灵犀一指

自从挖掘机在江湖掀起一阵翔风后，某某技术哪家强的口号甚嚣尘上，就连IT帝国也是陷得不可开交。本来技术体系庞大、分支众多，这下为了部族荣耀，更是你争我抢。

老话说的好：常在河边走，哪有不湿脚（请用陕西口音朗读）。响彻NAT谷的E君（E君，名ER，字路由器，SMB籍人士）早已名声在外，这次自然不能独善其身。期望一较高下的人越聚越多，在他们看来，只要打败E君，那么一夜成名指日可待了。作为NAT谷的守护者，E君无法容忍好事聚斗者打扰NAT谷居民的生活，在退无可退的情况下，接受了挑战。

E君这次接受挑战的项目是明修栈道、暗度陈仓的技能—VPN（虚拟专用网）。作为E君的众多高端技能之一，IPSec VPN的技术旨在给使用者提供专有的虚拟通道，在公网上附上一条私有通道且在公网不可见。

不日，挑战者下来战书，挑战项目：为百晓生的来福客栈总店和分店建立VPN网络，让两家分店的店小二可互通消息。众所周知，百晓生是江湖的包打听，一般的八卦在他这儿可是论条卖的，价值不菲，显然消息的及时性对他来说，至关重要。

图1 来福客栈网络规划图

E君查看客栈网络规划图，客栈总部私网网段为192.168.1.0/24，公网地址为220.221.132.XXX。客栈分部私网网段为192.168.2.0/24，公网地址为220.221.131.XXX。根据规划图，E君派出ER3200各两名守卫，分别做出口路由，由他们之间通过公网建立主模式下的IPSec VPN。

经过部署，VPN网络很快就建立好了，随着E君的一声令下，双方店小二开始通过网络交互信息。刚开始还有疑问的围观人员纷纷对E君大家赞赏，还有开始咨询E君是否也能为自家布设VPN网络的商贾。

正当众人欢欣鼓舞时，挑战方的一个人突然跳出来说分部的店小二无法访问总部的一台通缉令服务器。这台通缉令服务器里面放着江湖上一些悬赏抓捕的要犯信息，和其余服务器、消息终端并无特殊区别。当分部的店小二们通过VPN，采用私网地址访问这通缉令服务器时，系统提示“找不到网络路径”。

E君心理琢磨，难道是VPN网路突然断开导致？本着负责的态度，E君不管刚才赞赏他的群众态度瞬间的转变，开始一步步排查。

首先查看日志，是否有VPN异常信息的记录，因为ER路由器的日志是强大的神器，记录着VPN交互信息的始末，简洁、直观。

2000-01-01 00:09:21 [Informational] : 用户admin从192.168.2.10登录。

2000-01-01 00:09:39 [Notice] : ipsec0接口已创建。

2000-01-01 00:11:33 [Informational] : IPSEC VPN功能开启。

2000-01-01 00:14:08 [Notice] : 远程Web管理开启。

2000-01-01 00:14:25 [Notice] : LAN1端口物理连接已断开。

2000-01-01 00:14:54 [Notice] : WAN1接口物理连接已成功。

2000-01-01 00:14:54 [Notice] : 设置WAN1接口的IP地址220.221.132.10/24。

2000-01-01 00:14:56 [Notice] : ipsec0接口物理连接已成功。

2000-01-01 00:16:33 [Informational] : 220.221.132.10<->220.221.132.11[jk]: ISAKMP SA建立完成 {加密算法=oakley_des_cbc_64 认证算法=oakley_sha DH组=DH1}。

2000-01-01 00:16:34 [Informational] : 安全策略[jk]: IPSEC SA建立完成 {ESP 出SPI=0xe32a2cce 入SPI=0x9a626805 加密算法=DES_0 认证算法=HMAC_MD5 NATD=none DPD=关闭 PFS=禁止}。

2000-01-01 00:17:09 [Notice] : LAN2端口物理连接已成功。

日志里有IPSec VPN协商成功的信息（第一阶段和第二阶段的隧道已成功建立），并无断开记录。进一步查看设备上的VPN状态，状态也是成功建立，并无异常。

排除了VPN网络的问题，E君想是不是总部的这台通缉令服务器本身有问题，便开始着手从内网查起。从ER上查看是否学到设备的ARP信息，查询如下：

ER上学到的设备ARP

上图中红框标注的是服务器的ARP信息，可见ARP学习正常。

从上至下排查，最后只剩排查服务器本身的问题了。E君为了预测自己的想法，采用了替换法测试，即将此台通缉令服务器换成别另一台服务器，分部店小二访问正常。

VPN是成功建立的，双方的其他服务器和终端互通业务问题且经过替换测试，已很明显查明故障就是在此台服务器上。

仔细分析服务器提供的服务类型，实则为提供的共享文件夹服务。那么在Windows环境下，什么可以影响VPN用户之间共享文件夹服务？

E君通过翻阅典籍、查找野史，终于在一篇传记中发现了相关线索，依稀记载着如下调试步骤：

1、如果确认分部电脑能ping通共享文件的服务器地址的话，将服务器的防火墙和杀毒软件退出（包括系统自带的防火墙和某些杀毒软件的防火墙）；

2、确认两边私网是否配置了域，是否在同一域内，如不在同一域内，尝试添加；

3、如果以上两种方法无效，直接在共享文件夹的服务器电脑上抓包，将分部电脑通过IP访问总部共享文件夹的过程捕获，提供分析。

抱着希冀，E君开始在通缉令服务器上尝试操作。

按步骤1实施，关掉Windows的防火墙后，分部侧内网电脑就可以成功访问总部服务器的共享文件夹了。但是客户表示之前曾将防火墙关闭过，服务器中毒了，所以不能实施关闭防火墙的操作。

可见此次故障点就是电脑防火墙的设置了。按图索骥，E君找到防火墙方面的高手协助排查，终于有了结果。

在防火墙的“例外”中将“添加端口”的更改范围选择“任何计算机”即可。具体设置详见如下操作截图：

Windows防火墙设置

设完之后，经过店小二的再三测试，通缉令服务器使用正常。

虽然这次挑战看起来颇有波折，但也让围观群众看清了E君的专业负责态度。纵观下来，其实故障点并不在于ER路由器，而是服务器的设置导致无法访问某台服务器。但是E君还是本着解决用户问题单的精神，不断探索、排查，协调资源直至最终解决。

至此，E君关于VPN斗武的风波算是告一段落了。但是听说E君有了兼职，除了原来的守卫工作，还开启了一家网络服务公司，生意红火。

不过江湖还是流传了一句话，VPN技术哪家强，杭州华三找ER。