USG3040(V1R2C01SPC100)L2TP VPN客户端连接第五步时报错

发布时间:  2014-11-04 浏览次数:  259 下载次数:  0
问题描述
USG3040(V1R2C01SPC100)做L2TP VPN,电脑做为客户端,电脑上下载的L2Tp  VPN客户端连接USG3040时第五步时报错:链路对端主动断开配置错误

USG上配置给LAC端(PC上的L2TP  拨号客户端)的地址为:172.31.10.1
VT口地址:172.31.10.1   24
ip   pool:172.31.10.1~172.31.10.254
路由:
 ip route-static 0.0.0.0 0.0.0.0 60.13.190.21
ip route-static 172.16.1.0 255.255.255.0 172.16.1.2
ip route-static 192.168.1.0 255.255.255.0 172.16.1.2
ip route-static 192.168.2.0 255.255.255.0 172.16.1.2
ip route-static 192.168.3.0 255.255.255.0 172.16.1.2
告警信息
处理过程
1.  确认是刚配置的L2TP,出现此故障。客户电脑作为L2TP  VPN的LAC端,PC上的L2TP  客户端拨号第五步报错

2.请客户输入display   l2tp  session查看会话信息

3.进一步请客户发送L2TP客户端和服务器端的配置信息分析

客户配置:
#
l2tp enable
#
interface Virtual-Template1
ppp authentication-mode chap
ip address 172.31.10.1 255.255.255.0
remote address pool 1
#
l2tp-group 1
mandatory-chap
mandatory-lcp
allow l2tp virtual-template 1
tunnel password cipher N`C55QK<`=/Q=^Q`MAF4<1!!
tunnel name huawei
#                                        
aaa
local-user admin password simple Admin@123
local-user admin service-type web terminal telnet
local-user admin level 3
local-user huawei password cipher N`C55QK<`=/Q=^Q`MAF4<1!!
local-user huawei service-type ppp
local-user huawei level 3
ip pool 1 172.31.10.1 172.31.10.254
包策略有放开,接口又加入安全区域
根因
#
interface Virtual-Template1
ppp authentication-mode chap
ip address 172.31.10.1 255.255.255.0
remote address pool 1
#                                       
aaa
local-user admin password simple Admin@123
local-user admin service-type web terminal telnet
local-user admin level 3
local-user huawei password cipher N`C55QK<`=/Q=^Q`MAF4<1!!
local-user huawei service-type ppp
local-user huawei level 3
ip pool 1 172.31.10.1 172.31.10.254              //地址池的首地址不能为网关地址

解决方案
让客户把防火墙上的配置:
ip pool 1 172.31.10.1 172.31.10.254       的首地址改为172.31.10.2
问题解决
建议与总结
建议客户配置L2TP  VPN时,在配置ip   pool时,注意不要把网关地址配置在其中去分配给客户了。这样的话,会导致客户端无法正常连接到LNS端。

END