L2TP客户端拨号成功因路由及客户端设置导致不能访问LNS端服务器解决案例

发布时间:  2014-09-11 浏览次数:  319 下载次数:  0
问题描述

组网示意图:

Server---USG5120---internet--client

客户端通过NAT上网,L2TP VPN拨号成功后,拨号获得的IP地址是172.16.168.2/24,客户端本地连接的IP地址是192.168.1.25,此时,客户端不能ping通服务器(192.168.0.50)以及内网其他网段,服务器可以访问公网。

告警信息
处理过程

1、在USG5120上带公网接口地址,能ping通服务器,说明USG5120端路由没问题;

2、再主机通过命令路由表(netstat -r),发现到LNS服务器端的路由走了本地缺省路由,检查本机VPN拨号客户端设置,发现勾选了“连接成功后运行访问Internet”,但是路由设置里面没有设置到达LNS端内网的路由,于是添加到LNS内网的路由;

3、经过第二步,能访问LNS端192.168.10.0/24的PC,但是还是不能访问服务器192.168.0.50;

4、查看USG5120路由表,发现有一条到目的网段192.168.1.0/24的路由,指向了USG5120一内网互联设备,因此路由不通,告知客户问题所在,并告知解决办法是更改PC本地IP地址或者更改USG5120端的路由,使USG5120有到客户端的路由,客户更改后,可以访问服务器。

根因

1、VT口所在安全区域与服务器所在区域之间包过滤问题;

2、服务器没有到客户端的路由,或者客户端的路由不能到达LNS端内网;

3、路由冲突

建议与总结
在VPN拨号成功后,如果访问不了LNS端的内网,多数情况是路由问题。

END