设置
所有 23 个分支机构均已:
- ADSL 和 VDSL 互联网连接的混合。
- Cyberoam CR10iNG。
- 到总部 Cyberoam CR35iNG 的站点到站点 IPsec VPN。
- 到数据中心 Cyberoam CR50iNG 的站点到站点 IPsec VPN。
变化
3 个不同分支机构的互联网连接从 ADSL 升级到 FTTC,因此,他们的调制解调器从 ZyXEL P-660R-D1s 升级到 ZyXEL VMG1312-B10As(BT-/OpenReach 认可的 VDSL 调制解调器,因为 BT 不再提供 VDSL 调制解调器),并且 Cyberoam CR10iNGs 的 WAN 接口被重新配置为使用 PPPoE。
症状
自从:
- 所有 IPsec VPN 连接成功。
- 尝试通过 IPsec VPN 访问资源(通过 HTTPS 访问 RDWeb、通过 RDP 访问 RDSH 服务器等)会加载少量数据(RDWeb 的蓝色背景和网页标题、RDSH 服务器的证书等),但最终会超时。
- 尝试通过 Internet 访问相同的资源(AD DS 域作为 Web 域的子域的优势)加载完美。
- 所有 IPsec VPN 绑定流量(IKE、ESP、HTTPS、RDP 等)均被正确路由并允许两端。
答案1
我们推测有两个根本原因:
- ISP 正在限制 VPN 流量。我们联系了 ISP,他们澄清说,该互联网连接是用于商业用途的,因此不会进行限制。
- 一个 VDSL 调制解调器错误。我们发现http://support.aa.net.uk/VMG1312-B10A:_Bugs#PPPoE_Session-ID_caching_bug_.28In_Bridge_mode.29其中指出,除其他事项外,确实存在一个影响 PPPoE 和 IPsec 流量的错误,因此我们用 DrayTek Vigor 130(另一款 BT-/OpenReach 认可的 VDSL 调制解调器)替换了 ZyXEL VMG1312-B10A,从而解决了该问题。