f1030防火牆IPSEC單通
- 0關注
- 0收藏,266瀏覽
問題描述:
總部華為ar6300路由器,分公司華三F1030防火牆,做了IPSEC,之前兩端網段互通正常,今天把分公司下的192.168.90網段服務器搬到了總部,然後總部添加了192.168.90網段到分公司192.169.0網段的IPSEC數據流,很奇怪 ,192.168.90能訪問192.169.0,但是192.169.0訪問不了總部192.168.90,分公司路由追蹤到192.168.90網段,到中途公網IP後就全是星號了,感覺是到不了總部,幾個網段的結果 都不一樣
C:\Users\ynww>tracert 192.168.254.100
通過最多 30 個躍點跟蹤到 192.168.254.100 的路由
1 * * * 請求超時。
2 <1 毫秒 <1 毫秒 <1 毫秒 10.1.3.1
3 <1 毫秒 <1 毫秒 <1 毫秒 10.1.2.1
4 55 ms 1 ms 1 ms 61.166.187.113
5 2 ms 7 ms 7 ms 182.242.3.241
6 1 ms 7 ms 7 ms 182.242.0.2
7 2 ms 2 ms 2 ms 106.57.243.14
8 1 ms 1 ms 1 ms 61.138.192.49
9 * * * 請求超時。
10 * * * 請求超時。
11 * * * 請求超時。
C:\Users\ynww>tracert 192.168.92.32
通過最多 30 個躍點跟蹤到 192.168.92.32 的路由
1 * * * 請求超時。
2 <1 毫秒 <1 毫秒 <1 毫秒 10.1.3.1
3 <1 毫秒 <1 毫秒 <1 毫秒 10.1.2.1
4 * * * 請求超時。
5 * * * 請求超時。
6 1 ms 1 ms 1 ms 192.168.92.32
跟蹤完成。
C:\Users\ynww>ping 192.168.92.32
正在 Ping 192.168.92.32 具有 32 字節的數據:
來自 192.168.92.32 的回複: 字節=32 時間=1ms TTL=59
來自 192.168.92.32 的回複: 字節=32 時間=2ms TTL=59
請求超時。
來自 192.168.92.32 的回複: 字節=32 時間=2ms TTL=59
192.168.92.32 的 Ping 統計信息:
數據包: 已發送 = 4,已接收 = 3,丟失 = 1 (25% 丟失),
往返行程的估計時間(以毫秒為單位):
最短 = 1ms,最長 = 2ms,平均 = 1ms
- 2025-05-17提問
- 舉報
-
(0)
你這個不對呀,這都走公網去了,沒進隧道,你檢查一下感興趣流配置吧
- 2025-05-17回答
- 評論(3)
- 舉報
-
(0)
每個網段都一樣做的啊,所以奇怪 。就是因為都出公網了,但是又到了不對端
而且幾個網段都是一個IPSEC通道,另個通這個不通
看看你ACL怎麼寫的。這個問題的看到兩端配置後在確定了
H3C設備看tracert結果要在後台配ip unreach en/ip ttl en,否則不響應tracert
- 2025-05-17回答
- 評論(5)
- 舉報
-
(0)
開了。還是一樣,我是奇怪 為啥會出現 這種單通的情況?IPSEC數據流配置肯定是沒問題了,每個網段都一樣
估計要麼就是流量被nat轉換了,或者說沒有被esp封裝上隧道
直接在防火牆web界麵開個報文示蹤看一眼真實流量走向唄,有esp封裝過去就不管,沒封裝就是路由或ipsec有問題
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
看看你ACL怎麼寫的。這個問題的看到兩端配置後在確定了