Networking
IPsec VPN 連接和路由流量,但實際上不起作用
設置
所有 23 個分支機構都有:
- ADSL 和 VDSL 網際網路連接的混合。
- Cyberoam CR10iNG。
- 到總部 Cyberoam CR35iNG 的站點到站點 IPsec VPN。
- 連接到數據中心 Cyberoam CR50iNG 的站點到站點 IPsec VPN。
變化
3 個不同的分支機構將其 Internet 連接從 ADSL 升級到 FTTC,因此,他們的調製解調器從 ZyXEL P-660R-D1s 升級到 ZyXEL VMG1312-B10As(BT 批准的 VDSL 調製解調器,因為 BT 不再提供 VDSL 調製解調器) 並且 Cyberoam CR10iNGs 的 WAN 介面被重新配置為使用 PPPoE。
症狀
自從:
- 所有 IPsec VPN 連接成功。
- 嘗試通過 IPsec VPN 訪問資源(通過 HTTPS 的 RDWeb、通過 RDP 的 RDSH 伺服器等)會載入少量數據(RDWeb 的藍色背景和網頁標題、RDSH 伺服器的證書等),但最終會超時。
- 嘗試通過 Internet 訪問相同的資源(AD DS 域是 Web 域的子域的優勢)載入完美。
- 所有 IPsec VPN 綁定流量(IKE、ESP、HTTPS、RDP 等)均已正確路由並允許兩端。
我們推測了兩個根本原因:
- ISP 正在限制 VPN 流量。我們聯繫了 ISP,他澄清說 Internet 連接是一種商業連接,因此不應用任何限制。
- VDSL 調製解調器錯誤。我們發現http://support.aa.net.uk/VMG1312-B10A:_Bugs#PPPoE_Session-ID_caching_bug_.28In_Bridge_mode.29表示確實存在影響 PPPoE 和 IPsec 流量的錯誤,因此我們更換了ZyXEL VMG1312-B10A 搭配 DrayTek Vigor 130(另一種 BT-/OpenReach-approved VDSL 調製解調器)解決了這個問題。