華為防火墻，配置了L2TP Over IPSec，但是用UniVPN遠程撥入的時候，顯示警告：“隧道?；畛瑫r或協(xié)商超時”

雖然防火墻上顯示連接已經(jīng)建立，dis ike error，也沒有報錯信息，但是實際上，遠端PC與內網(wǎng)是無法通訊的，一旦點擊上圖中的“確定”按鈕，防火墻中已建立的連接，立刻就會消失了。

根據(jù)華為官方的提示，可能的原因有：1、安全策略未放行自身到L2TP報文；2、防火墻上未啟用L2TP功能；3、UniVPN上配置的“隧道名稱”與防火墻上的“對端隧道名稱”不符；4、兩端“隧道密碼認證”設置不同；5、兩端IPSEC安全協(xié)議配置不同；6、路由不可達。

逐一排查后，以上原因無一有用，這可如何是好？

實在沒辦法了，從頭捋一遍吧，認真仔細地看防火墻上的配置。

突然發(fā)現(xiàn)，遠端撥入的PC，身處192.168.100.1/24網(wǎng)段，而防火墻上有條靜態(tài)路由192.168.0.0/16，出接口是g/0/0/0口，下一跳是內網(wǎng)核心交換機！

不論上述“超時”錯誤是否與此有關，這也是需要排除的問題之一。

于是，仔細看了內網(wǎng)，發(fā)現(xiàn)只有192.168.1.0/24、192.168.20.0/24、192.168.50.0/24這三個網(wǎng)段，于是刪除了192.168.0.0/16這條靜態(tài)路由，改為三條/24的路由。

其他什么都沒改，遠端PC撥入成功了。

正竊喜呢，發(fā)現(xiàn)遠端PC無法ping通內網(wǎng)，反之亦然。

看來，高興得太早，始終沒好事。

還能怎么辦？接著分析吧，無非是路由問題。

在遠端PC上，tracert -d 10.10.30.1，不出所料，一跳都沒跟蹤到。

在內網(wǎng)tracert 172.16.11.109，全從撥號的寬帶出去了，根本不可能成功達到，而L2TP Over IPSec是綁定在固定IP的專線上的，顯然不匹配。

跑錯地方，得拽回來，糾正。

于是，配置一條策略路由，置頂。

簡單來說，就是去VPN網(wǎng)段，不做策略路由。

在核心交換機上，ping遠端PC獲取到的IP地址，通了。

在遠端PC上，ping核心交換機，也通了。

至此，華為防火墻L2TP Over IPSec故障排除。