问题描述:
路由器msr36-40如何配置l2tp 和ipsec结合,使远程出差人员使用inode进行vpn拨号连接?
我在HCL的模拟器环境中安装网络上的文档进行了配置,在模拟器环境使用iNode可以拨入成功,可在真机上(msr36-40)配置与模拟环境的配置相同,同样使用iNode,就是无法拨入,提示ike协商失败,或者隧道或会话建立失败。配置如下:
一、 local-user aa class network
password simole 1234
service-type ppp
authorization-attribute user-role network-operator
二、 domain system
authentication ppp local
三、 ip pool vpn 192.168.198.2 192.168.198.10
四、 L2tp enable
interface virtual-template 1
ip address 192.168.198.1 255.255.255.0
ppp authentication-mode chap domain system
remote address pool vpn
五、 l2tp-group 1 mode lns
tunnel name lns
undo tunnel authentication
allow l2tp virtual-template 1 remote lac
六、 ike keychain L2tp
pre-shared-key address 0.0.0.0 0.0.0.0 key simple abcd
七、 ike proposal 1
authentication-method pre-share
encryption-algorithm 3des-cbc
authentication-algorithm md5
dh group1
八、 ike profile l2tp
keychain l2tp
local-identity address x.x.x.x (LNS公网地址)
match remote identity address 0.0.0.0 0.0.0.0
proposal 1
九、 ipsec transform-set L2TP
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5
encapsulation-mode tunnel
十、 ipsec policy-template l2tp 1
transform-set l2tp
ike-profile l2tp
十一、 ipsec policy l2tp 1 isakmp template l2tp
十二、 int gi x/x 进入到出口网关接口上
ipsec apply policy l2tp
组网及组网描述:
- 2022-11-10提问
- 举报
-
(0)
最佳答案
配置一模一样 模拟器能成功 那就奇怪了
- 2022-11-10回答
- 评论(1)
- 举报
-
(0)
以上就是我的配置和iNode的设置,在真机上配置连接不成功,我又到模拟器上重新配置了又是正常能拨上的,且还有个问题,真实环境中拨号时,我的LNS(路由器)公网ip会ping不通,这个是正常现象吗?
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
请问修改修改哪两条配置?
inode这边改两个地方:1.ipsec设置那里的nat穿越勾上。 2.ike设置那里不要用main,改用野蛮模式。 路由器那里的配置也改掉,用野蛮模式,配置文档里应该也有举例。
inode这边改两个地方:1.ipsec设置那里的nat穿越勾上。 2.ike设置那里不要用main,改用野蛮模式。 路由器那里的配置也改掉,用野蛮模式,配置文档里应该也有举例。
ike profile l2tp 创建IKE描述名称为L2TP keychain l2tp 配置IKE秘钥串 exchange-mode aggressive 增加这一条? local-identity address x.x.x.x (这条改这个local-identity fqdn lns match remote identity address 0.0.0.0 0.0.0.0(这条改这个:match remote identity fqdn lac)?
不是这样。exchange-mode aggressive可以不加,只要inode那里改了就行。 然后inode那里的ike里设置好本端和对端网关名,根据那个来改路由器的配置。
v7 web随便配,比命令行好用
ip http enable 这条命令都还不支持