USG5120 VPN客户端不设置内网路由实现L2TP拨号成功后访问内网的解决方法

发布时间:  2014-09-11 浏览次数:  466 下载次数:  0
问题描述
客户称L2TP拨号已经成功,但是还是不能访问内网服务器。
告警信息
处理过程

通过询问,客户是没有在客户端添加路由,但是客户也不想对客户端做其他设置,因为最终客户不知道怎么设置。希望在LNS上做相关操作,实现一样的功能。
最后,因为他vt口已经在trust域,服务器ip也是和设备内网一个网段。就添加了一个nat转换,将L2TP拨号分配下去的网段,转换为内网的网关。配置如下:


sysname USG5100
#
l2tp enable
#
ike local-name lns
#
nat address-group 1 1.1.1.1 1.1.1.1
nat address-group 2 192.168.0.1 192.168.0.1
#
interface Virtual-Template1
ppp authentication-mode chap
ip address 192.168.3.1 255.255.255.0
remote address pool 1
#
interface GigabitEthernet0/0/0
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.128
ipsec policy policy1
#

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface Virtual-Template1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1

l2tp-group 1
allow l2tp virtual-template 1
tunnel password simple Admin@123
tunnel name lns
#
aaa
local-user test1 password simple Admin@123
local-user test1 service-type ppp
local-user test password cipher +2;R2$>\SHOQ=^Q`MAF4<1!!
local-user test service-type ppp
local-user test level 3
local-user admin password cipher :D84\K7*%0N,YWX*NZ55OA!!
local-user admin service-type web telnet
local-user admin level 3
ip pool 1 192.168.3.2 192.168.3.254

ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

nat-policy interzone trust untrust outbound
policy 0
action source-nat
policy source 192.168.0.0 0.0.0.255
policy source 192.168.3.0 0.0.0.255
address-group 1
#
nat-policy zone trust
policy 0
action source-nat
policy source 192.168.3.0 0.0.0.255
address-group 2

根因
客户端设置里面没有添加内网路由
建议与总结

如果不希望在客户端添加路由设置。可以这样实现对总部内网的访问。

END