某公司ipsec 分支和總部對接成功後,檢查發現兩端業務測試正常。分支和總部伺服器可以互訪,分支測試總部伺服器80端口開放正常,排除兩側因政策的影響。但是總部伺服器web業務和資料庫業務均出現無法通路,web頁面打不開,資料庫連接配接失敗。
出現此類問題通過在防火牆側抓包發現tcp三次握手後又斷開了連接配接。
檢查發現分支側tcp mss長度為1460,總部側為1350。
懷疑是兩端通過esp加密後封包長度超出了公網接口設定的MTU範圍,檢查總部公網側端口發現其接口的mtu設定為1400,tcp mss設定為1350,這會導緻分支1460的包過來後無法正常分片,将其總部和分支公網側端口均設定為mtu1400 tcp mss 1200後,故障解除。
另外記錄,如果有業務單通情況:如:分支業務網段可以通路總部業務網段(感興趣流内業務),但是總部業務網段無法通路分支業務網段,出現此類問題許檢查:
- 兩端NAT是否拒絕了業務流量。
- 檢查内部是否有多次nat的情況,如防火牆内網口有做nat等。
- 檢查兩端感興趣流是否比對。