IPsec VPN 連接和路由流量，但實際上不起作用

設置

所有 23 個分支機構都有：

1. ADSL 和 VDSL 網際網路連接的混合。
2. Cyber​​oam CR10iNG。
3. 到總部 Cyber​​oam CR35iNG 的站點到站點 IPsec VPN。
4. 連接到數據中心 Cyber​​oam CR50iNG 的站點到站點 IPsec VPN。

 

變化

3 個不同的分支機構將其 Internet 連接從 ADSL 升級到 FTTC，因此，他們的調製解調器從 ZyXEL P-660R-D1s 升級到 ZyXEL VMG1312-B10As（BT 批准的 VDSL 調製解調器，因為 BT 不再提供 VDSL 調製解調器) 並且 Cyber​​oam CR10iNGs 的 WAN 介面被重新配置為使用 PPPoE。

 

症狀

自從：

• 所有 IPsec VPN 連接成功。
• 嘗試通過 IPsec VPN 訪問資源（通過 HTTPS 的 RDWeb、通過 RDP 的 RDSH 伺服器等）會載入少量數據（RDWeb 的藍色背景和網頁標題、RDSH 伺服器的證書等），但最終會超時。
• 嘗試通過 Internet 訪問相同的資源（AD DS 域是 Web 域的子域的優勢）載入完美。
• 所有 IPsec VPN 綁定流量（IKE、ESP、HTTPS、RDP 等）均已正確路由並允許兩端。

我們推測了兩個根本原因：

1. ISP 正在限制 VPN 流量。我們聯繫了 ISP，他澄清說 Internet 連接是一種商業連接，因此不應用任何限制。
2. VDSL 調製解調器錯誤。我們發現http://support.aa.net.uk/VMG1312-B10A:_Bugs#PPPoE_Session-ID_caching_bug_.28In_Bridge_mode.29表示確實存在影響 PPPoE 和 IPsec 流量的錯誤，因此我們更換了ZyXEL VMG1312-B10A 搭配 DrayTek Vigor 130（另一種 BT-/OpenReach-approved VDSL 調製解調器）解決了這個問題。

引用自：https://serverfault.com/questions/871505