Print

SR6608 inode L2TP over IPse拨号终端由win7更换到win10后拨号异常

2021-04-13 发表

组网及说明

问题描述

终端通过iNodeL2TP over IPSec上网,设备SR6608LNS,之前终端是win7系统,能够正常认证通过。后终端升级将终端升级为win10后。iNode vpn无法登陆成功。看ipsecike都有建立,但过会又会中断。在终端抓包发现,win10登陆失败时,终端一直有发esp,没收到回复的包。

过程分析

老版本iNode

使用原始套接口发包  ,由于win7vista系统禁用原始套接口 ,所以只能走NAT穿越的方式(即使用户组网不涉及NAT),用UDP封装后在发送,其余可用使用原始套接口的windows版本,直接发送ESP报文。因此更换win10系统后,发送的报文用的原始esp 50协议号,而该协议号没有被放行,因此终端抓包发现,win10登陆失败时,终端一直有发esp,没收到回复的包。

解决方法

在设备上放通win10对应的原始esp 50的协议号后可正常登陆。

另一种解决方法是使用新版本iNode。新版iNode使用驱动发包,不受原始套接口的限制,EPS报文正常发送