某公司ipsec 分支和总部对接成功后,检查发现两端业务测试正常。分支和总部服务器可以互访,分支测试总部服务器80端口开放正常,排除两侧因策略的影响。但是总部服务器web业务和数据库业务均出现无法访问,web页面打不开,数据库连接失败。
出现此类问题通过在防火墙侧抓包发现tcp三次握手后又断开了连接。
检查发现分支侧tcp mss长度为1460,总部侧为1350。
怀疑是两端通过esp加密后报文长度超出了公网接口设置的MTU范围,检查总部公网侧端口发现其接口的mtu设置为1400,tcp mss设置为1350,这会导致分支1460的包过来后无法正常分片,将其总部和分支公网侧端口均设置为mtu1400 tcp mss 1200后,故障解除。
另外记录,如果有业务单通情况:如:分支业务网段可以访问总部业务网段(感兴趣流内业务),但是总部业务网段无法访问分支业务网段,出现此类问题许检查:
- 两端NAT是否拒绝了业务流量。
- 检查内部是否有多次nat的情况,如防火墙内网口有做nat等。
- 检查两端感兴趣流是否匹配。