求助一个奇怪的网络问题，希望有细心人能看明白，并且给推断一下原因，有奖解决

cloudq

chen7362 发表于 2018-6-29 17:50
老哥你也知道，通信是双向的，它出去了但不一定它回的来，只允许ICMP进出也很容易，我是一直觉得
111.37 ...

问题现在aruba官方工程师已经介入，解决是早晚的事，只不过是发来看看这到底是啥原因，其实aruba 的人对这事也感觉挺怪的，呵呵

sdec040721

问题出在你的home router的路由表上, 看看这个路由表在建立ipsec之后变化成了什么样?

chen7362

cloudq 发表于 2018-6-29 19:57
1.问题铁定是数据包回不来了，这点毫无疑问
2.111.37.21.67 这ip不是我的，是运营商我所在小区的出口公 ...

如此简单了么，要么找运营商给你个公网IP，要么让运营商给111.37.21.67至home route 获取到的IP在加做 NAT             在早我就以需要使用VPN为理由找电信给了公网IP。不过如你所说，最奇怪的是和rap同一个局域网里的pc 也不通了，好奇   好奇。。。

chen7362

cloudq 发表于 2018-6-29 20:04
问题现在aruba官方工程师已经介入，解决是早晚的事，只不过是发来看看这到底是啥原因，其实aruba 的人对 ...

到时候解决了 要来讲后续哈，老哥。

chen7362

sdec040721 发表于 2018-6-29 22:32
问题出在你的home router的路由表上, 看看这个路由表在建立ipsec之后变化成了什么样?

估计home router上也没多少条路由，毕竟是小区家用宽带的环境，通常都是全部转发到默认路由去了。

cloudq

sdec040721 发表于 2018-6-29 22:32
问题出在你的home router的路由表上, 看看这个路由表在建立ipsec之后变化成了什么样?

RAP发起的ipsec,他能影响的路由表只有自己的和远端服务器的，他不可能干预到home router的路由表

cloudq

chen7362 发表于 2018-6-30 00:35
估计home router上也没多少条路由，毕竟是小区家用宽带的环境，通常都是全部转发到默认路由去了。

RAP发起的ipsec,他能影响的路由表只有自己的和远端服务器的，他不可能干预到home router的路由表

cloudq

chen7362 发表于 2018-6-30 00:24
如此简单了么，要么找运营商给你个公网IP，要么让运营商给111.37.21.67至home route 获取到的IP在加做 NA ...

这点你都想不通了？ 这点很容易想通，远端服务器在收到ipsec连接之后，本来没有连接之之前把源ip111.37.21.67的数据包发到物理接口上，当ipsec建立的时候，把源ip111.37.21.67的数据包发到隧道上去了，不就造成这种现象了么？

cloudq

sdec040721 发表于 2018-6-29 22:32
问题出在你的home router的路由表上, 看看这个路由表在建立ipsec之后变化成了什么样?

这种就是我所提到的庸医，头脑不经过任何考虑，就开始乱猜，从原理上，你说这事可能发生么？

日照无线

应该是服务器端NAT问题与ipsec穿透共同造成的，如果服务器能PING 通是能PING通服务器的网关，并不是服务器，服务器ipsec建立时，会发生NAT-T。不再做地址转换，直接使用UDP4500端口通信。原1：1nat失效。当然没有办法SSH等进入服务器。PING通只是PING通了服务器网关的公网地址，与服务器没有关系。5分好评加666给我

日照无线

IPSEC封装时，是把IPSEC的源目地址也一起封装了，外边虽然加了IP包头信息，１：１NAT网关也做了地址转换，但IPSEC包内部的源目IP是没做NAT的。所以解决了ipsecNAT穿透。而封装的IPSEC源目地址是RAP跟远程服务器的内网地址段。建立IPSEC后，这两个址会生成路由信息，不再经过1：1网关的NAT。所以两个网段由原来的经过NAT映射的方式通信，改成了路由的方式，而其它主机因为没有IPSEC隧道也就没有路由表，也就没有办法通信。

chen7362

cloudq 发表于 2018-6-30 06:01
这点你都想不通了？ 这点很容易想通，远端服务器在收到ipsec连接之后，本来没有连接之之前把源ip111.37.2 ...

老哥，你在17楼说的          “这不奇怪，因为rap的ipsec隧道并没有通，但奇怪的是和rap同一个局域网里的pc 也不通了，呵呵”          而此时我忽略了你在帖子第5条中  写的是只要RAP建立ipsec隧道，PC立刻无法访问47.104.193.111上的任何服务了。。。。哈哈，尴尬了    我还多想了一些，以为PC连baidu都访问不了了。