🔄 FAQ-016 — DRAYTEK 3900 Reconnexion d’un tunnel IPSec¶
Résumé
Procédure rapide pour remonter un tunnel IPSec sur Vigor 3900 sans modification de configuration.
✅ Pré-checks côté site local¶
- Sortie Internet OK :
bat ping 8.8.8.8 - Pair joignable (si autorisé) :
bat ping <IP_publique_pair> - Heures/NTP corrects sur le Vigor (un gros décalage casse IKE).
🧭 Identifier le profil à relancer¶
- Login sur l’interface du Vigor (cf. KeePass).
- Aller VPN > IPsec et noter le profil concerné.
- Ouvrir VPN Status > SA Monitor pour vérifier l’état actuel (Down / Idle / Up).
♻️ Reconnexion propre¶
- Dans SA Monitor, Disconnect/Clear SA du profil visé.
- Revenir à VPN > IPsec :
- Disable le profil 5 s → Enable.
- Lancer Connect/Dial depuis SA Monitor.
- Ouvrir VPN Log et suivre les phases :
- Phase 1 (IKE SA) → Phase 2 (IPSec SA).
Ordre alternatif si interface figée
SA Monitor → Clear All → Reboot logiciel du routeur → relancer Connect une fois l’interface revenue.
🔎 Si la connexion échoue¶
- No proposal chosen → désaccord crypto : vérifier Phase 1/2 avec le pair.
- MISMATCH ID/PSK → recoller la PSK (copier depuis KeePass) des deux côtés.
- Peer not responding / DPD timeout → vérifier IP publique distante, filtres opérateur, NAT intermédiaire.
- Local/Remote Policy mismatch → sous-réseaux (CIDR) mal saisis ou superposés.
🧰 Contrôles rapides de cohérence¶
- NAT-T activé si l’un des côtés est derrière NAT.
- PFS et Group identiques aux paramètres du pair.
- Lifetime cohérents (ex. 28 800s / 3 600s).
- Local/Remote ID (FQDN/IP) conformes.
- UDP 500/4500 et ESP (50) non bloqués.
🧪 Tests post-reconnexion¶
- Ping inter-sites :
bat ping <IP_lan_pair> - Traceroute :
bat tracert <IP_lan_pair> - Accès à une ressource distante (NAS/serveur).
📎 Captures à déposer¶
✅ Checklist de sortie¶
- Tunnel Up et trafic OK.
- Logs sans erreurs récurrentes.
- Horloge NTP synchronisée.
- Nouvelle sauvegarde config si un ajustement a été fait.