IPSECVPN内网不能互PING因USG内部路由配置问题

发布时间:  2012-07-17 浏览次数:  94 下载次数:  0
问题描述

PC1----USG1-------USG2-----PC2

产品型号:USG2130 V100R005C00SPC300
用户是自已建的实验环境,没有跨公网,VPN隧道可以正常建立,IKE 1阶段和2阶段正常,但PC1与PC2互PING不通
 

告警信息
处理过程
去掉这条默认路由,或者配上去PC1的明细路由后解决
根因

1、检查NAT拒绝IPSECVPN流量,正常.
2、检查域间包过滤,正常.
3、检查PC网关,正常.
4、经查配置发现用户在USG2上面另外一个接口接了外网,配了一条默认路由从此接口出去,去掉这条路由后解决,原因是路由将数据流转发到了外网口,没有触发IPSECVPN策略.

用户实际拓扑图如下
PC1----USG1--------USG2----PC
                    |------外网
建议与总结
IPSECVPN内网不通互PING通主要有以下几个原因:1.NAT没有拒绝IPSECVPN流   2.包过滤问题  3.多线路接入是路由问题

END