无
某局点总部和分部分别采用F1020做出口设备,刚开始分支通过总部fw映射出来的地址访问总部服务器,后期出于安全性考虑,想实现分支访问总部服务器经过ipsec 加密,两边IPsec 能正常建立,分支ping 总部服务器也能ping 通,但是分支的电脑无法打开总部服务器的web界面。
之前分支通过总部映射出来可以正常访问,但是通过ipsec 无法访问,所以怀疑是ipsec 加密导致,但是又能ping 通,所以怀疑是两边的TCP、MTU问题导致,让客户修改外网口的tcp mss 1024,mtu 1440,但是还不行,后续mtu 多次测试改其他的也还是不行。
按照下面修改之后,问题解决,可以正常打开。
1. 修改内网口的TCP mss,MTU不动
2. TCP mss的值通过dis ipsec sa 看sa 的mtu,然后减去40
tcp mss=mtu-40
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作