ar1220 L2TP VPN拨入后无法访问外网网页

发布时间:  2016-12-08 浏览次数:  931 下载次数:  0
问题描述
问题描述:
L2TP OVER IPSEC拨号进入路由器后发现无法登录网页

组网拓扑:


配置脚本:
#
 l2tp enable
#
 dns resolve  
 dns proxy enable
#
acl number 3000                           
 rule 5 deny ip source 192.168.0.0 0.0.0.255 destination 10.0.0.0 0.0.0.255 
 rule 10 permit ip 
#
ipsec proposal apple
 encapsulation-mode transport
 esp authentication-algorithm sha1
 esp encryption-algorithm aes-256
#
ike proposal 1
 encryption-algorithm aes-cbc-128
 dh group2
 authentication-algorithm sha1
 prf aes-xcbc-128
#
ike peer apple v1
 pre-shared-key cipher %^%#3jl3$Ew.t~&!8DXNBOw5{U".Nv(w#:q_'u1%5sOO%^%#
 nat traversal
#
ipsec policy-template apple 10
 ike-peer apple
 proposal apple
#
ipsec policy apple1 10 isakmp template apple
#                                         
ip pool apple
 gateway-list 10.0.0.1 
 network 10.0.0.0 mask 255.255.255.0 
 dns-list 221.130.33.52 221.130.33.60 
#
aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user huawei password cipher %^%#OU3YIsLu:*{.V{UB&;=Q<nI/#)o'O$wK<t@<*jm$%^%#
 local-user huawei privilege level 3
 local-user huawei service-type ppp
#
interface Dialer1
 link-protocol ppp
 ppp chap user 26001916530
 ppp chap password cipher %@%@U')L2]_HhR@A;$7)M)y*,.=0%@%@
 ppp pap local-user 26001916530 password cipher %@%@@>5J,;,lnIJhVTKhRlyM,.=!%@%@
 ppp ipcp dns admit-any
 ppp ipcp dns request
 nat outbound 3000 
#
interface Vlanif1
 ip address 192.168.0.1 255.255.255.0
#
interface Virtual-Template1
 ppp authentication-mode pap 
 remote address pool apple
 ip address 10.0.0.1 255.255.255.0
#
interface GigabitEthernet0/0/7
 pppoe-client dial-bundle-number 1           
#
l2tp-group 1
 undo tunnel authentication
 allow l2tp virtual-template 1 
 tunnel name insanitytrading             

故障现象:
能够成功拨入L2TP OVER ISPEC,但是拨号成功以后,手机可以登录APP,但无法打开网页  
                
处理过程
1.通过用户描述可以判断,L2TP OVER IPSEC配置基本没有问题,因为拨号已经成功,并且部分业务已经可以通信
2.再次确认IKE sa和IPSEC sa已经建立,L2TP拨号隧道以及会话已经建立
3.判断可能是终端未获取DNS导致,建议用户排查手机是否获取DNS
4.手机拨号进入L2TP后无法查到是否获取DNS,用户使用PC终端查看,发现无DNS
5.查看IP POOL,发现已经配置DNS-LIST,将DNS设置为自身,并且开启DNS代理,终端依然无法获取DNS
6.查看Virtual-Template1,发现未配置推送DNS,添加DNS

interface Virtual-Template1
 ppp authentication-mode pap 
 remote address pool apple
 ip address 10.0.0.1 255.255.255.0
 ppp ipcp dns 221.130.33.52 221.130.33.60 //增加此条命令

根因

由于ppp拨号与以太网络DHCP获取IP地址不同,用户终端并不会从IP POOL中获取到DNS,而是需要从Virtual-Template1中推送DNS

解决方案
在Vitrual-Template1中添加DNS

interface Virtual-Template1
 ppp authentication-mode pap 
 remote address pool apple
 ip address 10.0.0.1 255.255.255.0
 ppp ipcp dns 221.130.33.52 221.130.33.60 //增加此条命令
建议与总结

1.在这种场景下用户是通过先拨入L2TP VPN然后使用公司的带宽进行上网,也就是说,网络流量是从终端进入VPN到路由器,再从路由器同一个出口,通过NAT的方式出口上网,再进行一次反向的回包,需要根据这个网络走向进行相应的配置,例如DNS,安全策略等等


2.用户问题其实并不只是这一种解决方案,也可以通过分开上网流量和走VPN流量的方式进行终端本地流量的划分,这就意味着,从本地出口是进行路由的精细划分,去往公司内网的才走VPN流量,去往公网的走自己原有的公网


3.此问题还有第三种解决方案,就是将自己本地终端配置一个可以通过公司网络上网的DNS,也可以解决此问题,遗憾的是目前手机无法设置


4.这三种方案各有优劣,本文中第一种方案,所有流量经过总部,可以对拨入用户的上网流量进行限制,保证安全性,但牺牲了效率,第二种方案,效率较高,但无法做到集中控制,第三种方案是第一种方案的变种


END