防火墙配置L2TP隧道不通

发布时间:  2015-03-17 浏览次数:  415 下载次数:  0
问题描述
当L2TP作为VPN的实现方式、且USG作为LNS时,远端PC无法拨号到USG的时候,请根据故障定位流程排查故障原因,并通过故障原因对应的操作步骤排除故障。 
处理过程

定位思路

如图PC通过L2TP拨号失败故障

处理步骤

  1. 原因一:客户端PC ping不通LNS。
  2. 在PC上执行ping命令,检测与USG是否连通。

     

    • 当屏显信息如下所示时表示PC与USG通信正常,进行原因二中的步骤排查。

      <PC> C:\Documents and Settings\Administrator> ping 10.27.144.125 Pinging 10.27.144.125 with 32 bytes of data:
      
      Reply from 10.27.144.125: bytes=32 time=30ms TTL=128
      Reply from 10.27.144.125: bytes=32 time<1ms TTL=128
      Reply from 10.27.144.125: bytes=32 time<1ms TTL=128
      Reply from 10.27.144.125: bytes=32 time<1ms TTL=128
      
      Ping statistics for 10.27.144.125:
          Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
      Approximate round trip times in milli-seconds:
          Minimum = 0ms, Maximum = 30ms, Average = 7ms
    • 当屏显信息如下所示时表示PC与USG无法连通,执行1.b

      <PC> C:\Documents and Settings\Administrator> ping 10.27.144.125 Pinging 10.27.144.125 with 32 bytes of data:
      
      Request timed out.
      Request timed out.
      Request timed out.
      Request timed out.
      
      Ping statistics for 10.27.144.125:
          Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
       
  3. 排查USG与PC不能ping通故障,具体处理方法请参见处理路由故障
  • 原因二:L2TP隧道验证失败。
    1. 查看LNS是否启用隧道验证,如果启用隧道验证,将会显示隧道验证方式和隧道验证使用的密码。  
      <USG> display current-configuration configuration l2tp #
      l2tp-group 100
       allow l2tp virtual-template 99 remote l2tp tunnel password cipher %$%$E+/G43GaW=q+Y9Kx3")1,%yp%$%$ #
      return 
    2. 检查LNS和拨号客户端是否都同时启用隧道验证。
      • 如果LNS和拨号客户端同时启用隧道验证,执行2.c
      • 如果LNS启用隧道验证,而客户端没有启用,在拨号客户端启用隧道验证,并输入隧道验证密码,隧道验证密码必须与LNS上配置的隧道验证密码相同。 
    3. 检查拨号客户端配置的隧道验证密码是否与LNS上配置的隧道验证密码相同。

       

      • 如果相同,则执行原因三
      • 如果不同,则在拨号客户端重新输入隧道验证密码。

       

  • 原因三:隧道名称配置错误。
    1. 查看客户端配置的隧道名称,以VPN Client软件为例,如图3所示。

       

      图3 L2TP客户端示意图

       

    2. 查看LNS上是否有匹配的隧道名称。  
      <USG> display current-configuration configuration l2tp #
      l2tp-group 100
       allow l2tp virtual-template 99 remote l2tp tunnel password cipher %$%$E+/G43GaW=q+Y9Kx3")1,%yp%$%$
      #
      return
      
      • 如果匹配,执行原因四
      • 如果不匹配,请在L2TP Group视图下使用allow l2tp命令指定匹配的隧道名称。

       

  • 原因四:PPP验证失败,客户端PC和LNS上设置的PPP验证模式不一致。
    1. 查看拨号用户在客户端拨号工具中配置的PPP验证模式。  

      以VPN Client软件为例。如图3所示,PC客户端设置的隧道名称为“l2tp”,认证模式为“PAP”。

    2. 在LNS上查看与隧道“l2tp”绑定的虚拟模板。
      <USG> display current-configuration configuration l2tp # l2tp-group 100 allow l2tp virtual-template 99 remote l2tp tunnel password cipher %$%$E+/G43GaW=q+Y9Kx3")1,%yp%$%$
      #
      return
      

      从显示信息可以看出,隧道“l2tp”使用的L2TP Group是100,隧道“l2tp”绑定的虚拟模板为Virtual Template 99。 

    3. 查看Virtual Template 99使用的PPP认证模式。  
      <USG> system-view [USG] interface Virtual-Template 99 [USG-Virtual-Template99] display this #
      interface Virtual-Template99 ppp authentication-mode chap ip address 99.99.99.24 255.255.255.0
       remote address pool 1
      #
      return
      

      从显示信息可以看出,LNS上设置的PPP验证模式为“CHAP”。 

    4. 判断LNS的Virtual Template配置的PPP验证方式与拨号客户端配置是否一致。
      • 如果一致,执行原因五
      • 如果不一致,重新设置PPP验证方式,保证客户端使用与LNS相同的PPP验证方式。

       

  • 原因五:客户端PC无法从LNS获取为它分配的IP地址。
    1. 查看LNS使用哪个地址池为隧道“l2tp”分配私网IP地址。  
      <USG> system-view [USG] interface Virtual-Template 99 [USG-Virtual-Template99] display this #
      interface Virtual-Template99
       ppp authentication-mode chap
       ip address 99.99.99.24 255.255.255.0 remote address pool 1  #
      return
      

      从显示信息可以看出,LNS使用地址池1为隧道l2tp分配私网IP地址。

    2. 打开客户端拨号工具,查看拨号用户所属的域,如图4所示,属于域abc.com。

       

      图4 客户端拨号连接的属性

       

    3. 查看域abc.com引用的地址池。  
      <USG> display ip pool domain abc.com ---------------------------------------------------------------------------- Pool-number Pool-start-addr  Pool-end-addr   Pool-length  Used-addr-number
        ---------------------------------------------------------------------------- 1 100.0.0.2        100.0.0.99        98              3
        ----------------------------------------------------------------------------
        Total pool number:    1     
    4. 查看域abc.com引用的地址池是否与Virtual Template引用的地址池一致。
      • 如果不一致,在Virtual Template视图下执行remote address pool命令,修改Virtual Template引用的地址池。
      • 如果一致,执行5.e

       

    5. 查看上线人数是否已经超过最大值。
      • Used-addr-number字段的值大于Pool-length字段的值,说明上线人数已经域最大用户接入数,需要等待当前L2TP客户下线后,修改域最大用户接入数。
      • Used-addr-number字段的值小于Pool-length字段的值,说明上线人数没有超过域最大用户接入数。

    至此,如果故障仍未排除,请联系华为技术工程师。

根因
原因一:客户端PC ping不通LNS。

原因二:L2TP隧道验证失败。

原因三:隧道名称配置错误。

原因四:PPP验证失败,客户端PC和LNS上设置的PPP验证模式不一致。

原因五:客户端PC无法从LNS获取为它分配的IP地址。


END