USG5300远端PC使用vpn客户端软件可以成功拨号,但是使用windows自带拨号软件不能正常拨号

发布时间:  2015-07-22 浏览次数:  352 下载次数:  0
问题描述

USG5300作为LNS,远端PC使用VPN Client客户端软件可以成功拨号,但是使用Windows自带拨号软件不能正常拨号(客户版本信息是USG5300 V100R003)。使用Windows自带软件拨号报错信息如下:

告警信息
使用windows自带软件拨号报错信息如下:

处理过程

<!--[if !                         步骤1  执行命令debug l2tp,发现PC发起的隧道建立申请被拒绝,原因是相应信息不匹配。

*2.1779495658 BJ-USG5320-01 L2TP/7/L2TDBG: L2TP::Check SCCRQ MSG Type 1

*2.1779495658 BJ-USG5320-01 L2TP/7/L2TDBG: L2TP::Parse AVP Protocol version:  100

*2.1779495658 BJ-USG5320-01 L2TP/7/L2TDBG: L2TP::Parse AVP Framing capability :1

*2.1779495658 BJ-USG5320-01 L2TP/7/L2TDBG: L2TP::Parse AVP Bearer capability, value: 0

*2.1779495658 BJ-USG5320-01 L2TP/7/L2TDBG: L2TP::Parse AVP Firmware revision, value: 1537

*2.1779495658 BJ-USG5320-01 L2TP/7/L2TDBG: L2TP::Parse AVP Host name, value: hong-PC

*2.1779495668 BJ-USG5320-01 L2TP/7/L2TDBG: L2TP::requested host isn't in the define l2tp group , refuse the requested

*2.1779495668 BJ-USG5320-01 L2TP/7/L2TDBG: L2TP::Clear Calls On Tunnel ID=1 Reason=1

*2.1779495668 BJ-USG5320-01 L2TP/7/L2TDBG: L2TP::Clear Tunnel remote ID:0, localID:1

步骤2  查看设备配置,发现目前设备对应的l2tp-group组号是10,配置的远端隧道名称是client1,但是终端没有配置隧道名称。

l2tp-group 10

undo tunnel authentication

allow l2tp virtual-template 1 remote client1   //配置了远端名称为client1

tunnel name lns

根因

隧道名称检查没通过导致L2TP会话协商失败。

解决方案

修改l2tp-group组为group1,不配置对端隧道名称,终端认证时不检查隧道名称,认证成功。修改后配置如下:

l2tp-group 1 //组号改成1

allow l2tp virtual-template 1 //不指定对端隧道名称

建议与总结

USG老版本(V300R001之前),仅组号为1L2TP组可以不配置隧道对端的名称;组号为2-1000L2TP组必须配置隧道对端的名称。

USG新版本,组号为1-1000L2TP组均可配置隧道对端的名称;只是当其中某个L2TP组没有配置隧道对端的名称,其它L2TP组就必须配置隧道对端的名称。 

END