映翰通 IR305 / IR912L:下挂数采远端 ping 不通?LAN 能 ping、蜂窝源 ping 不通 —— 排查实录

本文记录一次涉及两台映翰通工业路由器 的现场故障排查。两台设备型号分别为 IR305IR912L ,均通过 IPsec VPN 与中心服务器 建立隧道,下挂数据采集器 。故障现象完全一致:VPN 已通,远端能 ping 通路由器;路由器在局域网侧能 ping 通数采;但远端 ping 数采不通 。经对比测试与抓包分析,最终确认根因为数据采集器未配置默认网关,建议客户现场核查并补全配置。

本文现场概况

项目 站点 A 站点 B
路由器型号 映翰通 IR305 映翰通 IR912L
远程互联方式 IPsec VPN ↔ 中心服务器 IPsec VPN ↔ 中心服务器
下挂设备 数据采集器 ×1 数据采集器 ×1
故障现象 远端 ping 数采不通 远端 ping 数采不通

两台站点独立部署、独立 VPN 隧道 ,但故障表现相同,说明这是下挂设备配置的共性问题,而非单台路由器或单条 VPN 隧道故障。

目录

  1. 故障现象
  2. 网络拓扑
  3. 关键判据:LAN 能 ping,蜂窝源 ping 不通
  4. Wireshark 抓包定责
  5. 根因分析:数采未配置默认网关
  6. 修复建议与验证步骤
  7. 经验总结与排查清单

1. 故障现象

1.1 两台站点共同表现

测试项 结果
IPsec VPN 隧道 ✅ 正常建立
远端 / 服务器侧 ping 路由器 ✅ 通
路由器 局域网侧 ping 数采 ✅ 通
路由器 蜂窝网接口 IP 作源 ping 数采 不通
远端 / 服务器侧 ping 数采 不通

1.2 现象解读

  • 能 ping 通路由器:说明 IPsec VPN 隧道、路由器本身工作正常。
  • LAN 侧能 ping 数采:说明现场物理链路、交换机、数采在线状态正常。
  • 蜂窝源 / 远端 ping 数采不通 :说明数采无法正确处理跨网段回包,问题指向数采网络配置,而非 VPN 或路由器故障。

2. 网络拓扑

复制代码
                         IPsec VPN
    中心服务器 ◄────────────────────────────► IR305 / IR912L
                                                    │
                                                    │ LAN
                                                    ▼
                                              地震数据采集器
                                              (未配置默认网关)

数据流说明

  1. 服务器 / 远端 PC 经 IPsec 访问数采时,报文到达路由器,解密后转发至 LAN。
  2. 数采收到请求,源地址为 VPN / 远端网段(非本地子网)。
  3. 数采需将回包交给默认网关(路由器 LAN IP),由路由器封装后经 IPsec 返回。
  4. 若数采未配置网关,回包无法发出 → 远端表现为 ping 超时。

3. 关键判据:LAN 能 ping,蜂窝源 ping 不通

这是本次排查中最有价值的对比测试,可在现场快速定性,无需等远端配合。

3.1 测试方法

在映翰通路由器 工具 → Ping 中分别测试:

测试 A:默认 ping(走 LAN 口,源地址为 LAN IP)

复制代码
主机:数采 IP

测试 B:指定蜂窝网接口 IP 为源地址(专家选项)

复制代码
主机:数采 IP
专家选项:-I <蜂窝网接口 IP>

IR912L 实测示例:-I 10.78.12.200,ping 数采 10.2.231.154,结果 100% 丢包

3.2 结果对照

测试 源地址类型 是否跨网段 结果 说明
LAN 侧 ping 路由器 LAN IP 否(同网段) ✅ 通 不依赖数采网关
蜂窝源 ping 蜂窝 / VPN 网段 IP 是(跨网段) ❌ 不通 依赖数采默认网关

3.3 结论

同一台路由器、同一个数采:

  • 同网段 ping 通 → 链路、数采在线正常
  • 跨网段 ping 不通 → 数采缺少默认网关或网关未生效

该判据比单纯「远端 ping 不通」更直接,也便于向客户说明:问题在数采配置,不在路由器或 VPN

4. Wireshark 抓包定责

在远端 / 服务器侧持续 ping 数采的同时,于路由器 LAN 侧抓包,两台站点结果一致:

抓包内容 结果
远端 → 数采 ICMP Request
数采 → 远端 ICMP Reply
IPsec ESP 隧道报文 ✅ 正常

抓包定责表

抓包结果 结论 下一步
看不到 Request 路由器未转发到 LAN 查路由器转发、防火墙、路由
有 Request,无 Reply 数采未回包 查数采 IP / 掩码 / 网关
Request 和 Reply 都有 现场正常,回包未到远端 查 VPN 对端子网、服务器侧路由

本次两台站点均命中第二行:包已送达数采,数采没有回包

5. 根因分析:数采未配置默认网关

5.1 数采应配置的三要素

复制代码
IP 地址:    (如 10.2.227.98 / 10.2.231.154)
子网掩码:  (按现场规划,如 255.255.255.0)
默认网关:  路由器 LAN IP(如 10.2.227.97)  ← 本次缺失

5.2 为什么没有网关时「看起来一半正常」

访问方式 数采看到的源地址 是否需要网关 结果
路由器 LAN 侧 ping 路由器 LAN IP(同网段) ✅ 通
蜂窝 / VPN 源 ping 远端或蜂窝网段 IP ❌ 不通
服务器 / 远端 ping VPN 对端网段 IP ❌ 不通

数采可以收到跨网段 ping 请求,但无法把 Reply 交给网关发回,因此在抓包中只能看到 Request,看不到 Reply。

5.3 为何两台同时出现

两台路由器型号不同(IR305 / IR912L),VPN 隧道独立,但下挂数采均为同类数据采集设备 ,且均未正确配置默认网关 ,故表现一致。属于下挂设备配置遗漏,不是映翰通路由器批量故障。

6. 修复建议与验证步骤

6.1 修复操作(客户侧)

请客户在数据采集器上检查并配置:

参数 要求
IP 地址 与现场规划一致
子网掩码 与现场规划一致
默认网关 必须填写为所接路由器 LAN IP

配置保存后重启数采,确保生效。

6.2 验证步骤

  1. 路由器 LAN 侧 ping 数采 → 应通
  2. 路由器蜂窝源 ping 数采(专家选项 -I → 配置网关后应通
  3. 服务器 / 远端 ping 数采 → 应通
  4. LAN 侧抓包 → 应能看到 Request 与 Reply 完整往返

7. 经验总结与排查清单

7.1 推荐排查顺序

复制代码
① 确认 IPsec 隧道正常
② 远端 ping 路由器 → 应通
③ 路由器 LAN ping 数采 → 应通
④ 路由器 -I 蜂窝IP ping 数采 → 若不通,查数采网关  ★ 关键
⑤ LAN 抓包:有 Request 无 Reply → 确认数采未回包
⑥ 客户侧补全数采 IP / 掩码 / 网关

7.2 易踩坑点

误区 实际情况
「路由器能 ping 数采,说明数采网络没问题」 LAN 同网段 ping 不依赖网关,不能代表远端可达
「VPN 能 ping 路由器,说明 VPN 配置错了」 路由器本机响应,与下挂设备转发是两条路径
「要改数采掩码与 IPsec 子网一致」 数采主机掩码与 IPsec 本地子网不必强行一致,网关才是必配项

7.3 映翰通路由器相关检查项(本次非主因,但建议一并核对)

检查项 位置
IPsec 本地/对端子网 VPN → IPSec 隧道配置
防火墙访问控制 防火墙 → 访问控制
共享连接 网络 → WAN / 蜂窝拨号端口
源地址 ping 工具 → Ping → 专家选项 -I