【原创分享计划】+ 分享一个VPN能连接上但使用不了的另类原因

>>【原创分享计划2】分享技术经验，赚上千元稿酬！

【问题现象】

  某公司AF与MIG之前建立sangfor ipsec VPN，能正常连接上，但是不能访问对端内网

  

  

【网络环境】

【排错步骤】

  1.跟踪下路由，发现到了外网口地址就中断

  

  2.打开VPN信息日志，显示的是VPN正常连接，并没有发现有用信息

  

  3.打开VPN调试日志，一切正常，并且VPN隧道正常连通

  

  4.打开告警日志，发现有No route to host的告警

  

【分析原因】

     结合路由跟踪到外网口就中断的现象，以及VPN日志"No route to host"的告警，定位到问题多半是由于外网口上的路由错误导致的。

  顺藤摸瓜去外网口看看：

  

  涉及路由的，也就只有默认网关了。检查后发现：对端地址填错，正确应是36.28.43.37。

  更改后重新测试一下，通了。

  

【总结】

     本次实验环境中，由于两个外网IP都是在同一个网段，因此VPN通道是能正常建立的。但是由于总部和分支在不同的网段，因此还是需要正确的网关路由。

     补充一点，也许会有人说VPN组网都是在跨运营商网络的两个地区，如果外网网关配错了根本连上不网，更别说VPN隧道的建立。的确一般情况下很少会遇到这种环境，其实这个环境有个特殊的应用：就是在一条点对点专线中跑多个子网，可以利用VPN隧道技术，这里我就不展开讲了。希望大家多多支持，我会在日后发更多分享文章，共同学习！

感谢楼主分享，但有个小疑问，理论上如上这种场景写错网关不影响VPN建立，VPN建立后不会影响两端业务互访。从楼主截图来看，VPN建立连接后的内网IP是10.251.251.251，但是内网网段从拓扑图来看并不是这个网段，怀疑本地子网部分的配置错误，是否当时解决问题的时候调整了本地子网或内网接口的配置解决问题的。

您好，感谢您参与社区原创分享计划2，您的文章已被收录到计划中，分享激励将在专家小组评审结束后进行派发，再次感谢！

感谢分享，写得很详细，分析也很到位，学习到了~

感谢分享