【原创分享计划】- 记一次网段冲突导致VPN连接不上的排查

>>【原创分享计划2】分享技术经验，赚上千元稿酬！

【故障描述】

分支与总部建立ipsec vpn，在VPN日志出现以下提示：

【拓扑环境】

【问题分析】

在VPN日志里出现IP冲突提示，一般是总部或者分支已经存在此网段，导致VPN隧道建立不成功

【排错步骤】

1.查看总部设备内网地址是否有冲突

（上图看到内网地址为192.168.1.0/24网段）

2.查看总部子网列表宣告了什么网段进VPN隧道

（在子网列表中的确看到有宣告192.168.20.0/24网段，与报错信息相符，总部的确存在这个网段）

3.查看分支内网地址

（上图可以看出内网段为10.0.0.0/24网段，并不存在报错中提示冲突的网段）

4.查看分支子网列表

（分支并没有宣告任何内网网段）

5.排除了设置问题后，跟踪一下到总部路由

（找到问题了。外网地址跟总部宣告的内网地址冲突）

【验证】

     由于分支VPN没有命令控制台，通过某公司升级工具登录后，按F9弹出窗口后点击[查看网络配置]可以看到外网网口获取的外网地址就是和总部内网段冲突

【解决方案】

1.分支外网网段更改成其它网段

2.总部内网网段更改成其它网段

【总结】

    目前，大多数电信光猫都集成路由器功能，并且默认都是光猫内置拨号，而且内网分配的正是经常使用的192.168.1.0/24的内网地址。如果刚好总部也有192.168.1.0的网段，就会导致VPN连接不上的现象。具体做法是致电电信客服，把光猫改成路由器拨号方式，关闭光猫上的路由功能。本例起到抛砖引玉作用，希望各位部署VPN时躲开这个运营商的坑！

感谢楼主分享，排查思路很清晰，根据日志定位冲突的网段，快速定位出了问题，其中还利用了升级客户端快速查看网口信息进行排查，文中有一个小错误提示一下，在验证部分“通过某公司升级工具登录后，按F9弹出窗口后点击[查看网络配置]”应该是通过某公司升级工具登录后，按F10弹出窗口后点击【命令】--【查看网络配置】查看。

排错思路很赞，一般出现网段冲突时，我们会去检测两边的内网网段，其实有的时候，虽然内网没有这些网段，但是设备上配置了，也会导致这个问题的，所以，如果出现网段冲突，要检查路由、多子网、设备各个接口的配置等等。。。

您好，感谢您参与社区原创分享计划2，您的文章已被收录到计划中，分享激励将在专家小组评审结束后进行派发，再次感谢！

打卡打卡

感谢分享，谢谢楼主

感谢分享，谢谢楼主的风奉献

排错过程很详细，感谢楼主分享！

学习了，谢谢分享！

学习一下