有多种原因导致IPSec建立隧道后两端内网不能互通的问题。以下是可能的原因和解决方案： 1. 硬件设备问题：检查是否存在硬件设备故障或配置错误。确保IPSec设备的固件和驱动程序是最新的，并且符合厂商的规格要求。另外，检查设备上的连接是否正确，例如网线是否松动或连接到错误的接口上。
硬件问题的解决方法是检查硬件设备的状态和配置，确保设备正常工作，并修复任何配置错误。 2. 配置错误：检查IPSec的配置是否正确，包括隧道模式、安全协议、加密算法、完整性算法、端点等。确保两端的配置一致，例如密钥、转发策略和访问控制列表。
配置错误的解决方法是检查IPSec的配置，并确保两端的配置一致。如果发现错误，可以手动修复或重新配置IPSec。 3. 网络地址转换(NAT)问题：如果使用了NAT设备，则可能会导致IPSec隧道无法建立。这是因为NAT会修改IP头部的源和目的地址，导致IPSec报文被破坏。
解决NAT问题的方法是在NAT设备上配置IPSec通过，并确保IPSec设备能够正确处理NAT报文。 4. 防火墙问题：防火墙可能会阻止IPSec报文通过隧道。如果防火墙配置错误或规则不正确，会导致两端内网无法互通。
解决防火墙问题的方法是检查防火墙的配置和规则，确保IPSec报文可以通过。在防火墙上配置策略或规则，允许IPSec报文通过。 5. 网络问题：IPSec隧道通常依赖于底层网络的可靠性。如果底层网络存在故障或交换机配置问题，会导致IPSec隧道无法建立或无法正常工作。
解决网络问题的方法是识别和修复底层网络的故障和配置问题。可以进行网络测试和故障排除，查找并修复问题的根本原因。 总结起来，IPSec建立隧道后两端内网不能互通可能是由于硬件设备问题、配置错误、NAT问题、防火墙问题或网络问题导致的。解决这些问题的方法包括检查硬件设备的状态和配置、修复配置错误、处理NAT报文、配置防火墙规则和修复底层网络故障。