我刚刚升级了我们的路由器,并正在按照旧的方式进行设置。 新的路由器是Draytek Vigor 3900。
我们有一些IPSec隧道拨号到我们主要的Draytek 3900的站点。本文几乎完全描述了我们的设置,除了子网地址。
主分支/ HQ是192.168.1.0/24 ,分支是192.168.2-6.0/24 。 所有分行可以与主分行/总部进行沟通,主分行/总部可以与所有分行进行沟通。
出于某些原因,分支机构可以互相ping通,但不能访问路由器GUI或分支机构本地子网上运行的任何其他服务。
对于下面的例子,我试图在分支2( 192.168.2.0/24 )和分支3( 192.168.3.0/24 )之间进行通信。 在所有地点'X.99'是路由器/网关。
从总分行/总部到第二分行
PING 192.168.2.99 (192.168.2.99) from 192.168.1.99: 56 data bytes 64 bytes from 192.168.2.99: icmp_seq=0 ttl=255 time=42.9 ms 64 bytes from 192.168.2.99: icmp_seq=1 ttl=255 time=43.3 ms 64 bytes from 192.168.2.99: icmp_seq=2 ttl=255 time=57.2 ms 64 bytes from 192.168.2.99: icmp_seq=3 ttl=255 time=43.6 ms 64 bytes from 192.168.2.99: icmp_seq=4 ttl=255 time=42.6 ms --- 192.168.2.99 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 42.6/45.9/57.2 ms Send ICMP ECHO_REQUEST packets done.
从第二分支到第三分支
Pinging 192.168.3.99 with 64 bytes of Data through WAN8: Receive reply from 192.168.3.99, time=90ms Receive reply from 192.168.3.99, time=80ms Receive reply from 192.168.3.99, time=90ms Receive reply from 192.168.3.99, time=80ms Receive reply from 192.168.3.99, time=80ms Packets: Sent = 5, Received = 5, Lost = 0 (0% loss)
从第3分支到第2分支
Pinging 192.168.2.99 with 64 bytes of Data through WAN8: Receive reply from 192.168.2.99, time=80ms Receive reply from 192.168.2.99, time=190ms Receive reply from 192.168.2.99, time=80ms Receive reply from 192.168.2.99, time=80ms Receive reply from 192.168.2.99, time=80ms Packets: Sent = 5, Received = 5, Lost = 0 (0% loss)
运行所有上述testing时,所有防火墙都被禁用。 所有的VPN都是IPSec AES无authentication。 在分支2,3,4,5和6上,RIP方向被设置为禁用。
有什么我错过了,将防止pingtesting分支之间工作以外的任何东西?
如果除远程路由器之外无法访问任何服务,则路由器不会configuration为将stream量从VPN链接转发到本地子网,或者通过VPN链接从本地子网转发stream量,或两者都转发。 检查每个路由器上的路由表,确保它们对于每个远程子网具有正确的路由(通过适当的VPN链路,而不是出于默认网关)。 默认情况下,每个路由器将有一个/ 32路由为其对等体(其他路由器),但也许不是他们的子网/ 24路由。 同时确认您没有任何防火墙规则。