配置L2TP over IPSec拨号不成功

发布时间:  2015-03-31 浏览次数:  611 下载次数:  0
问题描述
组网情况:




AR上行口GE0/0/0 :10.29.234.50/31
网关地址:209.29.234.49/31

用户通过L2TP从外网接入公司总部内网,为了安全性,启用了IPSec加密保护数据流,所以采用了L2TP over IPSec方式进行拨号访问。

AR重要配置:

#
ipsec proposal 1
#
ike peer xp v1
exchange-mode aggressive
pre-shared-key simple huawei
#
ipsec policy-template xptemp 2
ike-peer xp
proposal 1
#
ipsec policy xp 1 isakmp template xptemp
#
aaa
local-user admin password cipher %$%$0(ywBGER!CR)4xR$K;=N>aJc%$%$
local-user admin service-type ppp
#
interface Virtual-Template1
ppp authentication-mode pap
remote address pool lns
ip address 10.0.0.241 255.255.255.240
#
interface GigabitEthernet0/0/0
ip address 10.29.234.50 255.255.255.248
ipsec policy xp
nat outbound 3001
#
l2tp-group 1
undo tunnel authentication
allow l2tp virtual-template 1
#
ip route-static 0.0.0.0 0.0.0.0 209.29.234.49
#

处理过程
用户无法拨号成功,首先看IPSec是否建立成功了,再看L2TP隧道是否成功。

在AR设备上发现IPSEC没有建立成功,通过display ike sa没有发现建立的安全联盟。
根据用户的描述场景,这种公网中必然存在NAT设备,通过咨询,环境中的确有NAT设备。
IPSec必须要配NAT穿越功能,否则无法建立IPSec SA。通过在IKE对等体中增加配置nat traversal,问题解决。
修改后的配置如下:

#
ike peer xp v1
exchange-mode aggressive
pre-shared-key simple huawei
nat traversal
#
建议与总结
部署IPSec网络时,如果发起者位于一个私网内部,远端位于公网侧,而它希望与远端建立一条IPSec隧道。为保证中间存在NAT设备的IPSec隧道能够正常建立,配置IPSec时需要使能NAT穿越功能,否则IPSec隧道无法建立。

END