我很难过这个,我很欣赏这个场景的任何帮助,因为这看起来很奇怪。
我们有3个域控制器:
DC1 – 192.168.1.2 – 总部(PFSense的LAN端口)
DC2 – 192.168.1.4 – 总部(PFSense的LAn港口)
PFSense – 192.168.1.1 LAN端口上的静态IP。 用作DC1和DC2的网关以及局域网的其余部分。
网关(RV082) – 192.168.3.1
|
分支机构网关(RV082) – 192.168.0.1
DC3 – 192.168.0.101 – 通过网关 – 网关VPN(Cisco RV082)连接的分支机构
** DC1和DC2都能ping通连接到DC3。
DC3目前能够ping通并连接到DC1,但无法ping或连接到DC2。
下面的tracert显示从DC3获取的path。 我无法弄清楚172。*。*。*地址是什么,为什么DC1工作,但DC2不。 也不能找出为什么连接到两个DC在第四跳采取不同的path。
**来自192.168.0.101(DC3)的Tracert **
Tracert 192.168.1.2(DC1)
跟踪路由到192.168.1.2最多30跳
1 <1ms <1ms <1ms 192.168.0.2
2 6 ms 6 ms 6 ms 64-89-6-100.static.wntpr.net [64.89.6.100]
3 7毫秒18毫秒19毫秒ras-180-5.wntpr.net [196.12.180.5]
4 12毫秒12毫秒12毫秒172.30.252.97
5 12毫秒12毫秒12毫秒192.168.1.2
跟踪完成。
Tracert 192.168.1.4(DC2)
跟踪路由到192.168.1.4最多30跳
1 <1ms <1ms <1ms 192.168.0.2
2 6 ms 6 ms 6 ms 64-89-6-100.static.wntpr.net [64.89.6.100]
3 6 ms 7 ms 7 ms ras-180-5.wntpr.net [196.12.180.5]
4 11毫秒11毫秒11毫秒172.30.253.125
5 172.30.253.125报告:目标主机不可达。
跟踪完成。
是否有PFSenseconfiguration问题? 因为过去我们已经能够连接而没有任何问题。
看起来你错过了一个路由,或者你的局域网规则有不正确的策略路由,强制这个stream量到达互联网,stream量通过互联网而不是VPN。
networking不可达通常意味着报告系统不知道如何到达相关networking。
主机无法访问通常意味着报告系统可以到达networking,而不是主机。
在您的情况下,主机不可达消息可能是防火墙服务规则,NAT规则/表,路由configuration错误或报告该消息的设备上的ARPcaching的问题。 我的猜测是,172.30.xx地址是VPN连接每一端的VPN端点。 查找使用172.30.253.125的端点,并查看其服务规则集,NAT规则集,路由configuration以及dynamic和/或静态ARP表。