F1000 v7防火墙配置了l2tp over ipsec后ipsec不生效

F1000 V7防火墙配置L2TP over IPSec后IPSec不生效，且Windows 10直接通过L2TP连接成功（无需预共享密钥），说明IPSec未正确协商。可能原因如下：

1. **IPSec未强制启用**：检查L2TP拨号接口是否绑定正确的IPSec安全策略，确认已配置`ipsec apply policy`，确保L2TP流量受IPSec保护。

2. **IKE协商失败**：Inode提示“IKE协商失败”，说明IPSec第一阶段未完成。需检查两端IKE策略（加密算法、认证方式、DH组、生命周期、预共享密钥）是否一致。

3. **策略未匹配或存在冲突**：若IKE策略存在重叠或ACL范围不匹配，会导致协商失败。建议开启`debugging ike`和`debugging ipsec`，查看协商过程是否匹配正确的IKE profile。

4. **Windows绕过IPSec**：Windows原生L2TP客户端若未配置IPSec预共享密钥，但能直连，说明仅建立了纯L2TP隧道，未触发IPSec加密。表明设备侧未强制要求IPSec，或IPSec策略未生效。

5. **检查IPSec隧道状态**：执行`display ipsec sa`，若无SA生成，则IPSec未协商成功；执行`display ike sa`，确认SA状态是否为“connected”。

**结论**：IPSec未生效，L2TP流量未被加密。请核查IPSec策略绑定、IKE配置一致性，并通过抓包确认L2TP流量是否被ESP加密。若未加密，则IPSec未成功协商。

一、检查 IPsec IKE 策略与安全提议的两端一致性

1. IKE 版本：F1000 v7 默认支持 IKEv1，需确认 Inode 客户端也配置为 IKEv1（部分场景下 IKEv2 不兼容）。
2. 预共享密钥：防火墙和 Inode 客户端的预共享密钥必须完全一致，注意大小写、特殊字符无差异。
3. 加密与认证算法：
   • 防火墙端：进入IPsec IKE策略配置，检查加密算法（如 3DES、AES-128）、认证算法（如 SHA1、MD5）。
   • Inode 端：在 IPsec 配置界面中，确保加密、认证算法与防火墙完全匹配（例如防火墙用 “3DES+SHA1”，客户端也需相同配置）。

二、确认 L2TP 强制 IPsec 的配置是否生效

1. 进入防火墙的L2TP服务器配置视图，确认是否执行了ipsec policy <ipsec策略名>命令，将 IPsec 策略关联到 L2TP。
2. 若未配置该命令，L2TP 会以 “裸奔” 模式运行（无需 IPsec），需添加此配置以强制 L2TP 流量通过 IPsec 传输。

三、验证 Inode 客户端的 IPsec 配置细节

1. IKE 策略模式：F1000 v7 的 IKE 默认使用主模式（Main Mode），需确认 Inode 客户端也配置为主模式（野蛮模式可能不兼容）。
2. 对端标识与地址：防火墙 IPsec 配置中，若对端地址设置为 “任意”（0.0.0.0），需确保 Inode 客户端的 “服务器地址” 配置为防火墙的公网 IP；若对端地址指定了范围，需确认客户端 IP 在该范围内。
3. IPsec 安全提议匹配：防火墙的IPsec安全提议中，封装模式需为隧道模式，协议需包含ESP（或同时包含 AH，但 ESP 更常用），且加密、认证算法与客户端完全一致。

四、查看防火墙日志定位 IKE 失败原因

• “Authentication failed”：预共享密钥不匹配。
• “Algorithm mismatch”：加密 / 认证算法两端不一致。
• “Mode mismatch”：IKE 模式（主模式 / 野蛮模式）不兼容。
  根据日志提示调整对应配置即可。

五、补充排查：IPsec 流量的安全策略放行

1. 进入安全策略配置，添加规则允许源为客户端网段、目的为防火墙公网 IP的 UDP 500（IKE 协商）和 ESP（IPsec 数据）流量。