MER3220路由器VPN链接L2tp/ipsec psk失败

两端都需要检查下配置

从你的配置看，问题很可能出在两端加密参数不一致，尤其是鸿蒙6.0默认要求的算法（如AES）与你设备配置的老旧算法（3DES、SHA1）不匹配。

以下是更精确的故障排查步骤：

第一步：检查基础网络环境

1. 检查端口连通性：确认手机能否Ping通你的公网IP，并在路由器上放行UDP端口 500（IKE）、4500（NAT-T）和 1701（L2TP）。

2. 检查预共享密钥：确保密钥不包含特殊字符（如 !@#$），如有则建议改为纯数字字母并确保两端完全一致。

 第二步：逐项调整核心参数

核心矛盾在于过时的加密套件。你可以从两个方向着手，强烈建议优先采用方向一。

 操作提醒

• L2TP关键配置：IPsec策略必须使用模板类型（ipsec policy-template）以适配移动设备。在“L2TP配置”页签开启服务并创建用户后，确保在“IPsec加密”中关联正确的策略模板。

• 最佳实践建议：使用上述“方向一”的现代加密套件（AES+SHA256+DH14）是平衡兼容性和安全性的最佳方案。

 第三步：进阶排查（查看路由日志）

如果仍失败，需登录路由器查看更详细的报错信息：

你现在 MER3220（中心端）+ 鸿蒙 6.0 手机（L2TP/IPsec PSK）连不上，核心问题集中在：IKE 协商参数、NAT 穿越、PFS、鸿蒙客户端兼容性、L2TP 地址池 / 域策略这几块。按你给的参数，直接给你可对照改的完整配置 + 排障步骤。
一、先看你现有配置的问题（必改）
你当前 IKE/IPsec：
协商模式：主模式
认证：SHA1
加密：3DES-CBC
PFS：DH group 2
ESP：SHA1 + 3DES-CBC
封装：隧道
问题点（导致鸿蒙连不上）：
主模式 + NAT 环境（手机 4G/Wi-Fi 都是 NAT）= 大概率 IKE 第一阶段失败
手机在 NAT 后，必须用野蛮模式（Aggressive），主模式不支持 NAT 穿越 ID 匹配
PFS（DH group 2）开启
鸿蒙 L2TP/IPsec 默认不支持 PFS，会导致第二阶段（IPsec SA）协商失败
3DES+SHA1 虽然老，但鸿蒙支持；但要确保两端完全一致
MER3220 必须开启：NAT 穿越、IKEv1、L2TP 地址池、域间策略放行
二、MER3220 完整可复制配置（WEB + 命令行）
1. 全局开启 IKE/IPsec/L2TP
plaintext
system-view
l2tp enable
ipsec enable
ike enable
2. IKE 提议（匹配你参数：主模式改野蛮、3DES+SHA1、DH2）
plaintext
# IKE 提议
ike proposal 1
encryption-algorithm 3des-cbc
authentication-algorithm sha1
dh group2
authentication-method pre-share
sa duration 86400

# IKE 对等体（关键：野蛮模式 + NAT 穿越）
ike peer l2tp-peer v1
pre-shared-key simple 你的PSK密钥 # 与手机完全一致
exchange-mode aggressive # 必须改野蛮模式（手机NAT必备）
proposal 1
nat traversal # 强制开启NAT穿越
id-type ip # 身份类型IP
sa duration 86400
undo dead-peer-detect # 关闭DPD（你已关）
3. IPsec 提议（ESP+3DES+SHA1、关闭 PFS）
plaintext
ipsec proposal 1
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha1
encapsulation-mode tunnel
sa duration time-based 3600
sa duration traffic-based 1843200

# IPsec 策略（引用IKE对等体，关闭PFS）
ipsec policy 1 isakmp
security acl 3000
proposal 1
ike-peer l2tp-peer
pfs disable # 必须关闭PFS（鸿蒙不支持）
4. ACL 兴趣流（允许 L2TP 流量）
plaintext
acl number 3000
rule permit udp destination-port eq 1701 # L2TP端口
rule permit udp destination-port eq 500 # IKE
rule permit udp destination-port eq 4500 # NAT-T
rule permit ip protocol 50 # ESP
5. L2TP 配置（用户 + 地址池）
plaintext
# 地址池（手机获取内网IP）
local-user vpn class network
service-type l2tp
password simple 你的VPN用户密码
authorization-attribute user-role level-3

l2tp-group 1
tunnel name LNS
allow l2tp virtual-template 1
authentication-mode chap # 常用CHAP
# 虚拟模板
interface Virtual-Template 1
ppp authentication-mode chap
ip address 192.168.100.1 255.255.255.0 # 网关
remote address pool 1
# 地址池
ip pool 1 192.168.100.100 192.168.100.200
6. 出口接口应用（WAN 口：Dialer/GE0/0/1）
plaintext
interface GigabitEthernet0/0/1 # 你的公网口
ipsec policy 1
7. 域间策略（必须放行）
plaintext
security-zone name Local
security-zone name Untrust
# 放通IKE/L2TP/ESP
interzone policy default by-pass
rule 10 permit ip source-zone Local destination-zone Untrust
rule 20 permit ip source-zone Untrust destination-zone Local
三、鸿蒙 6.0 手机配置（严格对照）
设置 → 更多连接 → VPN → 添加 VPN
类型：L2TP/IPsec PSK
服务器：MER3220 公网 IP
用户名 / 密码：MER3220 配置的 VPN 用户
预共享密钥：与路由器完全一致
IPsec 加密 / 认证（手动改）：
加密算法：3DES
认证算法：SHA1
DH 组：关闭（不选）/PFS：关闭
IKE 版本：IKEv1
模式：野蛮模式（Aggressive）
高级：
允许通过 VPN 上网：开启
NAT 穿越：自动 / 开启
四、最常见失败点（按顺序排查）
1. IKE 第一阶段失败（最常见）
主模式 → 必须改野蛮模式（手机 NAT 后主模式必败）
PSK 密钥不一致（空格 / 大小写）
未开 NAT 穿越：ike peer 下 nat traversal
2. IPsec 第二阶段失败
PFS 开启 → 必须 pfs disable（鸿蒙默认不支持）
ESP 算法不匹配：3DES+SHA1 必须完全一致
ACL 未放通 1701/500/4500/ESP (50)
3. L2TP 认证失败
PPP 用户名 / 密码错误
认证模式：CHAP 一致
地址池未配 / 冲突
4. 网络 / 端口
公网 IP 可达、端口未被运营商屏蔽
防火墙 / 光猫 放行：UDP 500/4500/1701、ESP (50)
五、排障命令（MER3220）
plaintext
display ike sa # 看IKE SA是否建立
display ipsec sa # 看IPsec SA
display l2tp session # 看L2TP会话
debugging ike all # 抓IKE日志（NO-PROPOSAL/AUTH_FAIL/NAT-T）
debugging ipsec all
看到 NO-PROPOSAL-CHOSEN → 算法 / 模式 / PFS 不匹配
看到 INVALID-ID-INFORMATION → 主模式 + NAT → 改野蛮
看到 AUTHENTICATION-FAILED → PSK 或用户密码错
六、最简成功方案（直接用）
IKE：野蛮模式、3DES、SHA1、DH2、PSK、NAT-T、DPD 关
IPsec：ESP、3DES、SHA1、隧道、PFS 关
L2TP：CHAP、地址池、域策略全放