admin 管理员组

文章数量: 887021

L2TP OVER IPSEC常用于外部的笔记本电脑(或者手机)远程拨入公司内部,访问内网的各种网络资源。

虽然方便,安全性也高,但是因配置略微复杂,所以经常有无法拨入,或者拨入后无法正常访问网络资源的问题。

今天我们就三个案例来讲解一下,L2TP over IPSEC常用的排错技巧。

案例1、华为路由器配置了L2TP OVER IPSEC,但是用Win10自建的L2TP客户端拨入的时候,提示:L2TP连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到一个处理错误。

协商时遇到错误,看上去像是认证协议的问题,于是打开确认一下参数:

没问题啊,与路由器配置一致。

反复看了几遍,配置肯定没问题,换台Win11的笔记本电脑,还是一样无法拨入。

突然想起来,有一次华为原厂高级工程师说过,Win10或11自带的L2TP拨号端,可能有兼容性问题,于是通知客户改用华为的客户端软件SecoClient(也可以用华为官方认可的UniVPN).

客户很快反馈,华为的客户端软件SecoClient就没没问题了,秒连传输也快。    

案例2、华为防火墙上配置L2TP OVER IPSEC,之前一直正常,某天什么都没改的前提下,就突然发现无法连接了。

经询问;统一使用的客户端软件是UniVPN,报错信息为:与对方建立连接超时,配置错误或网络故障。

分析:连接超时,应该是客户端软件配置的认证模式和防火墙上配置的L2TP认证模式不匹配,如果一边是PAP,另外一边却是CHAP,模式不匹配,当然就连接超时了。

但是看了UniVPN的截图,和华为防火墙里面的配置,都是PAP,很明显,不是这个问题,而且客户说什么也没改,突然所有用户都不能连接了,那问题一定是出在防火墙上。

登录防火墙继续排查,发现这客户用的是域账号直接作为远程拨入用户,但在防火墙的用户里面,根本搜索不到域账号,看来这就是问题所在了。

再仔细看,发现域用户组倒是有的,但里面的域用户是一个也没有,全部丢失了,用户没了,当然无法拨入,尝试手动同步,报错:管理员绑定失败。

“修改AD服务器”,随便选一个域账户来检测,结果失败了,同样提示:管理员绑定失败。

根据提示,在此处重新填写域管理员账号和密码,确认与域控一致,再次检测,提示通过。

原因分析:防火墙上绑定的域管理员密码过期了,域服务器上修改过后,防火墙上没有及时更新所致。

然后,“修改服务器导入策略”,把全部导入改为只导入OU,“确定”后,再次尝试手动导入域用户,提示导入成功。

通知客户端用UniVPN软件再次尝试远程拨入,成功,内网资源可以访问。

案例3、同样是华为防火墙配置的L2TP over IPSEC,同样是用UniVPN远程拨入失败,但是错误信息不同,这次是显示警告:“隧道保活超时或协商超时。”

华为官方的资料提示,可能的原因有:1、安全策略未放行自身到L2TP报文;2、防火墙上未启用L2TP功能;3、UniVPN上配置的“隧道名称”与防火墙上的“对端隧道名称”不符;4、两端“隧道密码认证”设置不同;5、两端IPSEC安全协议配置不同;6、路由不可达。    

根据官方资料,逐一排查,很遗憾,与以上原因无关。

当客户端软件UniVPN警告报错的时候,防火墙上是显示连接已经建立,此时执行命令:dis ike error,也没有报错信息,但是实际上,远端PC与内网是无法通讯的。

而且,一旦点击下面图片中的“确定”按钮,防火墙中已建立的连接,立刻就会消失,那当然就更不通了。

一时陷入僵局,百爪挠心,又无从下手,认真仔细地看防火墙上的配置吧。

本文标签: 拨入 L2TP IPSEC