本文记录一次涉及两台映翰通工业路由器的现场故障排查。两台设备型号分别为IR305、IR912L,均通过IPsec VPN与中心服务器建立隧道,下挂数据采集器。故障现象完全一致:VPN 已通,远端能 ping 通路由器;路由器在局域网侧能 ping 通数采;但远端 ping 数采不通。经对比测试与抓包分析,最终确认根因为数据采集器未配置默认网关,建议客户现场核查并补全配置。
本文现场概况
| 项目 | 站点 A | 站点 B |
|---|---|---|
| 路由器型号 | 映翰通IR305 | 映翰通IR912L |
| 远程互联方式 | IPsec VPN ↔ 中心服务器 | IPsec VPN ↔ 中心服务器 |
| 下挂设备 | 数据采集器 ×1 | 数据采集器 ×1 |
| 故障现象 | 远端 ping 数采不通 | 远端 ping 数采不通 |
两台站点独立部署、独立 VPN 隧道,但故障表现相同,说明这是下挂设备配置的共性问题,而非单台路由器或单条 VPN 隧道故障。
目录
- 故障现象
- 网络拓扑
- 关键判据:LAN 能 ping,蜂窝源 ping 不通
- Wireshark 抓包定责
- 根因分析:数采未配置默认网关
- 修复建议与验证步骤
- 经验总结与排查清单
1. 故障现象
1.1 两台站点共同表现
| 测试项 | 结果 |
|---|---|
| IPsec VPN 隧道 | ✅ 正常建立 |
| 远端 / 服务器侧 ping 路由器 | ✅ 通 |
| 路由器局域网侧ping 数采 | ✅ 通 |
| 路由器蜂窝网接口 IP作源 ping 数采 | ❌不通 |
| 远端 / 服务器侧 ping 数采 | ❌不通 |
1.2 现象解读
- 能 ping 通路由器:说明 IPsec VPN 隧道、路由器本身工作正常。
- LAN 侧能 ping 数采:说明现场物理链路、交换机、数采在线状态正常。
- 蜂窝源 / 远端 ping 数采不通:说明数采无法正确处理跨网段回包,问题指向数采网络配置,而非 VPN 或路由器故障。
2. 网络拓扑
IPsec VPN 中心服务器 ◄────────────────────────────► IR305 / IR912L │ │ LAN ▼ 地震数据采集器 (未配置默认网关)数据流说明:
- 服务器 / 远端 PC 经 IPsec 访问数采时,报文到达路由器,解密后转发至 LAN。
- 数采收到请求,源地址为 VPN / 远端网段(非本地子网)。
- 数采需将回包交给默认网关(路由器 LAN IP),由路由器封装后经 IPsec 返回。
- 若数采未配置网关,回包无法发出 → 远端表现为 ping 超时。
3. 关键判据:LAN 能 ping,蜂窝源 ping 不通
这是本次排查中最有价值的对比测试,可在现场快速定性,无需等远端配合。
3.1 测试方法
在映翰通路由器工具 → Ping中分别测试:
测试 A:默认 ping(走 LAN 口,源地址为 LAN IP)
主机:数采 IP测试 B:指定蜂窝网接口 IP 为源地址(专家选项)
主机:数采 IP 专家选项:-I <蜂窝网接口 IP>IR912L 实测示例:
-I 10.78.12.200,ping 数采10.2.231.154,结果100% 丢包。
3.2 结果对照
| 测试 | 源地址类型 | 是否跨网段 | 结果 | 说明 |
|---|---|---|---|---|
| LAN 侧 ping | 路由器 LAN IP | 否(同网段) | ✅ 通 | 不依赖数采网关 |
| 蜂窝源 ping | 蜂窝 / VPN 网段 IP | 是(跨网段) | ❌ 不通 | 依赖数采默认网关 |
3.3 结论
同一台路由器、同一个数采:
- 同网段 ping 通 → 链路、数采在线正常
- 跨网段 ping 不通 →数采缺少默认网关或网关未生效
该判据比单纯「远端 ping 不通」更直接,也便于向客户说明:问题在数采配置,不在路由器或 VPN。
4. Wireshark 抓包定责
在远端 / 服务器侧持续 ping 数采的同时,于路由器 LAN 侧抓包,两台站点结果一致:
| 抓包内容 | 结果 |
|---|---|
| 远端 → 数采 ICMPRequest | ✅有 |
| 数采 → 远端 ICMPReply | ❌无 |
| IPsec ESP 隧道报文 | ✅ 正常 |
抓包定责表
| 抓包结果 | 结论 | 下一步 |
|---|---|---|
| 看不到 Request | 路由器未转发到 LAN | 查路由器转发、防火墙、路由 |
| 有 Request,无 Reply | 数采未回包 | 查数采 IP / 掩码 / 网关 |
| Request 和 Reply 都有 | 现场正常,回包未到远端 | 查 VPN 对端子网、服务器侧路由 |
本次两台站点均命中第二行:包已送达数采,数采没有回包。
5. 根因分析:数采未配置默认网关
5.1 数采应配置的三要素
IP 地址: (如 10.2.227.98 / 10.2.231.154) 子网掩码: (按现场规划,如 255.255.255.0) 默认网关: 路由器 LAN IP(如 10.2.227.97) ← 本次缺失5.2 为什么没有网关时「看起来一半正常」
| 访问方式 | 数采看到的源地址 | 是否需要网关 | 结果 |
|---|---|---|---|
| 路由器 LAN 侧 ping | 路由器 LAN IP(同网段) | 否 | ✅ 通 |
| 蜂窝 / VPN 源 ping | 远端或蜂窝网段 IP | 是 | ❌ 不通 |
| 服务器 / 远端 ping | VPN 对端网段 IP | 是 | ❌ 不通 |
数采可以收到跨网段 ping 请求,但无法把 Reply 交给网关发回,因此在抓包中只能看到 Request,看不到 Reply。
5.3 为何两台同时出现
两台路由器型号不同(IR305 / IR912L),VPN 隧道独立,但下挂数采均为同类数据采集设备,且均未正确配置默认网关,故表现一致。属于下挂设备配置遗漏,不是映翰通路由器批量故障。
6. 修复建议与验证步骤
6.1 修复操作(客户侧)
请客户在数据采集器上检查并配置:
| 参数 | 要求 |
|---|---|
| IP 地址 | 与现场规划一致 |
| 子网掩码 | 与现场规划一致 |
| 默认网关 | 必须填写为所接路由器 LAN IP |
配置保存后重启数采,确保生效。
6.2 验证步骤
- 路由器 LAN 侧 ping 数采→ 应通
- 路由器蜂窝源 ping 数采(专家选项
-I)→ 配置网关后应通 - 服务器 / 远端 ping 数采→ 应通
- LAN 侧抓包→ 应能看到 Request 与 Reply 完整往返
7. 经验总结与排查清单
7.1 推荐排查顺序
① 确认 IPsec 隧道正常 ② 远端 ping 路由器 → 应通 ③ 路由器 LAN ping 数采 → 应通 ④ 路由器 -I 蜂窝IP ping 数采 → 若不通,查数采网关 ★ 关键 ⑤ LAN 抓包:有 Request 无 Reply → 确认数采未回包 ⑥ 客户侧补全数采 IP / 掩码 / 网关7.2 易踩坑点
| 误区 | 实际情况 |
|---|---|
| 「路由器能 ping 数采,说明数采网络没问题」 | LAN 同网段 ping 不依赖网关,不能代表远端可达 |
| 「VPN 能 ping 路由器,说明 VPN 配置错了」 | 路由器本机响应,与下挂设备转发是两条路径 |
| 「要改数采掩码与 IPsec 子网一致」 | 数采主机掩码与 IPsec 本地子网不必强行一致,网关才是必配项 |
7.3 映翰通路由器相关检查项(本次非主因,但建议一并核对)
| 检查项 | 位置 |
|---|---|
| IPsec 本地/对端子网 | VPN → IPSec 隧道配置 |
| 防火墙访问控制 | 防火墙 → 访问控制 |
| 共享连接 | 网络 → WAN / 蜂窝拨号端口 |
| 源地址 ping | 工具 → Ping → 专家选项-I |