我对这个感到困惑,我很感激任何关于这个场景的帮助,因为这看起来很奇怪。
我们有 3 个域控制器:
DC1 - 192.168.1.2 - 主办公室(PFSense 的 LAN 端口)
DC2 - 192.168.1.4 - 主办公室(PFSense 的 LAN 端口)
PFSense - 192.168.1.1 LAN 端口上的静态 IP。用作 DC1 和 DC2 以及其余 LAN 的网关。
网关(RV082) - 192.168.3.1
|
分支机构网关(RV082) - 192.168.0.1
DC3 - 192.168.0.101 - 通过网关-网关 VPN 连接的分支机构(Cisco RV082)
**DC1 和 DC2 都可以 ping 并连接到 DC3。
DC3 目前能够 ping 通并连接到 DC1,但无法 ping 通或连接到 DC2。**
下面的 tracert 显示了从 DC3 采取的路径。我无法弄清楚 172.*.*.* 地址是什么,为什么 DC1 可以工作而 DC2 却不行。也无法弄清楚为什么连接到两个 DC 在第 4 跳时采用不同的路径。
**从 192.168.0.101 (DC3) 进行 Tracert**
Tracert 192.168.1.2 (DC1)
跟踪到 192.168.1.2 的路由,最多 30 个跳数
1 <1 毫秒 <1 毫秒 <1 毫秒 192.168.0.2
2 6 毫秒 6 毫秒 6 毫秒 64-89-6-100.static.wntpr.net [64.89.6.100]
3 7 毫秒 18 毫秒 19 毫秒 ras-180-5.wntpr.net [196.12.180.5]
4 12 毫秒 12 毫秒 12 毫秒 172.30.252.97
5 12 毫秒 12 毫秒 12 毫秒 192.168.1.2
跟踪完成。
Tracert 192.168.1.4 (DC2)
跟踪到 192.168.1.4 的路由,最多 30 个跳数
1 <1 毫秒 <1 毫秒 <1 毫秒 192.168.0.2
2 6 毫秒 6 毫秒 6 毫秒 64-89-6-100.static.wntpr.net [64.89.6.100]
3 6 毫秒 7 毫秒 7 毫秒 ras-180-5.wntpr.net [196.12.180.5]
4 11 毫秒 11 毫秒 11 毫秒 172.30.253.125
5 172.30.253.125 报告:目标主机不可访问。
跟踪完成。
是否存在 PFSense 配置问题?因为我们过去能够毫无问题地连接。
答案1
看起来您缺少了一条路由,或者您的 LAN 规则上的策略路由不正确,强制该流量流向 Internet,因此流量是通过 Internet 而不是 VPN 传输的。
答案2
网络不可达通常意味着报告系统不知道如何到达相关网络。
主机不可达通常意味着报告系统可以访问网络,但无法访问相关的主机。
就您而言,主机无法访问消息可能是防火墙服务规则、NAT 规则/表、路由配置错误或报告该消息的设备上 ARP 缓存的问题。我猜 172.30.xx 地址是 VPN 连接两侧的 VPN 端点。找到使用 172.30.253.125 的端点,并查看其服务规则集、NAT 规则集、路由配置以及动态和/或静态 ARP 表。