cloudq 发表于 2018-7-1 15:53
来我现在挨个回答各个问题
1.运营商边缘路由器是一大堆人共享,他不会给任何人做任何映射,他上面唯 ...
emmm,,,
什么设置让防火墙代为响应ICMP还真不知道,还没接触过真正意义的防火墙。路由器可以丢弃来自WAN的icmp包这个还晓得。所以光通过ping来判断通断太片面了。
至于回传到什么错误地方去了?还望老哥继续分析呢
本帖最后由 axinchan 于 2018-7-10 09:44 编辑
这个应该通过分别在两边的ipsec设备的wan口上抓包看非加密访问是不是被封装到ipsec 里了.
抓不到就是说明封装到ipsec里了.
然后要看配置策略, 看为什么会出现这种情况.
ipsec是通过目标地址来进行封装的, 有的会创建一个虚拟的隧道设备来"管理"虚拟路由,有的则不会.
主要是看得出结论,看数据是在去的路上出现问题,还在是回来的路上出现了问题.然后再走下一步
axinchan 发表于 2018-7-10 09:43
这个应该通过分别在两边的ipsec设备的wan口上抓包看非加密访问是不是被封装到ipsec 里了.
抓不到就是 ...
这么多庸医,终于有一个人看到点子上了,的确是由于路由问题造成不应该加密的包被加密了,所以造成了这种情况.
当然官方最终测试的结果是ipsec隧道建立之后,AC控制器应该发出一个Helo包到隧道上,但这个包没见发出来,
不过我这边的测试是,tmd ipsec隧道建立后,隧道根本不通,立刻就断了,像是把应该从物理口发出的数据给发到ipsec隧道去了,发过去后隧道就断,隧道断了就重新建立,再发过去,再断。。
1, ipsec不兼容, 从你描述的一边有虚拟地址(虚拟路由)一边没有来判断,两边使用了不同的ipsec套件. 虽然ipsec是标准,但不同的产品ipsec不兼容是常有的事情. 或者说有一些选项不支持(ipsec太tmd复杂了)
2,1:1nat会不会有兼容性(与ipsec)问题,也不好判断.
3,如果home gateway没有公网地址,然后需要在运营商那里再做一次nat的话,也有可能会带来兼容性的问题.这个好像ipsec也有兼容选项,具体不大记得了.
我说说我的理解吧,当ipsec建立后,本地内网所有用户地址将转换为对端的ipsec服务分配的地址,但是,对端的ipsec地址池不能直接访问在47.104.193.111这ip上,也就是说,你的客户端需要做一个设置,将原来的47.104.193.111这个地址换成172.31.4.52做访问,前提是如果rap是内网作为分配ip地址的dhcp的话;还有第二种可能,就是ipsec用的是udp端口,如果服务端用tcp的,那这种连接存在的缺陷是不能直接访问对端的tcp协议服务,你可以试试将ipsec服务换掉