本文记录一次涉及两台映翰通工业路由器的现场故障排查。两台设备型号分别为IR305、IR912L均通过IPsec VPN与中心服务器建立隧道下挂数据采集器。故障现象完全一致VPN 已通远端能 ping 通路由器路由器在局域网侧能 ping 通数采但远端 ping 数采不通。经对比测试与抓包分析最终确认根因为数据采集器未配置默认网关建议客户现场核查并补全配置。本文现场概况项目站点 A站点 B路由器型号映翰通IR305映翰通IR912L远程互联方式IPsec VPN ↔ 中心服务器IPsec VPN ↔ 中心服务器下挂设备数据采集器 ×1数据采集器 ×1故障现象远端 ping 数采不通远端 ping 数采不通两台站点独立部署、独立 VPN 隧道但故障表现相同说明这是下挂设备配置的共性问题而非单台路由器或单条 VPN 隧道故障。目录故障现象网络拓扑关键判据LAN 能 ping蜂窝源 ping 不通Wireshark 抓包定责根因分析数采未配置默认网关修复建议与验证步骤经验总结与排查清单1. 故障现象1.1 两台站点共同表现测试项结果IPsec VPN 隧道✅ 正常建立远端 / 服务器侧 ping 路由器✅ 通路由器局域网侧ping 数采✅ 通路由器蜂窝网接口 IP作源 ping 数采❌不通远端 / 服务器侧 ping 数采❌不通1.2 现象解读能 ping 通路由器说明 IPsec VPN 隧道、路由器本身工作正常。LAN 侧能 ping 数采说明现场物理链路、交换机、数采在线状态正常。蜂窝源 / 远端 ping 数采不通说明数采无法正确处理跨网段回包问题指向数采网络配置而非 VPN 或路由器故障。2. 网络拓扑IPsec VPN 中心服务器 ◄────────────────────────────► IR305 / IR912L │ │ LAN ▼ 地震数据采集器 未配置默认网关数据流说明服务器 / 远端 PC 经 IPsec 访问数采时报文到达路由器解密后转发至 LAN。数采收到请求源地址为 VPN / 远端网段非本地子网。数采需将回包交给默认网关路由器 LAN IP由路由器封装后经 IPsec 返回。若数采未配置网关回包无法发出 → 远端表现为 ping 超时。3. 关键判据LAN 能 ping蜂窝源 ping 不通这是本次排查中最有价值的对比测试可在现场快速定性无需等远端配合。3.1 测试方法在映翰通路由器工具 → Ping中分别测试测试 A默认 ping走 LAN 口源地址为 LAN IP主机数采 IP测试 B指定蜂窝网接口 IP 为源地址专家选项主机数采 IP 专家选项-I 蜂窝网接口 IPIR912L 实测示例-I 10.78.12.200ping 数采10.2.231.154结果100% 丢包。3.2 结果对照测试源地址类型是否跨网段结果说明LAN 侧 ping路由器 LAN IP否同网段✅ 通不依赖数采网关蜂窝源 ping蜂窝 / VPN 网段 IP是跨网段❌ 不通依赖数采默认网关3.3 结论同一台路由器、同一个数采同网段 ping 通 → 链路、数采在线正常跨网段 ping 不通 →数采缺少默认网关或网关未生效该判据比单纯「远端 ping 不通」更直接也便于向客户说明问题在数采配置不在路由器或 VPN。4. Wireshark 抓包定责在远端 / 服务器侧持续 ping 数采的同时于路由器 LAN 侧抓包两台站点结果一致抓包内容结果远端 → 数采 ICMPRequest✅有数采 → 远端 ICMPReply❌无IPsec ESP 隧道报文✅ 正常抓包定责表抓包结果结论下一步看不到 Request路由器未转发到 LAN查路由器转发、防火墙、路由有 Request无 Reply数采未回包查数采 IP / 掩码 / 网关Request 和 Reply 都有现场正常回包未到远端查 VPN 对端子网、服务器侧路由本次两台站点均命中第二行包已送达数采数采没有回包。5. 根因分析数采未配置默认网关5.1 数采应配置的三要素IP 地址 如 10.2.227.98 / 10.2.231.154 子网掩码 按现场规划如 255.255.255.0 默认网关 路由器 LAN IP如 10.2.227.97 ← 本次缺失5.2 为什么没有网关时「看起来一半正常」访问方式数采看到的源地址是否需要网关结果路由器 LAN 侧 ping路由器 LAN IP同网段否✅ 通蜂窝 / VPN 源 ping远端或蜂窝网段 IP是❌ 不通服务器 / 远端 pingVPN 对端网段 IP是❌ 不通数采可以收到跨网段 ping 请求但无法把 Reply 交给网关发回因此在抓包中只能看到 Request看不到 Reply。5.3 为何两台同时出现两台路由器型号不同IR305 / IR912LVPN 隧道独立但下挂数采均为同类数据采集设备且均未正确配置默认网关故表现一致。属于下挂设备配置遗漏不是映翰通路由器批量故障。6. 修复建议与验证步骤6.1 修复操作客户侧请客户在数据采集器上检查并配置参数要求IP 地址与现场规划一致子网掩码与现场规划一致默认网关必须填写为所接路由器 LAN IP配置保存后重启数采确保生效。6.2 验证步骤路由器 LAN 侧 ping 数采→ 应通路由器蜂窝源 ping 数采专家选项-I→ 配置网关后应通服务器 / 远端 ping 数采→ 应通LAN 侧抓包→ 应能看到 Request 与 Reply 完整往返7. 经验总结与排查清单7.1 推荐排查顺序① 确认 IPsec 隧道正常 ② 远端 ping 路由器 → 应通 ③ 路由器 LAN ping 数采 → 应通 ④ 路由器 -I 蜂窝IP ping 数采 → 若不通查数采网关 ★ 关键 ⑤ LAN 抓包有 Request 无 Reply → 确认数采未回包 ⑥ 客户侧补全数采 IP / 掩码 / 网关7.2 易踩坑点误区实际情况「路由器能 ping 数采说明数采网络没问题」LAN 同网段 ping 不依赖网关不能代表远端可达「VPN 能 ping 路由器说明 VPN 配置错了」路由器本机响应与下挂设备转发是两条路径「要改数采掩码与 IPsec 子网一致」数采主机掩码与 IPsec 本地子网不必强行一致网关才是必配项7.3 映翰通路由器相关检查项本次非主因但建议一并核对检查项位置IPsec 本地/对端子网VPN → IPSec 隧道配置防火墙访问控制防火墙 → 访问控制共享连接网络 → WAN / 蜂窝拨号端口源地址 ping工具 → Ping → 专家选项-I