求助一个奇怪的网络问题，希望有细心人能看明白，并且给推断一下原因，有奖解决

chen7362

cloudq 发表于 2018-7-1 15:53
来我现在挨个回答各个问题
1.运营商边缘路由器是一大堆人共享，他不会给任何人做任何映射，他上面唯 ...

emmm，，，
    什么设置让防火墙代为响应ICMP还真不知道，还没接触过真正意义的防火墙。路由器可以丢弃来自WAN的icmp包这个还晓得。所以光通过ping来判断通断太片面了。

  至于回传到什么错误地方去了？还望老哥继续分析呢

   

axinchan

这个应该通过分别在两边的ipsec设备的wan口上抓包看非加密访问是不是被封装到ipsec 里了．　

抓不到就是说明封装到ipsec里了．　
然后要看配置策略，　看为什么会出现这种情况．

ipsec是通过目标地址来进行封装的，　有的会创建一个虚拟的隧道设备来＂管理＂虚拟路由，有的则不会．　

主要是看得出结论，看数据是在去的路上出现问题，还在是回来的路上出现了问题．然后再走下一步

cloudq

axinchan 发表于 2018-7-10 09:43
这个应该通过分别在两边的ipsec设备的wan口上抓包看非加密访问是不是被封装到ipsec 里了．　

抓不到就是 ...

这么多庸医，终于有一个人看到点子上了，的确是由于路由问题造成不应该加密的包被加密了，所以造成了这种情况.

当然官方最终测试的结果是ipsec隧道建立之后，AC控制器应该发出一个Helo包到隧道上，但这个包没见发出来，

不过我这边的测试是，tmd ipsec隧道建立后，隧道根本不通，立刻就断了，像是把应该从物理口发出的数据给发到ipsec隧道去了，发过去后隧道就断，隧道断了就重新建立，再发过去，再断。。

axinchan

1,　ipsec不兼容，　从你描述的一边有虚拟地址（虚拟路由）一边没有来判断，两边使用了不同的ipsec套件．　虽然ipsec是标准，但不同的产品ipsec不兼容是常有的事情．　或者说有一些选项不支持（ipsec太tmd复杂了）
２，1:1nat会不会有兼容性（与ipsec)问题，也不好判断．　
３，如果home gateway没有公网地址，然后需要在运营商那里再做一次nat的话，也有可能会带来兼容性的问题．这个好像ipsec也有兼容选项，具体不大记得了．　　

何太清

我说说我的理解吧，当ipsec建立后，本地内网所有用户地址将转换为对端的ipsec服务分配的地址，但是，对端的ipsec地址池不能直接访问在47.104.193.111这ip上，也就是说，你的客户端需要做一个设置，将原来的47.104.193.111这个地址换成172.31.4.52做访问，前提是如果rap是内网作为分配ip地址的dhcp的话；还有第二种可能，就是ipsec用的是udp端口，如果服务端用tcp的，那这种连接存在的缺陷是不能直接访问对端的tcp协议服务，你可以试试将ipsec服务换掉