知

MSR3620在使用INODE客户端拨入L2TP OVER IPSEC时需要取消上传客户端版本号

2019-03-29 发表

0关注
0收藏 1652浏览

刘嘉炜

刘嘉炜八段

粉丝：10人关注：0人

组网及说明

无

问题描述

客户使用INODE软件登录L2TP OVER IPSEC时提示PPP协商超时，排查配置发现IPSEC已经可以正常建立。但是客户端单独使用WINDOWS客户端L2TP VPN却可以拨号成功。

过程分析

配置：

ipsec transform-set 1

esp encryption-algorithm 3des-cbc

esp authentication-algorithm md5

ipsec policy-template newvpn 1

transform-set 1

local-address 10.*.*.138

ike-profile newvpn

ike profile newvpn

keychain 11

local-identity fqdn ct-center

exchange-mode aggressive \\IKE协商模式没有设置

match remote identity fqdn newvpn

match remote identity fqdn newvpn1

match remote identity fqdn newvpn2

match remote identity fqdn newvpn3

match remote identity fqdn newvpn4

match remote identity fqdn newvpn5

match remote identity fqdn newvpn6

match remote identity address 0.0.0.0 0.0.0.0 \\补充此命令

match local address 10.*.*.138

proposal 1

ike keychain 11

pre-shared-key address 0.0.0.0 0.0.0.0 key cipher $c$3$AN6dG1frG97zT0oMdyQ==

ike proposal 1

ike identity fqdn ct-center

interface Virtual-Template1

ppp authentication-mode chap domain system

remote address pool 1

ip address 10.*.*.49 255.255.255.248

local-user hhgnsyh6 class network

password cipher $c$3$iffa5QQ3KUkwhA==

service-type ppp

authorization-attribute user-role network-operator

l2tp-group 1 mode lns

allow l2tp virtual-template 1

undo tunnel authentication

tunnel name LNS

l2tp enable

查看IPSEC VPN建立情况，发现IPSEC VPN已经正常建立连接，并生成安全联盟：

IPsec policy: policy1

Sequence number: 102

Mode: Template

-----------------------------

Tunnel id: 2

Encapsulation mode: tunnel

Perfect Forward Secrecy:

Inside VPN:

Extended Sequence Numbers enable: N

Traffic Flow Confidentiality enable: N

Path MTU: 1444

Tunnel:

local address: 10.200.251.138

remote address: 172.27.79.9

Flow:

sour addr: 10.200.251.138/255.255.255.255 port: 1701 protocol: udp

dest addr: 172.27.79.9/255.255.255.255 port: 0 protocol: udp

<ZYNX_MSR3640_4G_VPN>dis ike sa

Connection-ID Remote Flag DOI

------------------------------------------------------------------

184 172.27.79.9 RD IPsec

既然PPP报错于是debug PPP从中寻找问题原因，发现客户端发送challenge No. 1报文后PPP提示认证失败。

%Mar 23 15:49:21:305 2019 ZYNX_MSR3640_4G_VPN IFNET/3/PHY_UPDOWN: Physical state on the interface Virtual-Access0 changed to up.

%Mar 23 15:49:21:321 2019 ZYNX_MSR3640_4G_VPN IFNET/5/LINK_UPDOWN: Line protocol state on the interface Virtual-Access0 changed to up.

*Mar 23 15:49:24:403 2019 ZYNX_MSR3640_4G_VPN PPP/7/CHAP_EVENT_0:

PPP Event:

Virtual-Access0 CHAP Challenge TimeOut Event

State SendChallenge , Retransmit = 1

*Mar 23 15:49:24:404 2019 ZYNX_MSR3640_4G_VPN PPP/7/AUTH_ERROR_0:

PPP Error:

Virtual-Access0 CHAP: Send challenge No. 1 !

随即排查INODE软件设置情况，发现客户有设置上传客户端版本号。取消上传客户端版本号后L2TP VPN协商通过。

解决方法

INODE软件默认情况下上传客户端版本号是开启的，主要是配合IMC EAD组件限制INODE客户端版本功能。因为没有EAD的配合所以需要L2TP OVER IPSEC或者L2TP配置中取消INODE上传客户端版本号选项。

该案例对您是否有帮助：

您的评价：1

若您有关于案例的建议，请反馈：

作者在2019-06-12对此案例进行了修订

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

MSR3620在使用INODE客户端拨入L2TP OVER IPSEC时需要取消上传客户端版本号

组网及说明

问题描述

过程分析

解决方法

编辑评论

提出建议