联通CDMA无线上网方式实现与SecPath1000 VPN连接
【网络拓扑】
这种应用的网络拓扑都比较简单,网络出口放置一台路由器或者Secpath,用户通过联通CDMA无线上网卡连接Internet后对VPN的访问。
【网络概况】
某省电信局采用一台Secpath1000放置在网络出口,用户通过联通CDMA无线上网卡实现对VPN的访问;
该市采用联通公司提供的一台 R2610路由器,用户通过联通CDMA无线上网卡实现对VPN的访问。
某省局用户采用网卡为神州数码 dcwl-390c,secpoint版本2.03,SecPath1000软件版本3.3-1000,Secpath放在用户局域网最外端,采用其他方式接入VPN都没有问题(电话线拨号/ADSL拨号),现场拨号,笔记本可以上网,但是Ping Secpath外网地址不通,用Secpoint拨号提示找不到LNS。
该市用户采用上网卡拨号后上网正常,但是不能访问内网服务器。
【问题处理】
在该省电信局现场收集了Secpath信息,发现配置没有问题,只是采用联通CDMA无线上网卡不能访问。
在某政府网络是因为网络先期进行过改造,起初收集观察,由于切换后的防火墙缺少一条去往联通设备的路由,内网到联通提供的路由器无法Ping通,在防火墙上添加路由后,服务器可以Ping通联通路由器,但是广域网对端的地址无法Ping通,联通人员检查路由配置也没有问题。
【解决方案】
该电信用户问题,最终与联通人员协调,是因为在联通一端有一些访问限制,如果用户需要用CDMA上网卡访问一些地址,要在运营商一侧进行数据的修改,修改之后用户访问断断续续,原因是用户办公大楼内CDMA信号不好造成的。
该市用户问题比较复杂,到拨号端观察,发现用户拨号后可以访问到联通路由器的内网接口,但是不能Ping通内网的网关。查看发现用户获取地址为192.168.100.x网段,联通在中间做了NAT转换,从内网S8016上可以Ping通192.168.100.1,查看ARP表项,发现该地址在内网,进一步排查发现用户内网防火墙上的管理口配置了该段地址,虽然管理口上没有连网线,但是这台防火墙的管理地址还能起作用(安智防火墙)。最后确认问题应该在这里,修改该地址后,访问正常。
【总结】
此类问题比较简单,一般与设备配置/版本等没有关系,用户使用的CDMA上网卡与某些笔记本电脑存在兼容性问题,一般会认为Secpoint客户端软件会在使用CDMA上网卡时也会有问题,但实际上只要采用了2.03以上版本就没有问题;
联通人员对用户支持力度不够,用户一般也会认为是设备配置本身有问题;
无线上网卡信号在一些建筑物内信号较差,会对网络访问造成影响,这样的细节大家也应当注意;
如果是与联通技术人员配合,应当详细了解网络结构及运营商设备配置,否则就会出现与该市类似的问题,给定位带来很大的困难。
Secpath1000配置实例
<secpath1000>dis cur
#
sysname secpath1000
#
l2tp enable
#
local-user test1 password simple test1
local-user test2 password simple test2
local-user test3 password simple test3
local-user test4 password simple test4
#
ip pool 1 10.1.1.2 10.1.1.150
#
aaa enable
aaa accounting-scheme optional
radius server 219.144.196.196 authentication-port 1645 accounting-port 1646
radius shared-key 12345
radius timer response-timeout 120
aaa accounting-scheme ppp default start-stop radius
aaa authentication-scheme ppp default radius
#
ike local-name zongbu-shanxi
#
ike peer huawei-3com
exchange-mode aggressive
pre-shared-key aaa
id-type name
remote-name secpoint
nat traversal
max-connections 100
#
ipsec proposal huawei-3com
#
ipsec policy-template secpoint 1
ike-peer huawei-3com
proposal huawei-3com
#
ipsec policy secpath 1 isakmp template secpoint
#
interface Virtual-Template1
ppp authentication-mode pap
ppp accounting scheme default
ip address 10.1.1.1 255.255.255.0
remote address pool 1
#
interface Aux0
async mode flow
link-protocol ppp
#
interface GigabitEthernet0/0
description TO-Firewall
ip address 公网地址
undo ip fast-forwarding
#
interface GigabitEthernet0/1
description TO-Internet
ip address 公网地址
undo ip fast-forwarding
ipsec policy secpath
#
interface NULL0
#
l2tp-group 1
undo tunnel authentication
allow l2tp virtual-template 1
#
ip route-static 0.0.0.0 0.0.0.0 XXX preference 60
........静态路由配置
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
user privilege level 3
set authentication password simple
#
return
<secpath1000>