案例分析：无线网关出现open VPN网络不通的分析与解决步骤

OpenVPN作为一种开源的虚拟专用网络技术，具备强大的加密和认证机制，能够保障工业网络中的数据在通过公网传输时不被窃取或篡改。通过工业网关内置的OpenVPN客户端，企业可以方便地将现场设备安全连接到总部或云平台，实现远程监控、维护和数据采集。佰马工业智能网关系列支持OpenVPN客户端功能，能够实现安全、稳定的远程访问和数据传输。

一、案例背景：

佰马网关作为open vpn客户端连接用户自行搭建open vpn服务端，使用TAP模式已经成功建立VPN隧道且获取隧道地址10.10.11.12，如下图所示。

二、主要问题：

作为VPN客户端的佰马网关无法ping通服务端的网关地址10.10.11.1,切换为tun模式同样无法ping通，于客户端查看日志，并无异常告警。服务端告警如下

TAP模式告警： Can't learn ff:da:18:0f:44:16@0: network is a multicast address 

tun模式告警：iP packetwith unknown IP version-15 seen  

三、现象分析：

通过服务端产生告警，TAP模式下服务端无法向目的mac地址为ff:da:18:0f:44:16回应数据帧，因为ff开头的mac地址为组播，tun模式下服务端监测IP报头的IP version字段异常。

四、解决步骤：

抓取客户端和服务端的数据帧或数据包分析。

Tap模式下客户端抓包见图4，tun模式抓包见图5，根据客户端发出的数据帧与数据包分析结果可见：在 Tap 模式下，数据帧的源 MAC 地址为 da:18:0f:44:16:5b，而服务端日志中记录的告警 MAC 地址为 ff:da:18:0f:44:16，二者存在不一致。在 Tun 模式下，发出的数据包 IP 版本字段为 4，符合正常 IPv4 数据报头格式。综上可知，客户端发出的数据帧及数据包本身符合规范，但在传输至服务端的过程中或是到达服务端后，其帧头或包头的部分字段遭到修改。