【SSL】lan口下部分地址无法通过sangforvpn访问应用

更新时间：2023-09-20

所属模块 IPSEC | SANGFOR VPN

适用版本通用

新建了工控机，通过sangforvpn隧道无法访问对端业务

1、之前的工控机可以正常访问，新增的工控机无法访问。工控机为同一个网段的

2、在分支vpn设备上进行抓包，数据从分支设备的vpntun口转发出去，但是没有收到回包

3、在总部设备上抓包，物理网口收到了回复的数据包，但是数据没有进总部设备的vpntun口从而没有恢复给到分支设备（总部设备网关部署，数据走了eth2口出去了）

4、ip r g 15.18.25.30指向的是eth2口，没有进入vpntun口

5、检查分支设备配置，vpn网口配置的掩码为29位，网口配置处配置的掩码为24位

6、使用IP掩码计算器进行计算，15.18.25.1/255.255.255.248网段不包含15.18.25.30这个iP，但是15.18.25.1/255.255.255.0网段包含

vpn网口配置的掩码与网口配置处配置的掩码不一致，导致对应的回复数据没有进入总部的vpntun口

修改VPN接口设置处的VPN内网设置，将其掩码与网口配置处保持一致

修改VPN接口设置处的配置，会重启dlan服务，影响ipsec sangforvpn的隧道建立

{{contentObj.name||'--'}}