解决VPN网络只能单向通信的问题经历！！！

        这几天一直被一个问题困扰着：客户的网络环境是总部和分支机构的VPN网络架构，VPN隧道已经建立起连接，但是在分支机构ping总部的网络是没有问题的，在总部ping分支机构的网络却是不通的，真是百思不得解！！！

现象：

1、在分支ping 192.168.10.0/24网段，可以通信！

2、在总部ping 192.168.17.1、17.254，可以通信！

               ping 192.168.17.0/24其他网段的地址都无法通信！

        通过分析后，我在分支机构内网电脑上添加一条静态路由：route add 192.168.10.0 mask 255.255.255.0 192.168.17.254  
可以解决问题！
因此断定问题出在出口防火墙上，应该是防火墙上写的回包路由没有生效。

    于是我联系锐捷的厂家400电话请求技术支持，从前期分析到后期抓包，得出的结论是：在总部访问分支机构时，来的路由先到分支机构VPN设备，然后直接到内网电脑，回去的路由却要先到防火墙，然后再根据回包路由跳转到VPN设备，可是这样的话，他们的防火墙是不会建立一个叫做“数据流表”的东西，然后直接把数据包丢弃，因此造成网络不通（挺奇葩的方式，也没sei了）。

给的两点建议：
一、在分支机构电脑上像上面那样手动写静态路由：这个自然是行不通的，分支那么多电脑；
二、在分支VPN设备上做一个源地址转换：也就是将从总部过来的IP地址转换为分支VPN设备的IP；
于是联系VPN的厂商协助配置源地址转换，至此，问题解决！

最后感谢两个厂家（锐捷和某公司）的技术人员配合！！！

建议把SSL放到一个单独的网段。不要和客户一起放在一个二层网络里面。
NAT是临时解决方案，不利于审计及安全策略配置。

我记得在我们的防火墙设备里好像是叫异常包检测

也非常感谢楼主的分享

为什么回报路由没生效

这个就是来回路径不一致的问题，如果你交换机支持三层的话，可以在三层上添加路由；
或者像楼主说的，在分支的VPN设备上添加源地址转换，针对总部访问分支的数据流，都转换成成分支vpn设备的lan口地址

果断收藏学习！