[求助] 求助一个奇怪的网络问题，希望有细心人能看明白，并且给推断一下原因，有奖解决

844 回帖	1168 积分	1155 小时在线时间

注册时间: 2015-4-26

金币: 26 个

威望: 4 个

荣誉: 2 个

发消息

尚未签到

发表于 2018-6-29 12:11

chen7362 发表于 2018-6-29 11:43
其他地区网友测试时，他是不是ipsec啊？另外可不可以这样，RAP建立ipsec隧道后不能访问了，但可以ping通47 ...

111.37.21.67这个ip你是无法断开的，你知道现在运营商把一个公网ip nat给很多上网的用户，这个ip是无数用户共享的，你自己获得的ip是10.xx.xxx网段的运营商内网ip,最终出去后体现为111.37.21.67

97 回帖	521 积分	115 小时在线时间

注册时间: 2015-11-14

金币: 407 个

威望: 1 个

荣誉: 0 个

发消息

累计签到：4 天
连续签到：0 天
[LV.20]漫游旅程

发表于 2018-6-29 14:29

cloudq 发表于 2018-6-29 12:11
111.37.21.67这个ip你是无法断开的，你知道现在运营商把一个公网ip nat给很多上网的用户，这个ip是无数用 ...

这个我知道，现在运营商都是给的用户一个私有地址，可要实现ipsec的基础是两端都要真正意义的公网IP啊。还有运营商给你的私有地址，实际上才能给你NAT几个协议啊，郁闷。。。。

97 回帖	521 积分	115 小时在线时间

注册时间: 2015-11-14

金币: 407 个

威望: 1 个

荣誉: 0 个

发消息

累计签到：4 天
连续签到：0 天
[LV.20]漫游旅程

发表于 2018-6-29 14:35

cloudq 发表于 2018-6-29 12:01
你要注意一点并不是建立ipsec的设备无法访问了，是建立ipsec的整个网段的pc无法访问了,还有就是ipsec只是 ...

包可以从RAP，home route出去，但回不到源。

Anywlan官方QQ群

844 回帖	1168 积分	1155 小时在线时间

注册时间: 2015-4-26

金币: 26 个

威望: 4 个

荣誉: 2 个

发消息

尚未签到

发表于 2018-6-29 15:53

chen7362 发表于 2018-6-29 14:29
这个我知道，现在运营商都是给的用户一个私有地址，可要实现ipsec的基础是两端都要真正意义的公网IP啊。 ...

NAT-T就是为此而生的，大量的ipsec都在通过NAT-T的 UDP 4500实现中

844 回帖	1168 积分	1155 小时在线时间

注册时间: 2015-4-26

金币: 26 个

威望: 4 个

荣誉: 2 个

发消息

尚未签到

发表于 2018-6-29 15:54

chen7362 发表于 2018-6-29 14:35
包可以从RAP，home route出去，但回不到源。

这不奇怪，因为rap的ipsec隧道并没有通，但奇怪的是和rap同一个局域网里的pc 也不通了，呵呵

844 回帖	1168 积分	1155 小时在线时间

注册时间: 2015-4-26

金币: 26 个

威望: 4 个

荣誉: 2 个

发消息

尚未签到

发表于 2018-6-29 16:00

chen7362 发表于 2018-6-29 14:29
这个我知道，现在运营商都是给的用户一个私有地址，可要实现ipsec的基础是两端都要真正意义的公网IP啊。 ...

你对ipsec的了解仅限于早期，现在大量的ipsec都是通过NAT-T协议在运行，下图就是VMC上显示NAT-T的工作情况，已经通过UDP 4500端口做了NAT-T,你去百度一下ipse nat-t就明白其是如何工作的了，这是一个国际标准，大量的设备均早已经支持

本帖子中包含更多资源

您需要登录才可以下载或查看，没有账号？注册

844 回帖	1168 积分	1155 小时在线时间

注册时间: 2015-4-26

金币: 26 个

威望: 4 个

荣誉: 2 个

发消息

尚未签到

发表于 2018-6-29 16:02

chen7362 发表于 2018-6-29 14:35
包可以从RAP，home route出去，但回不到源。

PC的包是不走RAP的，你说他会不到源？可icmp数据包回来了

iceecream

11 回帖	53 积分	18 小时在线时间

新兵上阵

注册时间: 2008-8-30

金币: 34 个

威望: 1 个

荣誉: 0 个

发消息

尚未签到

发表于 2018-6-29 17:05

楼主发下pc 跟踪路由的情况看看
Linux traceroute -n 47.104.193.111
win： tracert -d 47.104.193.111
ping通了，说明三层是通的，看下包的路径，看看是否中间有防火墙设备阻挡服务端口了。提供一个思路，下载一个nmap，扫描一下47.104.193.111 看看那些端口开放了，

97 回帖	521 积分	115 小时在线时间

注册时间: 2015-11-14

金币: 407 个

威望: 1 个

荣誉: 0 个

发消息

累计签到：4 天
连续签到：0 天
[LV.20]漫游旅程

发表于 2018-6-29 17:37

cloudq 发表于 2018-6-29 16:00
你对ipsec的了解仅限于早期，现在大量的ipsec都是通过NAT-T协议在运行，下图就是VMC上显示NAT-T的工作情 ...

嗯嗯，学习了老哥

97 回帖	521 积分	115 小时在线时间

注册时间: 2015-11-14

金币: 407 个

威望: 1 个

荣誉: 0 个

发消息

累计签到：4 天
连续签到：0 天
[LV.20]漫游旅程

发表于 2018-6-29 17:50

cloudq 发表于 2018-6-29 16:02
PC的包是不走RAP的，你说他会不到源？可icmp数据包回来了

老哥你也知道，通信是双向的，它出去了但不一定它回的来，只允许ICMP进出也很容易，我是一直觉得
111.37.21.67这里缺了点什么。虽然我不一定能帮助你解决问题，但我也是想参与到这个问题中来。home route 设备的运行配置有没有啊？

844 回帖	1168 积分	1155 小时在线时间

注册时间: 2015-4-26

金币: 26 个

威望: 4 个

荣誉: 2 个

发消息

尚未签到

发表于 2018-6-29 19:37

iceecream 发表于 2018-6-29 17:05
楼主发下pc 跟踪路由的情况看看
Linux traceroute -n 47.104.193.111
win： tracert -d 47.104.193.111
...

47.104.193.111 和 172.31.4.51存在1:1 nat

47.104.193.111 是真实存在的公网ip 现在你就可以访问，呵呵

844 回帖	1168 积分	1155 小时在线时间