L2TP OVER IPSEC由于网段冲突导致拨号不成功

发布时间:  2012-07-17 浏览次数:  136 下载次数:  0
问题描述
客户反馈在家通过VPN CLIENT进行L2TP OVER IPSEC拨号时,进行到第三步即提示错误,无法拨通。
告警信息
处理过程
远端通过公网地址直接拨号,可以拨号成功;让客户修改家里的私网地址为172.16.100.100后,可以拨号成功。
由于有较多客户需要使用L2TP OVER IPSEC进行内网连接,因此建议客户修改内网网段为10.0.0.0或者172.16.0.0等家庭宽带不常使用的网段,避免网段冲突,导致路由选择错误。
 
根因
通过debug检查拨号过程,发现IPSEC隧道能够正常建立,但是在IPSEC隧道建立后很快就断了,没有再继续L2TP的拨号过程。
在拨号过程中,使用display ipsec sa,发现如下信息:
[USG5320]display ipsec sa
11:07:47  2011/11/08
  -----------------------------
  IPsec policy name: "map1"
  sequence number: 10
  mode: template
  vpn: 0
  -----------------------------
    connection id: 326
    rule number: 5
    encapsulation mode: tunnel
    tunnel local : 200.133.33.73    tunnel remote: 200.136.15.97
    flow      source: 200.133.33.73/255.255.255.255 17/1701
    flow destination: 192.168.1.100/255.255.255.255 17/35550
flow destination地址为192.168.1.100,引起了我们的关注,客户在家使用的宽带拨号的电脑私网地址就为192.168.1.100。检查防火墙路由,发现防火墙上存在一条192.168.1.0/24的路由,而这正是客户使用的内网网段,指回到客户的内网交换机上。
检查到这里,找到问题原因了,可以判断是由于客户内网的网段和宽带拨号的内网网段相同了,导致防火墙在进行回包时选择了错误的路径,导致L2TP over IPSEC协商不成功。
建议与总结

END