组网:
某局点采用F1070做L2tp over ipsec,设备部署在内网,出口为其他路由器,外网已把L2tp 和IPsec 端口都做了映射,配置完成之后,发现终端使用inode 无法拨号成功,提示建立隧道或会话失败,具体看下图:
远程到设备上调试发现,dis ike sa 和dis ipsec sa 都已建立成功,但是dis l2tp tunnel 看隧道状态是Wait-connect,怀疑是l2tp 出了问题,但是在终端上如果取消ipsec ,单独拨L2tp是发现可以拨号成功,并且获取地址,感觉l2tp 的配置也没有问题。
关键配置:
interface Virtual-Template2
ppp authentication-mode pap
ppp ipcp dns
remote address pool 2
ip address 192.
ipsec transform-set vpn_IPv4_20
esp encryption-algorithm des-cbc
esp authentication-algorithm md5
#
ipsec policy-template inode 10
transform-set vpn_IPv4_20 1 2 3 5 6
local-address x
ike-profile x
ipsec policy vpn 5 isakmp template inode
l2tp-group 3 mode lns
allow l2tp virtual-template 2 remote x
undo tunnel authentication
tunnel name vpn2
#
l2tp enable
ike profile vpn_IPv4_20
keychain vpn_IPv4_20
exchange-mode aggressive
local-identity fqdn x
match remote identity fqdn xx
proposal 1 2 3 4 5 10
#
ike proposal 1
encryption-algorithm aes-cbc-128
dh group2
authentication-algorithm md5
#
ike proposal 2
encryption-algorithm 3des-cbc
dh group2
authentication-algorithm md5
#
ike proposal 3
encryption-algorithm 3des-cbc
dh group2
#
ike proposal 4
encryption-algorithm aes-cbc-256
dh group2
#
ike proposal 5
dh group2
#
ike proposal 10
#
ike keychain vpn_IPv4_20
pre-shared-key address 0.0.0.0 0.0.0.0 key cipher $c$3$Oa263eXaf5cEm8O3bFrVKk/S1Xl7aJ2LQw==
#
从测试结果来说,l2tp 和ipsec 的配置应该都没问题,怀疑可能是inode设置问题,但是inode 上ipsec 的设置应该没问题,dis ike sa 和ipsec sa 都有,怀疑是inode 上的l2tp 设置问题,分析当前组网,由于lns 在内网,按照l2tp over ipsec 的原理,内层是l2tp 报文,外层是ipsec 报文,所以inode 上设置的话,ipsec 地址为公网地址,lns的地址为内网地址,修改之后,重新拨号,问题解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作