Я в тупике по этому поводу, я ценю любую помощь в этом сценарии, потому что это просто кажется странным.
У нас есть 3 контроллера домена:
DC1 - 192.168.1.2 - главный офис (LAN порт PFSense)
DC2 - 192.168.1.4 - главный офис (порт локальной сети PFSense)
PFSense - 192.168.1.1 Статический IP на порту LAN. Используется как шлюз для DC1 и DC2 и остальной части LAN.
Шлюз (RV082) - 192.168.3.1
|
Шлюз филиала (RV082) - 192.168.0.1
DC3 - 192.168.0.101 - филиал, подключенный через шлюз-шлюз VPN (Cisco RV082)
** И DC1, и DC2 могут отправлять эхо-запрос на подключение к DC3.
DC3 в настоящее время может выполнить эхо-запрос и подключиться к DC1, но не может выполнить эхо-запрос или подключиться к DC2. **
Нижеприведенный tracert показывает пути, взятые из DC3. Я не могу понять, что это за адреса 172. *. *. *, Почему DC1 работает, а DC2 - нет. Также не могу понять, почему подключение к обоим DC происходит по другому пути на переходе №4.
** Tracert из 192.168.0.101 (DC3) **
Tracert 192.168.1.2 (DC1)
Трассировка маршрута до 192.168.1.2 максимум на 30 переходах
1 <1 мс <1 мс <1 мс 192.168.0.2
2 6 мс 6 мс 6 мс 64-89-6-100.static.wntpr.net [64.89.6.100]
3 7 мс 18 мс 19 мс ras-180-5.wntpr.net [196.12.180.5]
4 12 мс 12 мс 12 мс 172.30.252.97
5 12 мс 12 мс 12 мс 192.168.1.2
Трассировка завершена.
Tracert 192.168.1.4 (DC2)
Трассировка маршрута до 192.168.1.4 максимум на 30 переходах
1 <1 мс <1 мс <1 мс 192.168.0.2
2 6 мс 6 мс 6 мс 64-89-6-100.static.wntpr.net [64.89.6.100]
3 6 мс 7 мс 7 мс ras-180-5.wntpr.net [196.12.180.5]
4 11 мс 11 мс 11 мс 172.30.253.125
5 172.30.253.125 отчетов: Целевой хост недоступен.
Трассировка завершена.
Есть ли проблема с конфигурацией PFSense? Потому что в прошлом мы могли подключаться без каких-либо проблем.
Похоже, у вас отсутствует маршрут или у вас неправильная политика маршрутизации в правилах вашей локальной сети, заставляющая этот трафик идти в Интернет, трафик проходит через Интернет, а не через VPN.
Недоступность сети обычно означает, что система отчетов не знает, как добраться до соответствующей сети.
Недоступность хоста обычно означает, что система отчетов может подключиться к сети, но не к соответствующему хосту.
В вашем случае сообщение о недоступности хоста может быть проблемой из-за правила службы брандмауэра, правила / таблицы NAT, неправильной конфигурации маршрутизации или кеша ARP на устройстве, отправляющем сообщение. Я предполагаю, что адреса 172.30.x.x являются конечными точками VPN на каждой стороне VPN-соединения. Найдите конечную точку, которая использует 172.30.253.125, и посмотрите на ее набор правил обслуживания, набор правил NAT, конфигурацию маршрутизации и динамическую и / или статическую таблицу ARP.