某局点windows自带客户端拨号L2TP over IPSec失败问题分析

发布时间:  2016-12-20 浏览次数:  474 下载次数:  0
问题描述

某局点客户使用华为公司VPN Client客户端接入L2TP over IPSec VPN,成功,但使用Windows自带客户端拨号失败。

处理过程

1.一台PC使用华为VPN Client拨号成功,说明防火墙IPSec配置没有问题,另一台PC使用Windows自带客户端拨号失败,首先怀疑路由或两端配置不一致。但Windows端没有算法等的配置选项,只能通过debug去猜Windows的配置,并通过查询会话排查报文是否到达防火墙。

2.通过前面debug发现,Windows发送的协商报文的IP地址和我们预期的不一致,导致防火墙回程找不到路由,从而导致协商失败。

3.修改PC侧只保留一个IP后,协商报文的源目的IP与预期一致。(这里Windows系统在协商时,如果接口下存在多个IP,具体使用哪个IP进行协商的机制还不是很清楚,遇到多IP的情况,建议通过在PC上抓包即可确认Windows使用的具体协商IP)

4.通过debug发现,windows系统使用的算法是3DES+SHA1,并且使用的是传输模式。通过修改防火墙的对应配置,IPSec隧道协商成功。

*0.72361210 ****** IKE/7/DEBUG:  Transform 1's attributes                                                                          
*0.72361280 ****** IKE/7/DEBUG:  Attribute ENCAPSULATION_MODE value 2     //加密模式为传输模式                                            
*0.72361380 ****** IKE/7/DEBUG:  Attribute KEY_LENGTH value 128                                                        
*0.72361470 ****** IKE/7/DEBUG:  Attribute AUTHENTICATION_ALGORITHM value 2    //HASH算法为SHA1                                        
*0.72361580 ****** IKE/7/DEBUG:  Attribute SA_LIFE_TYPE value 1                                                        
*0.72361670 ****** IKE/7/DEBUG:  Attribute SA_LIFE_DURATION value 3600                                                 
*0.72361770 ****** IKE/7/DEBUG:  Attribute SA_LIFE_TYPE value 2                                                        
*0.72361860 ****** IKE/7/DEBUG:  Attribute SA_LIFE_DURATION value 250000                                               
*0.72361960 ****** IKE/7/DEBUG:validate payload TRANSFORM of message 52b40008b0  

5.IPSec协商成功,但L2TP拨号失败,查看两台PC上VPN Client和Windows7的配置,发现二者的隧道名配置不同,当使用Windows操作系统自带的L2TP客户端拨号软件进行拨号时,防火墙上的对端名称需配置为客户端主机的名称。为了让多个客户端登陆,防火墙需配置为不检查对端隧道名。高端防火墙只有在default-lns中才可以配置接受任何对端发起的L2TP连接请求。在防火墙侧修改配置后,Windows拨号成功。

建议与总结

1.PC拨号时,如果本地存在多个IP地址,需关注PC具体使用的协商IP,保证安全网关有回程路由。

2.Windows系统使用传输模式封装,与通常我们使用的隧道模式不同,华为VPN Client默认也为隧道模式。

3.Windows系统没有算法选择,使用的是3DES+SHA1算法,VPN Client默认是DES+SHA1算法。

4.Windows系统使用IKEv1主模式进行隧道协商。

5.高端防火墙为了使多个隧道名进行L2TP登陆,L2TP group中不能带remote字段,需在default-lns中配置。

END