一个l2tp over ipsec访问内网失败问题

发布时间:  2013-06-09 浏览次数:  174 下载次数:  0
问题描述





pc公网地址为2.2.2.2,通过l2tp over ipsec来访问内网,l2tp 地址池地址为192.168.30.0网段。20.1.1.101为内网server地址,pc访问server不成功。
告警信息
无。
处理过程
检查隧道建立情况:
<USG5100> display ike sa
current ike sa number: 2
  ---------------------------------------------------------------------
  conn-id     peer                  flag        phase    vpn
  ---------------------------------------------------------------------
  101         2.2.2.2             RD          v1:2     public
  100         2.2.2.2             RD          v1:1     public

  flag meaning
  RD--READY    ST--STAYALIVE  RL--REPLACED      FD--FADING
  TO--TIMEOUT  TD--DELETING   NEG--NEGOTIATING  D--DPD

<USG5100> display ipsec sa brief

current ipsec sa number: 2
current ipsec tunnel number: 1
--------------------------------------------------------------
Src Address     Dst Address     SPI         Protocol  Algorithm
-------------------------------------------------------------------
2.2.2.2   1.1.1.1        142427840   ESP      E:DES;A:HMAC-MD5-96;
1.1.1.1    2.2.2.2       52885424    ESP     E:DES;A:HMAC-MD5-96;

可以看出隧道建立成功。

在usg上用pc获取到的地址起环回地址ping server

<USG2200> ping -a 192.168.30.2  20.20.1.101
PING 20.20.1.101: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

--- 20.20.1.101 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss

不通。

确认是因为server 没有到l2tp 地址池地址路由。

排查下面网络路由后问题解决。
根因
1 隧道问题。
2 路由问题。
建议与总结
无。

END