Networking

IPsec VPN 連接和路由流量,但實際上不起作用

  • September 1, 2017

設置

所有 23 個分支機構都有:

  1. ADSL 和 VDSL 網際網路連接的混合。
  2. Cyber​​oam CR10iNG。
  3. 到總部 Cyber​​oam CR35iNG 的站點到站點 IPsec VPN。
  4. 連接到數據中心 Cyber​​oam CR50iNG 的站點到站點 IPsec VPN。

 

變化

3 個不同的分支機構將其 Internet 連接從 ADSL 升級到 FTTC,因此,他們的調製解調器從 ZyXEL P-660R-D1s 升級到 ZyXEL VMG1312-B10As(BT 批准的 VDSL 調製解調器,因為 BT 不再提供 VDSL 調製解調器) 並且 Cyber​​oam CR10iNGs 的 WAN 介面被重新配置為使用 PPPoE。

 

症狀

自從:

  • 所有 IPsec VPN 連接成功。
  • 嘗試通過 IPsec VPN 訪問資源(通過 HTTPS 的 RDWeb、通過 RDP 的 RDSH 伺服器等)會載入少量數據(RDWeb 的藍色背景和網頁標題、RDSH 伺服器的證書等),但最終會超時。
  • 嘗試通過 Internet 訪問相同的資源(AD DS 域是 Web 域的子域的優勢)載入完美。
  • 所有 IPsec VPN 綁定流量(IKE、ESP、HTTPS、RDP 等)均已正確路由並允許兩端。

我們推測了兩個根本原因:

  1. ISP 正在限制 VPN 流量。我們聯繫了 ISP,他澄清說 Internet 連接是一種商業連接,因此不應用任何限制。
  2. VDSL 調製解調器錯誤。我們發現http://support.aa.net.uk/VMG1312-B10A:_Bugs#PPPoE_Session-ID_caching_bug_.28In_Bridge_mode.29表示確實存在影響 PPPoE 和 IPsec 流量的錯誤,因此我們更換了ZyXEL VMG1312-B10A 搭配 DrayTek Vigor 130(另一種 BT-/OpenReach-approved VDSL 調製解調器)解決了這個問題。

引用自:https://serverfault.com/questions/871505