解决L2TP vpn绑定IP分配不成功问题

发布时间:  2013-03-01 浏览次数:  489 下载次数:  0
问题描述
     某局点客户利用USG2205BSR防火墙,创建L2TP VPN拨入和内网通信,配置L2TP 绑定IP地址分配,之后利用windows自带的vpn拨号工具和VPN Client户端拨号,但获取的ip和预定义分配绑定的IP不一致。

local-user qqq password cipher @MW()UY9&**,YWX*NZ55OA!!
local-user qqq  service-type ppp
local-user qqq  l2tp-ip 192.168.100.122

客户用qqq 拨号获取的是192.168.100.118
但用qqq连接成功后,获取的是192.168.100.118,而非预设绑定192.168.100.122



告警信息
从命令行中 查询不到帐号和客户端获取ip的对映关系

[shengzhongxin_USG5120BSR]dis access-user  username  qqq

[USG5310]display ip pool global
12:14:45  2013/03/1
  ----------------------------------------------------------------------------
  Pool-number  Pool-start-addr   Pool-end-addr   Pool-length  Used-addr-number
  ----------------------------------------------------------------------------
      1        192.168.100.100     192.168.100.130       1             2        
  ----------------------------------------------------------------------------


处理过程
经再次检查配置,发现在

VT口下没有配置认证,所以用户不会去aaa下做用户名密码的认证,只取IP地址。结果就会出现使用了地址池中的地址,同时access-user中也不存在这个用户。

interface Virtual-Template1
ip address 192.168.0.11 255.255.255.0
remote address pool 1


在VT口下配置认证方式chap或者pap,否则任意密码都能登陆。

ppp authentication-mode chap
或者
ppp authentication-mode pap

配置后,测试 VPN client拨号,可以获取l2tp绑定的ip地址了,同时也能从access-user看到这个用户。



根因

建议与总结

END