sangfor ***故障3：ipsec ***建立起来了，但是总部这边看不到分公司发布子网

故障描述：我这边是总部，对子公司对接ipsec ***，因为都是买的深信服***设备，所以才去sangfor ***这种简单的方式对接，之前与A分公司建立成功了sangfor ***，今天对接B公司，发现配置和A分公司没啥差别啊，webagent和本地子网发布都是ok。但是故障现象就是总部这边看不到分公司发布子网。tracert跟踪了行踪，就发现包到***设备之后，没走***隧道过去，而是又丢给核心，核心查路由又丢给***设备，***设备又回给核心，，核心查路由又丢给***设备…………反反复复传达，最后TTL最大值了，传输失败。

---

原因和解决方法：请了深信服工程是看了下，ssh进入shell查看总部这边学的的对端的路由，发现就一个对端*** lan口路由，而这个路由根本不用发布的。正常发布的本地子网这边一个都没学到。最后发现原因是在“ipsec ***设置---***接口---内网接口设置。有个自定义掩码。（用户那里是老版本ssl ***，当时还没有自动同步lan口掩码功能，就是个自定义掩码）。而这个自定义掩码默认出厂写的是255.255.255.0.而用户 *** 设备lan口是199.199.100.8/16，需要访问服务器地址是199.199.0.36/16，他们内网很奇葩的，用199.199.0.0/16大网段。
×××接口本身掩码只有24，lan口网段和想要发布过去的ip网段是/16，×××接口网段都没有那么大，写这么大的路由，宣告不过去 。之后是修改“ipsec ***设置---***接口---内网接口设置的自定义掩码改为255.255.0.0，宣布路由就成功了，对端学到了分公司本地子网路由。
之前***设备只有路由
199.199.100.0/24 via 106.15.5.12 dev ***tun
通过上面修改之后，***设备的路由是
199.199.0.0/16 via 106.15.5.12 dev ***tun
（新版本都是自动同步lan口掩码，应该不会有该故障）

转载于:https://blog.51cto.com/8189171/2070656