环境
宏电4g无线路由器软硬件 v7.2.3,v40版本,SecureCRT,华为防火墙
问题
之前已配置好防火墙的策略,也有配置过无线路由器,通过ipsec搭建vpn环境,连接到公司网内,此次属于新购无线路由器,新增网点通过vpn连入公司内网,在按照之前的配置完全复制参数后,发现vpn已经连接上,俩端都能互相ping通,公司侧还可以telnet到路由器的80端口,然而在网页开启无线路由器管理界面时会出现白屏,然后超时后就连接失败。
原因
经过一顿查找资料,终于找到类似的原因。
1.在IPsec(Internet Protocol Security)环境中,MTU(Maximum Transmission Unit,最大传输单元)设置对于网络性能和数据传输效率至关重要。
2.以太网的MTU通常是1500字节。
3.MTU是指在任何网络上,任何一层的数据链路层可以处理的最大数据包大小。如果数据包大小超过了网络的MTU,它可能会被丢弃或分片,导致传输效率降低或通信失败。
4.IPsec通常会在数据包上添加额外的头部信息,这可能会增加数据包的大小,从而影响MTU。
5.在配置IPsec时,需要设置一个比默认网络MTU更小的MTU值,以避免在加密和封装数据包时超过网络的MTU。如果数据包大小超过了路径MTU,这将导致数据包被丢弃。
所以此次的问题则是出在ipsec对数据包会进行封装,超过了1500字节以太网传输的MTU,数据包直接被抛弃
解决办法
知道原因,就直接解决问题,那就是改小路由器的MTU值即可,不过宏电界面不提供修改的方式,使用telnet方式连接路由器修改
# telnet路由器ip
telnet 192.168.x.x
默认账号admin,密码是super
进入后
en
conf t
int modem 0
ppp advance mtu 1350
wr
如果修改后还无法远程管理,重启路由器再尝试