SRG1200做网关,内网拨号到外网PPTP VPN服务器不成功

发布时间:  2014-12-22 浏览次数:  738 下载次数:  0
问题描述
SRG1200做网关,内网客户端拨号到外网的PPTP VPN服务器时提示超时。
部分配置:
#
interface Ethernet0/0/0
ip address xx.xx.60.99 255.255.255.248
service-manage enable
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage telnet permit
nat enable
detect ftp
#
firewall interzone trust untrust
detect ftp
#
告警信息
处理过程
1.  内网用户能够ping通外网服务器,排除连通性问题。

2.  用户拨号时,能通过验证用户名密码之前的阶段,排查了用户名密码,没有错误;跟换了电脑,问题依旧,排除这两个可能性。

3.  因为用户拨号时,能通过验证用户名密码之前的阶段,怀疑是应用层上协商的问题,查看设备配置,发现没有PPTP的相关配置,于是首先在域间访问中配置上:
firewall interzone trust untrust
detect pptp

4.  配置上后观察还是不生效,再次查看配置,发现nat是直接在接口上配置nat enable的方式实现,于是在接口上应用一下配置:
interface Ethernet0/0/0
detect pptp

之后问题解决。

根因
根因分析:
        1.  由于设备配置错误,没有开启PPTP ASPF导致应用层上无法正常协商建立。
        2.  NAT配置在区域间时,需要在区域间启用detect pptp;NAT配置在接口下时,需要在接口启用detect pptp。
建议与总结
配置ASPF时,设备配置了NAT之后,需要视NAT的配置方法在区域间或者接口下开启detect pptp。

END