我刚刚升级了我们的路由器,正在按照旧路由器的方式进行设置。新路由器是 Draytek Vigor 3900。
我们有许多站点通过 IPSec 隧道拨入我们的主要 Draytek 3900。这除子网地址外,本文几乎完全描述了我们的设置。
主分支/HQ 为192.168.1.0/24,分支机构为192.168.2-6.0/24。所有分支机构均可与主分支/HQ 通信,主分支/HQ 也可与所有分支机构通信。
由于某种原因,分支机构可以相互 ping 但无法访问路由器 GUI 或分支机构本地子网上运行的任何其他服务。
对于以下示例,我尝试在分支 2 ( 192.168.2.0/24) 和分支 3 ( 192.168.3.0/24) 之间进行通信。在所有位置,“X.99”都是路由器/网关。
从主分支/总部 ping 至分支 2
PING 192.168.2.99 (192.168.2.99) from 192.168.1.99: 56 data bytes
64 bytes from 192.168.2.99: icmp_seq=0 ttl=255 time=42.9 ms
64 bytes from 192.168.2.99: icmp_seq=1 ttl=255 time=43.3 ms
64 bytes from 192.168.2.99: icmp_seq=2 ttl=255 time=57.2 ms
64 bytes from 192.168.2.99: icmp_seq=3 ttl=255 time=43.6 ms
64 bytes from 192.168.2.99: icmp_seq=4 ttl=255 time=42.6 ms
--- 192.168.2.99 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 42.6/45.9/57.2 ms
Send ICMP ECHO_REQUEST packets done.
从分支 2 ping 到分支 3
Pinging 192.168.3.99 with 64 bytes of Data through WAN8:
Receive reply from 192.168.3.99, time=90ms
Receive reply from 192.168.3.99, time=80ms
Receive reply from 192.168.3.99, time=90ms
Receive reply from 192.168.3.99, time=80ms
Receive reply from 192.168.3.99, time=80ms
Packets: Sent = 5, Received = 5, Lost = 0 (0% loss)
从分支 3 ping 到分支 2
Pinging 192.168.2.99 with 64 bytes of Data through WAN8:
Receive reply from 192.168.2.99, time=80ms
Receive reply from 192.168.2.99, time=190ms
Receive reply from 192.168.2.99, time=80ms
Receive reply from 192.168.2.99, time=80ms
Receive reply from 192.168.2.99, time=80ms
Packets: Sent = 5, Received = 5, Lost = 0 (0% loss)
运行上述所有测试时,所有防火墙均已禁用。所有 VPN 均为 IPSec AES 无身份验证。RIP 方向在分支 2、3、4、5 和 6 上设置为禁用。
我是否遗漏了某些东西,导致除 ping 测试之外的其他任何测试无法在分支之间进行?
答案1
如果您无法访问远程路由器以外的任何服务,则表明路由器未配置为将流量从 VPN 链路转发到本地子网或通过 VPN 链路从本地子网转发,或同时转发两者。检查每个路由器上的路由表,确保它们对每个远程子网都有正确的路由(通过适当的 VPN 链路,而不是到默认网关)。默认情况下,每个路由器都会为其对等路由器(其他路由器)提供 /32 路由,但可能没有为其子网提供 /24 路由。还要验证您没有任何防火墙规则。