华为防火墙,配置了L2TP Over IPSec,但是用UniVPN远程拨入的时候,显示警告:“隧道保活超时或协商超时”
虽然防火墙上显示连接已经建立,dis ike error,也没有报错信息,但是实际上,远端PC与内网是无法通讯的,一旦点击上图中的“确定”按钮,防火墙中已建立的连接,立刻就会消失了。
根据华为官方的提示,可能的原因有:1、安全策略未放行自身到L2TP报文;2、防火墙上未启用L2TP功能;3、UniVPN上配置的“隧道名称”与防火墙上的“对端隧道名称”不符;4、两端“隧道密码认证”设置不同;5、两端IPSEC安全协议配置不同;6、路由不可达。
逐一排查后,以上原因无一有用,这可如何是好?
实在没办法了,从头捋一遍吧,认真仔细地看防火墙上的配置。
突然发现,远端拨入的PC,身处192.168.100.1/24网段,而防火墙上有条静态路由192.168.0.0/16,出接口是g/0/0/0口,下一跳是内网核心交换机!
不论上述“超时”错误是否与此有关,这也是需要排除的问题之一。
于是,仔细看了内网,发现只有192.168.1.0/24、192.168.20.0/24、192.168.50.0/24这三个网段,于是删除了192.168.0.0/16这条静态路由,改为三条/24的路由。
其他什么都没改,远端PC拨入成功了。
正窃喜呢,发现远端PC无法ping通内网,反之亦然。
看来,高兴得太早,始终没好事。
还能怎么办?接着分析吧,无非是路由问题。
在远端PC上,tracert -d 10.10.30.1,不出所料,一跳都没跟踪到。
在内网tracert 172.16.11.109,全从拨号的宽带出去了,根本不可能成功达到,而L2TP Over IPSec是绑定在固定IP的专线上的,显然不匹配。
跑错地方,得拽回来,纠正。
于是,配置一条策略路由,置顶。
简单来说,就是去VPN网段,不做策略路由。
在核心交换机上,ping远端PC获取到的IP地址,通了。
在远端PC上,ping核心交换机,也通了。
至此,华为防火墙L2TP Over IPSec故障排除。