Routing
Watchguard BOVPN 和新的 ISP
我們正在將我們的 Internet 電路更改為新的 ISP。在測試期間,我有兩個電路,還有一個連接到我們的 WatchGuard XTM515 的故障轉移電路
我可以瀏覽網際網路,並通過新電路Ping。但是,如果我使用新電路創建 BOVPN 隧道,系統管理器會告訴我隧道已創建,但我只在本地端收到發送的字節,沒有收到的字節。遠端顯示已發送和已接收。
WatchGuard 技術支持表示,他們看到 ESP(協議 50)數據包離開本地端並到達遠端端,他們還看到它們離開遠端端,但沒有返回本地端。這指向 ISP 阻塞返迴路徑或路由錯誤。
ISP 說他們不會阻止任何埠,這不是他們的問題,而是防火牆配置問題。
我如何確定問題出在哪裡才能讓他們發揮作用?
兩端都是 WatchGuard XTM 防火牆。這裡有四個 ISP 在起作用:一個在遠端端;另一個在遠端。我正在測試的新的,我想斷開的舊的;以及我們用於故障轉移的 DSL。舊的 ISP 和 DSL 都可以正常工作,只有新的有問題。
好的,我最終解決了這個問題。
我必須將筆記型電腦直接連接到新連接,並顯示 ping 到遠端防火牆的 ISP 失敗。他們終於查看了 IP 路由,然後回來說“那個 IP 塊有點奇怪,讓我們給你分配一個新的 IP 塊”。然後一切都完美無缺。我的猜測是,在我之前有過這個塊的人有一些奇怪的路由要求,結果 ESP 數據包被丟棄在 ISP 網路的某個地方。