USG2220配置L2TP over Ipsec以后内网用户无法拨通外网其它L2TP VPN

发布时间:  2015-11-23 浏览次数:  368 下载次数:  0
问题描述

1、USG2160配置L2TP over Ipsec,配置成功后外网用户能够成功拨通并访问内网,但内网用户无法拨通外网其它L2TP VPN

2、没有配置L2TP over IPsec的时候,内网用户是可以成功拨通外网的L2TP VPN的。

告警信息

处理过程

 

1、分别查看配置了L2TP over IPsec和没有配置L2TP over IPsec两种情况下,拨外网L2TP VPN的会话信息:

   配置了L2TP over IPsec的情况下内网用户拨外网L2TP VPN的会话信息:

  

   没有配置L2TP over IPsec的情况下内网用户拨外网L2TP VPN的会话信息:

  

2、 查看配置了L2TP over IPsec和没有配置L2TP over IPsec两种情况下,拨外网L2TP VPN的会话信息发现,两次的拨号数据的下一跳MAC地址不一致,

    在配置了L2TP over IPsec的情况下,拨外网的L2TP VPN的数据走上了L2TP over IPsec的隧道。

3、 检查L2TP over IPsec中IPsec感兴趣流的ACL配置:

   

   将目的端口是1701的数据也匹配上了IPsec,所以拨外网的L2TP VPN的数据也走上了IPsec隧道,导致无法拨通外网L2TP VPN。

4、删除L2TP over IPsec中IPsec感兴趣流ACL中目的端口是1701的规则,问题解决。

  

 

根因

L2TP over IPsec中IPsec感兴趣流的多余配置,导致拨外网的L2TP VPN的数据走上了IPsec隧道,导致拨外网的L2TP VPN失败。

解决方案

删除L2TP over IPsec中IPsec感兴趣流ACL中目的端口是1701的规则,问题解决。

END