，查找到将报文丢弃的设备，把报文放通，使用的端口有：SRA认证保活端口（TCP/UDP 4949），IPSec保活端口（UDP 500/4500）;

 

18、重新安装SRA提示有老版本存在

该问题是由于系统之前安装了SRA，但没有卸载干净导致的，可以参考如下方法解决：

1、  注册表里面[HKEY_LOCAL_MACHINE\SOFTWARE\锐捷\安全远程接入系统]

删除这个文件夹

2、  C:\Program Files\InstallShield Installation Information

这个是隐藏目录，需要去掉隐藏。

在此目录中删除掉全部文件。（放在回收站，不要清空）

3、  删除客户端的安装目录

4、重新安装客户端后，C:\Program Files\InstallShield Installation Information

   这个目录里面会生成一个文件,   然后在回收站中恢复除了刚刚生成的文件外的其他文件

 

 

19、运行SRA后提示IKE连接超时

查看PC的【设备管理器】-【网络适配器】，需要显示隐藏的设备（因为虚拟网卡是隐藏的属性），查看是否存在IPSEC客户端的虚拟网卡：

如果没有的话，需要重新安装一次客户端，确保可以安装成功

 

 

20、SRA登陆的账号达到尝试错误次数，账号被锁定了管理员如何进行解锁

 1)、在认证参数-常规中，配置本地用户试错配置：

 

如果用户账户输错密码超过此次数，那么用户会被锁死一段时间，

2)、如果要解锁，那么在本地数据库相应用户重新编辑确定一下，该用户可以立即解锁

 

 

21、SRA 客户端登陆时候一直提示在黑名单中

需要确保以下几点：

1)、该登陆的用户处于黑名单中

2)、该用户在离线有效期的范围外，导致该用户每次登陆就会自动加入黑名单；