• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

L2TP OVER IPSEC VPN 卓访问传输数据量大的时候自动掉线....

2021-08-08提问
  • 0关注
  • 1收藏,1790浏览
粉丝:0人 关注:3人

问题描述:

设置列表

  • 有序列表
  • 无序列表

设备:H3C MSR830 6EI WINET

配置L2TP OVER IPSEC VPN

当前,iOS和windows访问正常,

 安卓访问也可以,但是当传输数据大于100M以上的时候,经常会出现掉线的情况。 

表现:安卓端还显示连接,数据传输已经没有速度了

看路由器后台,其实用户已经掉线了。

请教各位大神,可能是什么原因?

安卓为12 beta版本。




配置:

#

version 7.1.064, Release 0809P34

#

sysname H3C

#

clock timezone Beijing add 08:00:00

clock protocol ntp

#

telnet server enable

telnet server port 2323

#

security-zone intra-zone default permit

#

ip pool l2tp1 192.168.10.11 192.168.10.200

#

dialer-group 1 rule ip permit

dialer-group 89 rule ip permit

#

ip load-sharing mode per-flow src-ip global

#

dhcp enable

dhcp server always-broadcast

#

dns proxy enable

dns server 223.5.5.5

#

password-recovery enable

#

vlan 1

#

dhcp server ip-pool lan1

gateway-list 192.168.1.1

network 192.168.1.0 mask 255.255.255.0

address range 192.168.1.0 192.168.1.255

dns-list 223.5.5.5 192.168.1.1

forbidden-ip-range 192.168.1.1 192.168.1.1

#

ddns policy WAN0(GE0)

url ***.***/dyndns/update?system=dyndns&hostname=<h>&myip=<a>

username cXXX

password cipher $XXXX

#

apn-profile profile69

apn dynamic

#

interface Dialer0

ppp chap password cipher $XXX

ppp chap user 0XXX

ppp ipcp dns admit-any

ppp ipcp dns request

ppp pap local-user 0XXX password cipher $XXX

dialer bundle enable

dialer-group 1

dialer timer idle 0

dialer timer autodial 5

ip address ppp-negotiate

nat outbound

ddns apply policy WAN0(GE0) fqdn ***.***

ipsec apply policy 1

#

interface Dialer1

#

interface Dialer2

#

interface Dialer3

#

interface Dialer4

#

interface Dialer5

#

interface Dialer6

#

interface Dialer7

#

interface Dialer8

#

interface Dialer1023

#

interface Virtual-Template1

ppp authentication-mode chap domain system

ppp ipcp dns 114.114.114.114 223.5.5.5

remote address pool l2tp1

ip address 192.168.10.1 255.255.255.0

#

interface NULL0

#

interface Vlan-interface1

description LAN-interface

ip address 192.168.1.1 255.255.255.0

tcp mss 1280

ip subscriber l2-connected enable

ip subscriber initiator dhcp enable

ip subscriber initiator unclassified-ip enable

ip subscriber dhcp domain ipoeenabledomain

ip subscriber unclassified-ip domain ipoeenabledomain

#

interface GigabitEthernet0/0

port link-mode route

description Single_Line1

pppoe-client dial-bundle-number 0

#

interface GigabitEthernet0/1

port link-mode route

#

interface GigabitEthernet0/2

port link-mode bridge

#

interface GigabitEthernet0/3

port link-mode bridge

#

interface GigabitEthernet0/4

port link-mode bridge

#

interface GigabitEthernet0/5

port link-mode bridge

#

security-zone name Local

#

security-zone name Trust

#

security-zone name DMZ

#

security-zone name Untrust

#

security-zone name Management

#

scheduler logfile size 16

#

line class console

user-role network-admin

#

line class tty

user-role network-operator

#

line class vty

user-role network-operator

#

line con 0

user-role network-admin

#

line vty 0 63

authentication-mode scheme

user-role network-operator

#

ip route-static 0.0.0.0 0 Dialer0

#

ntp-service enable

ntp-service unicast-server ***.***

ntp-service unicast-server ***.***

ntp-service unicast-server ***.***

ntp-service unicast-server ***.***

ntp-service unicast-server ***.***

ntp-service unicast-server ***.***

ntp-service unicast-server ***.***

#

password-control enable

undo password-control aging enable

undo password-control history enable

password-control length 6

password-control login-attempt 3 exceed lock-time 10

password-control update-interval 0

password-control login idle-time 0

#

domain ipoeenabledomain

authentication ipoe none

authorization ipoe none

accounting ipoe none

#

domain system

#

domain default enable system

#

role name level-0

description Predefined level-0 role

#

role name level-1

description Predefined level-1 role

#

role name level-2

description Predefined level-2 role

#

role name level-3

description Predefined level-3 role

#

role name level-4

description Predefined level-4 role

#

role name level-5

description Predefined level-5 role

#

role name level-6

description Predefined level-6 role

#

role name level-7

description Predefined level-7 role

#

role name level-8

description Predefined level-8 role

#

role name level-9

description Predefined level-9 role

#

role name level-10

description Predefined level-10 role

#

role name level-11

description Predefined level-11 role

#

role name level-12

description Predefined level-12 role

#

role name level-13

description Predefined level-13 role

#

role name level-14

description Predefined level-14 role

#

user-group system

#

local-user admin class manage

service-type telnet http https

authorization-attribute user-role network-admin

#

local-user cXXX class network

password cipher $XXX

service-type ppp

authorization-attribute user-role network-operator

#

 

 

#

session statistics enable

#

ipsec transform-set 1

encapsulation-mode transport

esp encryption-algorithm aes-cbc-128

esp authentication-algorithm sha1

#

ipsec transform-set 2

encapsulation-mode transport

esp encryption-algorithm aes-cbc-256

esp authentication-algorithm sha1

#

ipsec transform-set 3

encapsulation-mode transport

esp encryption-algorithm 3des-cbc

esp authentication-algorithm sha1

#

ipsec transform-set 4

encapsulation-mode transport

esp encryption-algorithm des-cbc

esp authentication-algorithm sha1

#

ipsec transform-set 5

encapsulation-mode transport

esp encryption-algorithm aes-cbc-192

esp authentication-algorithm sha1

#

ipsec transform-set 6

encapsulation-mode transport

#

ipsec policy-template 1 1

transform-set 1 2 3 4 5 6

ike-profile 1

#

ipsec policy 1 1 isakmp template 1

#

l2tp-group 1 mode lns

allow l2tp virtual-template 1

undo tunnel authentication

tunnel name LNS

tunnel password cipher $cXXX

#

l2tp enable

#

ike profile 1

keychain 1

exchange-mode aggressive

local-identity address 0.0.0.0

match remote identity address 0.0.0.0 0.0.0.0

proposal 1 2 3 4 5 6

#

ike proposal 1

encryption-algorithm aes-cbc-128

dh group2

authentication-algorithm md5

#

ike proposal 2

encryption-algorithm 3des-cbc

dh group2

authentication-algorithm md5

#

ike proposal 3

encryption-algorithm 3des-cbc

dh group2

#

ike proposal 4

encryption-algorithm aes-cbc-256

dh group2

#

ike proposal 5

dh group2

#

ike proposal 6

encryption-algorithm aes-cbc-192

dh group2

#

ike keychain 1

pre-shared-key address 0.0.0.0 0.0.0.0 key cipher $XXXX

#

ip https port 20001

ip http enable

ip https enable

web new-style

#

url-filter category custom severity 65535

#

wlan global-configuration

nas-id cm-0-XXXXX

#

wlan ap-group default-group

vlan 1

#

dac storage service traffic limit hold-time 1

#

return


最佳答案

已采纳
粉丝:11人 关注:21人

改一下内网接口tcp mss值,改成dis ipsec sa看到的mtu值减去40即可

嗯嗯 多谢! OK 了

carspar 发表时间:2021-08-08 更多>>

刚才尝试了一下,改过之后VPN连不上了....又改回来了

carspar 发表时间:2021-08-08

看配置没什么好优化的

二仙桥大爷 发表时间:2021-08-08

我也觉得奇怪,那可能就是使用的测试版安卓的问题.....多谢!

carspar 发表时间:2021-08-08

可能是的

二仙桥大爷 发表时间:2021-08-08

又出现了新的问题,我只是把tcp mss改回了1280,但是安卓直接连接不上了。在安卓连接的过程中,路由器服务端 L2TP服务端出现了很多隧道信息,但是就是连接不上了...可能是哪儿出了问题呢,多谢!

carspar 发表时间:2021-08-08

清了连接再重连 display l2tp tunnel <RT>reset l2tp tunnel id ? INTEGER<1-65535> Local L2TP tunnel ID

二仙桥大爷 发表时间:2021-08-08

嗯嗯 多谢! OK 了

carspar 发表时间:2021-08-08
1 个回答
粉丝:40人 关注:7人

VPN不稳定,以下是排查要点,请参考:

1、检查基础路由是否正常。

2、调整两端的DPD和生存周期看下是否能优化。

3、其次看下两端网络设备的软件版本是否最新,可考虑升级到最新。


编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明