GER5200 能ping通DNS 不能上网

是所有的都不能，终端用这个Mer5200 上边的线就可以上网

根据您描述的问题，以下是逐步排查和解决问题的建议：

---

### **1. 验证实际网络访问情况**
- **测试浏览器访问**：使用终端浏览器尝试访问HTTP（如http://www.baidu.com）和HTTPS（如https://www.qq.com）网站，确认是否所有流量被阻断，或仅是ICMP（ping）受限。
- **使用其他协议测试**：尝试 `curl -v http://www.baidu.com` 或 `telnet www.baidu.com 80`，检查TCP连接是否成功。

---

### **2. 检查防火墙/ACL规则**
- **临时禁用防火墙**：在GER5200管理界面中，暂时关闭防火墙功能，测试是否恢复上网。若恢复，则需检查防火墙规则。
- **检查出站规则**：确保没有规则阻止80（HTTP）、443（HTTPS）端口或所有出站流量。特别注意是否存在针对内网IP或MAC地址的限制。

---

### **3. 确认NAT配置**
- **检查NAT规则**：进入GER5200的NAT设置页面，确保两条WAN线路均启用了源地址转换（SNAT/Masquerade），且规则适用于所有内网IP段。
- **多线负载均衡**：若配置了负载均衡，尝试切换为“主备模式”或单独启用一条线路，观察问题是否消失，以排除策略配置错误。

---

### **4. 路由与负载均衡策略**
- **默认路由检查**：确认两条线路的默认网关正确，且路由表无冲突。负载均衡策略应合理分配流量（如基于源IP或会话）。
- **策略路由测试**：若配置了策略路由（如特定IP走指定线路），暂时取消策略，观察是否恢复正常。

---

### **5. DNS深层验证**
- **更换DNS服务器**：在终端手动设置DNS为公共DNS（如`114.114.114.114`或`8.8.8.8`），排除运营商DNS劫持或污染。
- **nslookup诊断**：在终端执行 `nslookup www.baidu.com`，确认解析结果是否一致，并检查响应时间是否正常。

---

### **6. MTU问题排查**
- **调整MTU值**：在GER5200的WAN接口设置中，将MTU从1500改为1492（适用于PPPoE拨号），避免因分片导致数据包丢弃。
- **终端MTU测试**：在终端使用 `ping -l 1472 www.baidu.com`（Windows）或 `ping -s 1472 www.baidu.com`（Linux），若1472+28=1500字节失败，则需降低MTU。

---

### **7. 线路与接口检测**
- **单线测试**：断开其中一条WAN线路，仅保留一条在线，测试终端是否能正常上网。重复测试另一条线路，确认是否存在单线故障。
- **接口状态检查**：确保两条WAN接口均显示为“已连接”状态，且无错误包（Error/Drop）计数。

---

### **8. 抓包分析**
- **路由器抓包**：在GER5200上对WAN和LAN接口抓包，观察终端发起请求时：
- 内网数据包是否正常发出。
- 外网接口是否有对应的出站请求。
- 是否收到外网响应，但未正确路由回内网终端。
- **终端抓包**：在终端使用Wireshark或tcpdump，检查是否有外网响应到达但被系统防火墙拦截。

---

### **9. 固件与系统日志**
- **升级固件**：访问厂商官网，检查GER5200是否有最新固件，升级后测试。
- **查看日志**：检查路由器的系统日志和防火墙日志，寻找与丢包、阻断相关的记录（如“deny”“drop”等关键词）。

---

### **10. 其他可能性**
- **ARP绑定冲突**：检查是否配置了错误的ARP绑定，导致网关MAC地址错误。
- **终端代理设置**：确认终端未启用代理（如VPN、浏览器代理），导致流量被错误导向。

---

### **最终解决步骤**
1. **优先简化配置**：暂时关闭负载均衡，使用单线模式测试。
2. **逐步排除**：按上述顺序从防火墙、NAT、DNS到路由策略排查，每步更改后测试效果。
3. **联系运营商**：若单线测试仍失败，联系电信确认外网限制（如MAC绑定、PPPoE异常）。

---

通过以上步骤，应能定位到具体原因。常见问题多为防火墙规则、NAT配置错误或MTU不匹配，建议优先检查这些部分。

看下带宽占用

看下安全策略