l2tp over ipsec 拨号失败 显示用户名或密码不正确

F1020---ISP---家用路由器---pc

关键配置 

#

 ip pool aa 10.6.0.100 10.6.0.200 

 ip pool aa gateway 10.6.0.1 

#

interface Virtual-Template1

 ppp authentication-mode chap domain system 

 ppp ipcp dns x.x.x.x

 remote address pool aa

 ip address 10.6.0.1  255.255.255.0

 dns server x.x.x.x

#

interface GigabitEthernet1/0/1

 port link-mode route

 description LINK-to-Internet

 ip address x.x.x.x 255.255.255.240

 ipsec apply policy GE1/0/1   // ipsec 为传输模式 不过多赘述配置

#

domain system

  authentication ppp radius-scheme aa

 authorization ppp radius-scheme aa

 accounting ppp radius-scheme aa

#         

l2tp-group 1 mode lns

 allow l2tp virtual-template 1

 undo tunnel authentication

 tunnel name LNS

#

用inode 和 pc自带的拨号软件拨号都失败了

pc端拨号的同时抓网卡报文，发现ipsec正常建立了，但经过几个esp报文后，交互了informational信息，隧道中断。

这几个esp报文其实是被保护的l2tp协商报文，看抓包怀疑是终端l2tp拨号失败，主动把ipsec隧道删除，需要继续排查l2tp协商失败的原因。

报错显示用户名和密码失败，所以在设备上重新创建了一个ppp用户用于测试，还是拨号失败，报错依旧。

发现客户设备中有1个月前的诊断信息

对比配置后，发现客户的1个月前的配置中

ppp用户的认证方式为本地认证

而现在ppp用户的认证域的认证方式是结合了radius的

interface Virtual-Template1

 ppp authentication-mode chap domain system 

#

domain system

 authentication ppp radius-scheme aa

 authorization ppp radius-scheme aa

 accounting ppp radius-scheme aa

#

随后将该domain中的认证方式改成local测试，拨号成功。

配置ppp用户认证方式为local

interface Virtual-Template1

 ppp authentication-mode chap domain system 

#

domain system

 authentication ppp local

 authorization ppp local

 accounting ppp local

处理故障问题的时候有条件可以先对配置。