本帖最后由 85039王毅波 于 2023-11-13 22:25 编辑
背景:某集团客户有十几家分子公司,出口全部使用我司AC或者AF设备,集团使用AF,分子公司到集团的sangfor vpn已全部打通。集团对分子公司信息化管控较弱,协调不到分子公司内的终端来测试业务。现在客户新的需求,要分子公司之间的业务能够互相访问,按照我服常规套路:要么隧道间路由,要么分子公司间重新搭建sangfor vpn。
今日浅谈(坑点):A分子公司(AF)和B分子公司(AC)隧道间路由搞定后,因为集团对分子公司管控不强,现在没有条件测试分子公司间是否可以业务互通。于是从两台设备上互相ping,然而居然ping 不通对端业务地址或者设备地址。 你先猜  1、从集团AF查看sangfor vpn连接状态都是正常的。
2、两个分子公司状态也ok。
3、隧道间路由也是OK的。
4、但是我们从A公司的AF去ping B公司的AC或者其他业务地址,或者从B公司的AC去ping A公司的AF地址或者其他业务地址,都是不通的。无法跟客户证明sangfor vpn是Ok的。
原因:从分子公司A设备控制台自身去ping分子公司B的地址或者其他业务地址,默认使用的是分子公司A设备的vpntun地址,但是vpntun地址是不在隧道间路由的源地址里面的。所以解决办法就是在隧道间路由直接加上A设备的vpntun地址到B设备地址的路由,同时在B设备添加B设备地址回包给vpntun的路由即可。
反之,B设备同理。
上图是分支A公司AF的vpntun地址
添加分支A公司AF的vpntun地址到B设备地址之间的隧道间路由
同时添加B设备到A设备vpntun的隧道间回包路由
很哇塞。  下午脑瓜子晕乎乎,希望后面的同学们遇到这块,可以避免踩坑吧 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-11-14 04:27
技术研究员1级 
