Цепочка для часов BOVPN и новый ISP
Мы изменяем нашу интернет-Схему на новый ISP. Во время тестирования у меня есть обе схемы плюс схема обработки отказа, подключенная к нашему WatchGuard XTM515
Я могу просмотреть Интернет и Ping через новую схему. Однако, если я создаю туннель BOVPN с новой схемой, Администратор системы говорит мне, что туннель создается, но я только надеваю отправленные байты местный конец, никакие полученные байты. Шоу удаленного конца отправлены и получены.
Техническая поддержка WatchGuard говорит, что они видят, что ESP (Протокол 50) пакеты оставляет местный конец и прибывает в удаленный конец, они также видят, что они оставляют удаленный конец, но не возвращаются в местном конце. Это указывает на ISP, блокирующий обратный канал или ошибку маршрутизации.
ISP говорит, что они не блокируют портов, и что это не их проблема, но проблема конфигурации брандмауэра.
Как я определяю, где проблема лжет, заставляют их заставлять его работать?
Обоими концами является WatchGuard брандмауэры XTM. Существует четыре ISP в игре здесь: один в удаленном конце; новый, который я тестирую, старый, который я хочу разъединить; и DSL, который мы используем для обработки отказа. Старый ISP и DSL оба хорошо работают, только Новый имеет проблему.
Хорошо, в конце концов я решил эту проблему.
Мне пришлось подключить ноутбук напрямую к новому соединению и показать провайдеру, что эхо-запросы к удаленному брандмауэру не работают. Наконец, они посмотрели на IP-маршрутизацию и вернулись со словами: «С этим блоком IP есть что-то странное, позвольте нам назначить вам новый блок IP». и тогда все работало безупречно. Я предполагаю, что у тех, кто когда-либо имел этот блок до меня, были какие-то странные требования к маршрутизации,и в результате пакеты ESP отбрасывались где-то в сети провайдера.