H3C防火墙搭建GRE over IPsec VPN

可能的原因及解决方案如下：

1. 路由缺失问题
   指出，当GRE隧道两端接口能互通但内网无法通信时，需检查设备是否有指向隧道接口的静态路由。请确认H3C防火墙是否配置了到达对端隧道网段（10.250.250.1/32）的路由，且下一跳为Tunnel接口。若未配置，需添加：

   [H3C] ip route-static 10.250.250.1 255.255.255.255 Tunnel0

2. IPsec策略未正确绑定
   和强调GRE over IPsec需确保IPsec策略正确引用到GRE隧道流量。请检查：

   • IPsec策略中的ACL是否包含GRE隧道流量（源1.1.1.2→目的1.1.1.1的GRE协议报文）。
   • Tunnel接口下是否通过tunnel protection ipsec policy命令绑定了IPsec策略。
     若绑定缺失，GRE报文可能未加密发出，导致对端响应被丢弃。

3. NAT策略干扰
   文档多次提到，IPsec业务流量需配置NAT豁免策略。请确认H3C防火墙是否存在以下配置：

   • 针对GRE隧道流量的NAT策略，需配置nat exempt规则排除加密流量。
   • 若中间存在NAT设备，需开启NAT穿越功能（命令：ike nat-traversal）。

4. VPN实例不一致（若涉及）
   案例表明，若隧道接口绑定VPN实例，需确保源/目的地址所属VPN实例一致：

   • 检查环回口是否绑定VPN实例（如ip binding vpn-instance XXX）。
   • Tunnel接口需通过tunnel vpn-instance XXX指定相同VPN实例，否则可能导致转发异常。

排查建议

1. 在H3C防火墙执行 display ip routing-table 10.250.250.1 验证路由。
2. 使用 display ipsec sa 确认GRE流量匹配的IPsec SA状态。
3. 在物理出口抓包，观察GRE报文是否携带ESP/IPsec封装。若为明文，说明IPsec策略未生效。

若以上步骤仍无法解决，请提供：

• display current-configuration interface Tunnel0 输出
• display ipsec policy 和 display ike sa 详细信息
  以便进一步分析。

你描述的现象——“本地抓不到包，对端抓到了回包”，是一个特征非常鲜明的指向性问题。这大概率是流量在到达H3C防火墙之前或在其内部，就被安全策略或路由给拦截或丢弃了，根本没有进入IPsec隧道处理。