分支节点用的是华三的一台GR1200W路由器,总部是一台AK109防火墙,都是放在出口;都是拨号上网,AK109拨号获取的是固定公网地址,分支是动态私网地址。IPSec能够正常建立。现在是总部有一台深信服的桌面云服务器,分支通过VPN隧道,直接访问总部私网地址,连接可以正常建立,但是分支本地无法显示桌面云界面,屏幕是黑的。。。后来我怀疑是IPSec的问题,我就直接做了个映射在总部,分支直接通过公网地址去访问深信服的云桌面,但还是黑屏。然后我试了下把路由器的IPSec关闭,分支通过公网去访问,就正常了。。。我很怀疑是个路由有什么问题
(0)
把你电脑的MTU值改小一点。
1、先用ping云桌面的ip地址来计算MTU值
ping ip地址 -f -l 1500
不断减小 -l 后面的值,直到ping得通,那么MTU值就=这个值+28,比如你最后ping得通的值是1432,那么MTU=1432+28=1460 ;
2、在cmd中输入“netsh interface ipv4 show subinterfaces”命令,这是用来查询到目前系统的MTU值 ;
3、接着继续输入“netsh interface ipv4 set subinterface "本地连接" mtu=1480 store=persistent”命令,然后回车,就可以对本地连接MTU值进行修改;(注:“本地连接”几个字要根据上一个命令得到的网络名字来改);
4、再次输入“netsh interface ipv4 show subinterfaces ”命令,即可查询到目前系统的MTU值,这时候会发现MTU值已经修改完成了。
(0)
怀疑是报文加密后长度有点大,可以尝试修改下公网口tcp mss值,总部防火墙display ipsec sa在对应你分部的sa中可以看到个path MTU,用这个值减去40作为tcp mss的值,当然也可以再小一点,但是不能太小,tcp报文重组也会消耗设备的性能
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论