fireflybug

126分

樓主

fireflybug

個人積分：126分

文章編號：77624192

[RouterOS] VPN環境(已解決) 與 IPSEC環境(已解決) 兩邊連線異常問題

IPSEC的問題4樓大大的解答是對的
防火牆規則就多加兩條，IP是IPSEC連線的對外IP(兩台本身要互連)
[RouterOS] VPN環境(已解決) 與 IPSEC環境(已解決) 兩邊連線異常問題

A電腦PING不到B電腦的問題是屬於非對稱路由問題，解決方式加入BYPASS的設定，SOPHOS的指令用法一樣如下：
http://www.shunze.info/forum/thread.php?threadid=1855&boardid=33&sid=6ef3c06a7d331791fbdc6c43789f33a8&page=1
============
請問B電腦閘道設為防火牆10.100.0.254，防火牆有設定靜態路由指定往10.102.0.0走10.100.0.253路由器，會發生B電腦PING的到A電腦，但是B電腦用網路芳鄰或是遠端桌面，無法連入A電腦，需要在B電腦先PING一下A電腦後，A電腦在PING一下B電腦後，才可以開始正常互通(遠端桌面與網路芳鄰)。

上述情況在我另一個環境用兩台ROUTEROS連線IPSEC後，也是要先從其中一方PING過另一方後，兩邊才可以開始正常連線，兩台設備只要重開機重新連線一次，又要做一次PING的動作才可以正常連線，請問各位大神知道為什麼?
[RouterOS] VPN環境(已解決) 與 IPSEC環境(已解決) 兩邊連線異常問題

山頂上的微風吹，心跟著四處飛~*

2020-05-19 17:32 #1

文章關鍵字

VPN環境 RouterOS IPSEC環境問題

小強PaPaGO

0分

2樓

小強PaPaGO

個人積分：0分

文章編號：77624987

Check the Lifetime value

gfx

1603分

3樓

gfx

個人積分：1603分

文章編號：77626650

10.102.0.254(Ciso 871)，
未設置10.100.0.1要透過vpn往10.100.0.253(Cisco 1841)送。

ouchwe

68分

4樓

ouchwe

個人積分：68分

文章編號：77629657

我以前也遇過一次這種狀況
結果是我忘了把防火牆加入接受ipsec-esp input規則...

fireflybug

126分

樓主

fireflybug

個人積分：126分

文章編號：77635018

感謝提醒我倒是沒注意到這個選項我來測試看看

小強PaPaGO wrote:
Check the Lifetime...(恕刪)

山頂上的微風吹，心跟著四處飛~*

fireflybug

126分

樓主

fireflybug

個人積分：126分

文章編號：77635237

871預設路由是丟到 172.21.1.1 然後轉到10.100.0.253去處理喔

這案例是若B電腦GATEWAY 直接指向 10.100.0.253 而不是10.100.0.254防火牆的話，AB互相連線是沒問題

若B電腦GATEWAY指向防火牆10.100.0.254，防火牆有設定路由網A電腦去的丟10.100.0.253 1814，這狀況下，B電腦連到A電腦沒問題，但A電腦要連B電腦需要B電腦先PING過一次A電腦後，A電腦才能正確連線，有些人說是ARP問題，但是我不明白的是
A電腦丟封包給B電腦 => 871 ROUTER收到封包丟給 10.100.253 1814 ROUTER => 1814 直接把封包傳給B電腦 => B電腦收到封包回應封包丟給A送到 => 10.100.0.254 防火牆辨識後把封包丟給 10.100.0.253 1814 ROUTER => 1814 ROUTER收到封包後丟給 871 ROUTER => 871 收到封包後丟給A電腦
因為以前國產防火牆這樣設定封包傳遞都沒問題，換了新的防火牆SOPHOS後，這樣的設定反而有這種問題存在，所有路徑封包未做NAT改變，路由上來說應該也沒問題，我百思不得其解。

gfx wrote:
10.102.0.254...(恕刪)

山頂上的微風吹，心跟著四處飛~*

fireflybug

126分

樓主

fireflybug

個人積分：126分

文章編號：77636407

真的如您所說，我設定好規則後IPSEC的問題已解決

防火牆規則就多加兩條，IP是IPSEC連線的對外IP(兩台本身要互連)

ouchwe wrote:
我以前也遇過一次這種(恕刪)

山頂上的微風吹，心跟著四處飛~*

Harlem_Hsu

324分

8樓

Harlem_Hsu

個人積分：324分

文章編號：77636909

經驗上，我會先DEBUG 10.102.0.0/16 這網段
當 A 無法直接 PING 到 B 的情況，先檢查 Cisco871 與 Cisco871 與底下的L2 Switch / L3 Switch
設備中的 MAC Table的變化，應該會有答案。

有些公司建置 NAC 來控管所有的設備、Interface Port，多種的控管方是中，其中有一個是""spoof ARP traffic""這種控管機制從第二層的 MAC Address下手。

FB:harlem.hsu IG:harlemhsu

明月下的清風

3699分

9樓

明月下的清風

個人積分：3699分

文章編號：77636941

fireflybug wrote:
INPUT
OUTPUT
FORWARD

來源與目的IP是用內網的還是外網的IP?

嗯...看到這三個chain，沒用過你的firewall也大概有底(笑)
先講好，我沒有用過你目前使用的設備，以下都只是推測。
如果跟你設備的手冊上不符，請以手冊為主

INPUT 、 OUTPUT->外網ip (綁在防火牆上的那個)，另外一般來說，OUTPUT都是直接accept all就是了。
FORWARD -> 內網IP

理由?
這有點複雜，有興趣也有空的話，可以去研究linux的iptables，連同nat table一起搞清楚，你就會懂了

PS:樓主原本的問題，
1.有點像某種conntrack issue。
建議你直接去問防火牆的廠商，市面上的確有設備要做設定，在開機時要額外載模組，某些特定連線才會正常
２.另外一種可能就是上面提到的IPSec lifetime跟dpd，尤其注意一下後者有沒有選項需要打開。
有的IPSec設定中，keepalive跟dpd是分開的，後面沒啟動是有可能出現，IPSec tunnel看起來連線中其實是斷線的狀況。
3.樓上也有人提到了，注意一下你的cisco 1841跟871，firewall部份有沒有允許protocol 50、51的連入。(注意，不是tcp/udp 50、51 port!)

fireflybug

126分

樓主

fireflybug

個人積分：126分

文章編號：77637665

明月下的清風 wrote:
嗯...看到這三個chain...(恕刪)

哈哈標題就有打ROUTEROS了，IPSEC的問題4樓大大說對了，但奇怪的是兩邊之前都沒設定，為何有一邊沒問題有一邊有問題?兩邊設定後都正常了。

您說的這個keepalive跟dpd是分開的，我現在有注意到了，感謝

VPN透過防火牆ROUTING的問題還沒解決，再來檢查看看是哪裡的問題，謝謝。

山頂上的微風吹，心跟著四處飛~*

[RouterOS] VPN環境(已解決) 與 IPSEC環境(已解決) 兩邊連線異常問題

小惡魔新聞台

小惡魔廣編特輯

[RouterOS] VPN環境(已解決) 與 IPSEC環境(已解決) 兩邊連線異常問題

小惡魔新聞台

小惡魔廣編特輯

今日熱門文章 網友點擊推薦！

今日熱門文章　網友點擊推薦！