Я только что обновил наш маршрутизатор и пытаюсь настроить его как старый. Новый роутер - Draytek Vigor 3900.
У нас есть несколько сайтов с туннелями IPSec, подключенных к нашему основному Draytek 3900. это В статье почти точно описана наша настройка, за исключением адресов подсети.
Главный филиал / штаб-квартира 192.168.1.0/24 и ветви 192.168.2-6.0/24. Все филиалы могут связываться с главным филиалом / штаб-квартирой, а главный филиал / штаб-квартира может связываться со всеми филиалами.
По какой-то причине филиалы могут пинговать друг друга, но они не могут посещать графический интерфейс маршрутизатора или любую другую службу, работающую в локальной подсети филиалов.
В следующих примерах я пытаюсь установить связь между веткой 2 (192.168.2.0/24) и ветвь 3 (192.168.3.0/24). Во всех местах «X.99» - это маршрутизатор / шлюз.
Пинг из главного отделения / штаб-квартиры в филиал 2
PING 192.168.2.99 (192.168.2.99) from 192.168.1.99: 56 data bytes
64 bytes from 192.168.2.99: icmp_seq=0 ttl=255 time=42.9 ms
64 bytes from 192.168.2.99: icmp_seq=1 ttl=255 time=43.3 ms
64 bytes from 192.168.2.99: icmp_seq=2 ttl=255 time=57.2 ms
64 bytes from 192.168.2.99: icmp_seq=3 ttl=255 time=43.6 ms
64 bytes from 192.168.2.99: icmp_seq=4 ttl=255 time=42.6 ms
--- 192.168.2.99 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 42.6/45.9/57.2 ms
Send ICMP ECHO_REQUEST packets done.
Пинг от ветки 2 к ветке 3
Pinging 192.168.3.99 with 64 bytes of Data through WAN8:
Receive reply from 192.168.3.99, time=90ms
Receive reply from 192.168.3.99, time=80ms
Receive reply from 192.168.3.99, time=90ms
Receive reply from 192.168.3.99, time=80ms
Receive reply from 192.168.3.99, time=80ms
Packets: Sent = 5, Received = 5, Lost = 0 (0% loss)
Пинг от ветки 3 к ветке 2
Pinging 192.168.2.99 with 64 bytes of Data through WAN8:
Receive reply from 192.168.2.99, time=80ms
Receive reply from 192.168.2.99, time=190ms
Receive reply from 192.168.2.99, time=80ms
Receive reply from 192.168.2.99, time=80ms
Receive reply from 192.168.2.99, time=80ms
Packets: Sent = 5, Received = 5, Lost = 0 (0% loss)
При выполнении всех вышеперечисленных тестов все межсетевые экраны были отключены. Все VPN являются IPSec AES без аутентификации. Направление RIP отключено на ветвях 2,3,4,5 и 6.
Есть ли что-то, что мне не хватает, что мешает чему-либо, кроме тестов ping, работать между ветвями?
Если вы вообще не можете получить доступ к каким-либо службам, кроме удаленного маршрутизатора, маршрутизатор не настроен для пересылки трафика из канала VPN в локальную подсеть или из локальной подсети по каналу VPN или по обоим. Проверьте свои таблицы маршрутизации на каждом маршрутизаторе и убедитесь, что у них есть правильный маршрут (по соответствующему каналу VPN, а не к шлюзу по умолчанию) для каждой удаленной подсети. По умолчанию у каждого маршрутизатора будет маршрут / 32 для своих партнеров (других маршрутизаторов), но, возможно, не будет маршрут / 24 для их подсети. Также убедитесь, что у вас нет никаких правил брандмауэра.