L2TP-over-IPsec问题

发布时间:  2012-10-10 浏览次数:  232 下载次数:  0
问题描述
用户以window自带客户端拨号时,由于其本身可设置选项很少,用户往往不清楚其配置参数情况,配置完成后,在建立client-initial方式的l2tp over ipsec的vpn时vpn无法建立起来,而配置单纯的l2tp可以建立。
告警信息
客户端显示连接失败。
处理过程
注意在Edumon上ipsec的配置,修改为transport

[LNS] ipsec proposal p1
[LNS-ipsec-proposal-p1] encapsulation-mode transport

另外注意以xp为例,Windows操作系统的L2TP功能缺省启动证书方式的IPSec,需要修改注册表。步骤如下:
在“开始 > 运行”中,输入regedit命令,单击“确定”,进入注册表编辑器。
在“注册表编辑器”页面的左侧导航树中,选择“我的电脑 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > IPSec”。
在菜单栏上选择“编辑 > 新建 > DWORD值”。
键入AssumeUDPEncapsulationContextOnSendRule,然后按“ENTER”,修改文件名称。
右键单击AssumeUDPEncapsulationContextOnSendRule,选择“修改”,进入修改界面。
在“数值数据”框中键入2,表示可以与位于NAT设备后面的服务器建立安全关联。
单击“确定”。
选择“我的电脑 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > RasMan > Parameters”。
在菜单栏上选择“编辑 > 新建 > DWORD值”。
键入ProhibitIpSec,然后按“ENTER”,修改文件名称。
右键单击ProhibitIpSec,选择“修改”,进入修改界面。
在“数值数据”框中键入0。
单击“确定”,并退出注册表编辑器。
重新启动该PC,使修改生效。

根因
windows自带拨号客户端是默认的使用传输模式的ipsec连接,所以在LNS侧也需要设置成一样的模式,如果不设置此项,默认Edumon设备会默认使用隧道模式,这样在ipsec协商时候自然就因为不能匹配而失败了。另外,即使已经将Edumon设置为传输模式,知道数通知识的人都知道,ipsec的传输模式是不支持nat穿越的,所以在client与LNS之间不能出现nat,这也是很多设置正确后,很多用户无法连接的原因,也有的用户在连接正常后,后在使用过程中又加入nat设备,造成无法连接。
目前9月发布的v300R001版本将支持windows自带客户端场景下的nat支持,如果有nat需求的用户可以升级到最新版本。
建议与总结
windows自带vpn客户端与华为设备建议vpn连接时候参数匹配需要注意一致,遇到不能客户端不能设置的情况,只能修改注册表修改。

END