f1030防火墙IPSEC单通
- 0关注
- 0收藏,529浏览
问题描述:
总部华为ar6300路由器,分公司华三F1030防火墙,做了IPSEC,之前两端网段互通正常,今天把分公司下的192.168.90网段服务器搬到了总部,然后总部添加了192.168.90网段到分公司192.169.0网段的IPSEC数据流,很奇怪 ,192.168.90能访问192.169.0,但是192.169.0访问不了总部192.168.90,分公司路由追踪到192.168.90网段,到中途公网IP后就全是星号了,感觉是到不了总部,几个网段的结果 都不一样
C:\Users\ynww>tracert 192.168.254.100
通过最多 30 个跃点跟踪到 192.168.254.100 的路由
1 * * * 请求超时。
2 <1 毫秒 <1 毫秒 <1 毫秒 10.1.3.1
3 <1 毫秒 <1 毫秒 <1 毫秒 10.1.2.1
4 55 ms 1 ms 1 ms 61.166.187.113
5 2 ms 7 ms 7 ms 182.242.3.241
6 1 ms 7 ms 7 ms 182.242.0.2
7 2 ms 2 ms 2 ms 106.57.243.14
8 1 ms 1 ms 1 ms 61.138.192.49
9 * * * 请求超时。
10 * * * 请求超时。
11 * * * 请求超时。
C:\Users\ynww>tracert 192.168.92.32
通过最多 30 个跃点跟踪到 192.168.92.32 的路由
1 * * * 请求超时。
2 <1 毫秒 <1 毫秒 <1 毫秒 10.1.3.1
3 <1 毫秒 <1 毫秒 <1 毫秒 10.1.2.1
4 * * * 请求超时。
5 * * * 请求超时。
6 1 ms 1 ms 1 ms 192.168.92.32
跟踪完成。
C:\Users\ynww>ping 192.168.92.32
正在 Ping 192.168.92.32 具有 32 字节的数据:
来自 192.168.92.32 的回复: 字节=32 时间=1ms TTL=59
来自 192.168.92.32 的回复: 字节=32 时间=2ms TTL=59
请求超时。
来自 192.168.92.32 的回复: 字节=32 时间=2ms TTL=59
192.168.92.32 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 3,丢失 = 1 (25% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 1ms,最长 = 2ms,平均 = 1ms
- 2025-05-17提问
- 举报
-
(0)
你这个不对呀,这都走公网去了,没进隧道,你检查一下感兴趣流配置吧
- 2025-05-17回答
- 评论(3)
- 举报
-
(0)
每个网段都一样做的啊,所以奇怪 。就是因为都出公网了,但是又到了不对端
而且几个网段都是一个IPSEC通道,另个通这个不通
看看你ACL怎么写的。这个问题的看到两端配置后在确定了
H3C设备看tracert结果要在后台配ip unreach en/ip ttl en,否则不响应tracert
- 2025-05-17回答
- 评论(5)
- 举报
-
(0)
开了。还是一样,我是奇怪 为啥会出现 这种单通的情况?IPSEC数据流配置肯定是没问题了,每个网段都一样
估计要么就是流量被nat转换了,或者说没有被esp封装上隧道
直接在防火墙web界面开个报文示踪看一眼真实流量走向呗,有esp封装过去就不管,没封装就是路由或ipsec有问题
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
看看你ACL怎么写的。这个问题的看到两端配置后在确定了