博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2701|回复: 5

一个关于IPSECVPN不通的解决方法

[复制链接]
发表于 2010-1-16 14:58:13 | 显示全部楼层 |阅读模式
本帖最后由 xujie 于 2010-1-16 16:05 编辑

今天荣盛房地产江苏徐州分公司打电话说说  VPN客户端能连上,但是ping 不通徐州的内网服务器。
以下是出现的现状
未命名.jpg
VPN提示已连接上,安正常的话,应该能Ping通徐州的内网服务器,但是
未命名.jpg
根据图中显示不能连接。



遇到上述问题大家可能都会想到,是不是还在使用的别的VPN客户端,但是我远程给用户看了看,除了CP没有安装任何的VPN客户端。
所以上述的解决方法在这里就行不通。
我给他重新安装了一下也不行,还是出现那样的问题。所以确定不是安装上的问题。
重新连接上VPN,我双击了他的客户端显示结果如下:
未命名.jpg 未命名.jpg 未命名.jpg
我又查看了他应该要获取的VPN 虚拟IP地址,结果显示如下
未命名.jpg 未命名.jpg
从图中可以看出他没有获得虚拟IP地址,VPN连接不成功。到了这里就说明了为什么显示连接上了,但是PING 不通。原因就是根本就没有连接上。

解决方法:


登上徐州的CP,第一步看Tracker,只查询192.168.1.102的记录

查看了日志。显示结果如下:

未命名.jpg        未命名.jpg
发现不通的原因是地址欺骗问题。

第二步看了CP的拓扑,信息如下:
未命名.jpg

看网关的拓扑,发现DMZ配置的接口地址是192.168.1.0/24这个网段
所以会产生地址欺骗而导致不通
如何解决呢?
为客户端分配一个不同的IP地址段,比如10.0.9.0/24这个网段。

在XZCP设置如下:
1:创建:VPN_POOL
未命名.jpg 未命名.jpg

启用office mode模式,分配地址池,
未命名.jpg
下发安装策略。
问题解决。



结论:
正是因为没有做地址池,客户端使用自己的ip地址也就是192.168.1.102

没有想到DMZ的地址是192.168.1.1  .也是1网段,所以造成了地址冲突.
发表于 2010-1-16 15:31:36 | 显示全部楼层
这是IPSEC VPN吧
发表于 2010-1-16 15:38:40 | 显示全部楼层
鼓励原创
发表于 2010-1-16 15:51:03 | 显示全部楼层
除了这个解决方法还有没有其他的解决方法?
发表于 2010-1-16 15:55:46 | 显示全部楼层
像这种问题是很常见的:
(1)R65 UTM-1默认的安装地址是192.168.1.1,而以后没有更改或者删除
(2)一般家用宽带路由器内部网络地址也是192.168.1.0/24
(3)配置远程连接时不选用地址池,使用本地地址
只要这三个条件具备,就会出现这种地址欺骗的情况。要避免类似问题的产生可以从以上三个方面进行解决
(1)删除或更改CP的默认安装地址
(2)改变客户端连接的IP地址网络号
(3)配置远程连接的Office模式,启用地址池
 楼主| 发表于 2010-1-16 16:00:48 | 显示全部楼层
哦  学习了
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-24 11:47 , Processed in 0.098350 second(s), 19 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表