1、确认隧道搭建正常后,可打开【网络】-【路由】-【查看路由】看vpn路由是否正常学习到,路由不正常请检查第二阶段出入站配置,正常的话内网找一台PC打开cmd长ping 对端内网业务IP,如
ping 192.168.10.10 -t -l 400
2、打开【系统】-【排障】-【分析工具】-【命令控制台】,抓包确认我们是否正确转发这个icmp包,输入抓包命令:
新架构可进入命令行抓包
tcpdump -i any host 192.168.10.10 and icmp -nn -c 100
抓取内网口、vpntun口的icmp包
![]()
演示场景是通过AFping的,所以抓any口只能抓到vpntun口的icmp包
3、如果上述抓包命令可以看到连续两个icmp的requst包即可确定我们内网口和vpntun口正常转发了这个icmp包,此时需抓取公网口数据包确认AF是否把这个icmp加密发往公网;
4、假设我们公网口为eth3,对端公网ip为10.2.14.204,输入抓包命令:
tcpdum -i eth3 host 10.2.14.204 and esp -nn -c 100
抓取公网口加密发送的esp包
![]()
5、我们是带400长度ping的包,所以加密后的esp包长度是400+,正常情况不通的业务,公网口是没包的,所以只要在公网口抓到了400+长度的esp包就可以确定这个icmp包我们加密转发至公网了,从上图可知是对端不回包导致的ipsecvpn不通
6、接下来的问题排查则需要对端配置抓包,确认数据是否被对端正常收到,对端是否正常回包了。
发表于 2022-3-3 09:37
坚持每日学习打卡