chen7362 发表于 2018-6-29 11:43
其他地区网友测试时,他是不是ipsec啊?另外可不可以这样,RAP建立ipsec隧道后不能访问了,但可以ping通47 ...
111.37.21.67这个ip你是无法断开的,你知道现在运营商把一个公网ip nat给很多上网的用户,这个ip是无数用户共享的,你自己获得的ip是10.xx.xxx网段的运营商内网ip,最终出去后体现为111.37.21.67
cloudq 发表于 2018-6-29 12:11
111.37.21.67这个ip你是无法断开的,你知道现在运营商把一个公网ip nat给很多上网的用户,这个ip是无数用 ...
这个我知道,现在运营商都是给的用户一个私有地址,可要实现ipsec的基础是两端都要真正意义的公网IP啊。还有运营商给你的私有地址,实际上才能给你NAT几个协议啊,郁闷。。。。
cloudq 发表于 2018-6-29 12:01
你要注意一点并不是建立ipsec的设备无法访问了,是建立ipsec的整个网段的pc无法访问了,还有就是ipsec只是 ...
包可以从RAP,home route出去,但回不到源。
chen7362 发表于 2018-6-29 14:29
这个我知道,现在运营商都是给的用户一个私有地址,可要实现ipsec的基础是两端都要真正意义的公网IP啊。 ...
NAT-T就是为此而生的,大量的ipsec都在通过NAT-T的 UDP 4500实现中
chen7362 发表于 2018-6-29 14:35
包可以从RAP,home route出去,但回不到源。
这不奇怪,因为rap的ipsec隧道并没有通,但奇怪的是和rap同一个局域网里的pc 也不通了,呵呵
chen7362 发表于 2018-6-29 14:29
这个我知道,现在运营商都是给的用户一个私有地址,可要实现ipsec的基础是两端都要真正意义的公网IP啊。 ...
你对ipsec的了解仅限于早期,现在大量的ipsec都是通过NAT-T协议在运行,下图就是VMC上显示NAT-T的工作情况,已经通过UDP 4500端口做了NAT-T,你去百度一下ipse nat-t就明白其是如何工作的了,这是一个国际标准,大量的设备均早已经支持
chen7362 发表于 2018-6-29 14:35
包可以从RAP,home route出去,但回不到源。
PC的包是不走RAP的,你说他会不到源?可icmp数据包回来了
楼主发下pc 跟踪路由的情况看看
Linux traceroute -n 47.104.193.111
win: tracert -d47.104.193.111
ping通了,说明三层是通的,看下包的路径,看看是否中间有防火墙设备阻挡服务端口了。提供一个思路,下载一个nmap,扫描一下47.104.193.111 看看那些端口开放了,
cloudq 发表于 2018-6-29 16:00
你对ipsec的了解仅限于早期,现在大量的ipsec都是通过NAT-T协议在运行,下图就是VMC上显示NAT-T的工作情 ...
嗯嗯,学习了 老哥:lol
cloudq 发表于 2018-6-29 16:02
PC的包是不走RAP的,你说他会不到源?可icmp数据包回来了
老哥你也知道,通信是双向的,它出去了但不一定它回的来,只允许ICMP进出也很容易,我是一直觉得
111.37.21.67这里缺了点什么。虽然我不一定能帮助你解决问题,但我也是想参与到这个问题中来。homeroute设备的运行配置有没有啊?
iceecream 发表于 2018-6-29 17:05
楼主发下pc 跟踪路由的情况看看
Linux traceroute -n 47.104.193.111
win: tracert -d47.104.193.111
...
47.104.193.111 和 172.31.4.51存在1:1 nat
47.104.193.111 是真实存在的公网ip 现在你就可以访问,呵呵
chen7362 发表于 2018-6-29 17:50
老哥你也知道,通信是双向的,它出去了但不一定它回的来,只允许ICMP进出也很容易,我是一直觉得
111.37 ...
1.问题铁定是数据包回不来了,这点毫无疑问
2.111.37.21.67 这ip不是我的,是运营商我所在小区的出口公网ip
3.home router就是普通的家用路由器,没啥特殊配置,其实就是一台ROS的 RB3011
上面只有简单的dhcp src-nat这些东西