• 2

[RouterOS] VPN環境(已解決) 與 IPSEC環境(已解決) 兩邊連線異常問題

IPSEC的問題4樓大大的解答是對的
防火牆規則就多加兩條,IP是IPSEC連線的對外IP(兩台本身要互連)
[RouterOS] VPN環境(已解決) 與 IPSEC環境(已解決) 兩邊連線異常問題

A電腦PING不到B電腦的問題是屬於 非對稱路由 問題,解決方式加入BYPASS的設定,SOPHOS的指令用法一樣如下:
http://www.shunze.info/forum/thread.php?threadid=1855&boardid=33&sid=6ef3c06a7d331791fbdc6c43789f33a8&page=1
============
請問B電腦閘道設為防火牆10.100.0.254,防火牆有設定靜態路由指定往10.102.0.0走10.100.0.253路由器,會發生B電腦PING的到A電腦,但是B電腦用網路芳鄰或是遠端桌面,無法連入A電腦,需要在B電腦先PING一下A電腦後,A電腦在PING一下B電腦後,才可以開始正常互通(遠端桌面與網路芳鄰)。

上述情況在我另一個環境用兩台ROUTEROS連線IPSEC後,也是要先從其中一方PING過另一方後,兩邊才可以開始正常連線,兩台設備只要重開機重新連線一次,又要做一次PING的動作才可以正常連線,請問各位大神知道為什麼?
[RouterOS] VPN環境(已解決) 與 IPSEC環境(已解決) 兩邊連線異常問題
山頂上的微風吹,心跟著四處飛~*
2020-05-19 17:32 發佈
Check the Lifetime value
10.102.0.254(Ciso 871),
未設置10.100.0.1要透過vpn往10.100.0.253(Cisco 1841)送。
我以前也遇過一次這種狀況
結果是我忘了把防火牆加入接受ipsec-esp input規則...
感謝提醒 我倒是沒注意到這個選項 我來測試看看



小強PaPaGO wrote:
Check the Lifetime...(恕刪)
山頂上的微風吹,心跟著四處飛~*
871預設路由是丟到 172.21.1.1 然後轉到10.100.0.253去處理喔

這案例是若B電腦GATEWAY 直接指向 10.100.0.253 而不是10.100.0.254防火牆的話,AB互相連線是沒問題

若B電腦GATEWAY指向防火牆10.100.0.254,防火牆有設定路由網A電腦去的丟10.100.0.253 1814,這狀況下,B電腦連到A電腦沒問題,但A電腦要連B電腦需要B電腦先PING過一次A電腦後,A電腦才能正確連線,有些人說是ARP問題,但是我不明白的是
A電腦丟封包給B電腦 => 871 ROUTER收到封包丟給 10.100.253 1814 ROUTER => 1814 直接把封包傳給B電腦 => B電腦收到封包回應封包丟給A送到 => 10.100.0.254 防火牆辨識後把封包丟給 10.100.0.253 1814 ROUTER => 1814 ROUTER收到封包後丟給 871 ROUTER => 871 收到封包後丟給A電腦
因為以前國產防火牆這樣設定封包傳遞都沒問題,換了新的防火牆SOPHOS後,這樣的設定反而有這種問題存在,所有路徑封包未做NAT改變,路由上來說應該也沒問題,我百思不得其解。

gfx wrote:
10.102.0.254...(恕刪)
山頂上的微風吹,心跟著四處飛~*
真的如您所說,我設定好規則後IPSEC的問題已解決

防火牆規則就多加兩條,IP是IPSEC連線的對外IP(兩台本身要互連)





ouchwe wrote:
我以前也遇過一次這種(恕刪)
山頂上的微風吹,心跟著四處飛~*
經驗上,我會先DEBUG 10.102.0.0/16 這網段
當 A 無法直接 PING 到 B 的情況,先檢查 Cisco871 與 Cisco871 與底下的L2 Switch / L3 Switch
設備中的 MAC Table的變化,應該會有答案。

有些公司建置 NAC 來控管所有的設備、Interface Port,多種的控管方是中,其中有一個是""spoof ARP traffic""這種控管機制從第二層的 MAC Address下手。
fireflybug wrote:
INPUT
OUTPUT
FORWARD

來源與目的IP是用內網的還是外網的IP?



嗯...看到這三個chain,沒用過你的firewall也大概有底(笑)
先講好,我沒有用過你目前使用的設備,以下都只是推測。
如果跟你設備的手冊上不符,請以手冊為主

INPUT 、 OUTPUT->外網ip (綁在防火牆上的那個),另外一般來說,OUTPUT都是直接accept all就是了。
FORWARD -> 內網IP

理由?
這有點複雜,有興趣也有空的話,可以去研究linux的iptables,連同nat table一起搞清楚,你就會懂了


PS:樓主原本的問題,
1.有點像某種conntrack issue。
建議你直接去問防火牆的廠商,市面上的確有設備要做設定,在開機時要額外載模組,某些特定連線才會正常
2.另外一種可能就是上面提到的IPSec lifetime跟dpd,尤其注意一下後者有沒有選項需要打開。
有的IPSec設定中,keepalive跟dpd是分開的,後面沒啟動是有可能出現,IPSec tunnel看起來連線中其實是斷線的狀況。
3.樓上也有人提到了,注意一下你的cisco 1841跟871,firewall部份有沒有允許protocol 50、51的連入。(注意,不是tcp/udp 50、51 port!)
明月下的清風 wrote:
嗯...看到這三個chain...(恕刪)


哈哈 標題就有打ROUTEROS了,IPSEC的問題4樓大大說對了,但奇怪的是兩邊之前都沒設定,為何有一邊沒問題有一邊有問題?兩邊設定後都正常了。


您說的這個keepalive跟dpd是分開的,我現在有注意到了,感謝


VPN透過防火牆ROUTING的問題還沒解決,再來檢查看看是哪裡的問題,謝謝。
山頂上的微風吹,心跟著四處飛~*
  • 2
評分
複製連結