继续问 L2TP/IPSec 的问题，内网能拨通，外网拨不通。（附草图）

This topic created in 4605 days ago, the information mentioned may be changed or developed.

这次附上草图，希望能描述的清楚一些。（L2TP/IPSec + FreeRADIUS + MySQL ）

路由器上已经映射了 500，4500,1701 端口到 Ubuntu Server
现在总公司局域网内，用 192.168.0.191 拨 Ubuntu 上的 VPN，能正常拨通。但是分公司的人，用广域网地址来拨这个 VPN ，就是拨不通，请问会是什么问题？

这个方案的目的，是希望分公司的人拨通 VPN 后，才能访问公司内部的一个 Web 服务器（外网不可直接访问），请问这个方案是否适合？

VPN

拨通

Ubuntu

10 replies • 1970-01-01 08:00:00 +08:00

linchanx

Oct 29, 2013

没看到有外网地址。。你确定你设置对了？

yangqi

Oct 29, 2013

这个要一步步排疑了,
先确定分公司的连接在哪被卡住了, 是路由器还是ubuntu server

lichao

Oct 29, 2013

@linchanx 用外网地址拨的时候，Ubuntu 上能抓到 500 端口和 4500 端口的数据包，所以端口映射应该是对了的，但最终就是连不上

@yangqi 刚网上查了一下，可能涉及到一个什么 NAT 穿越的问题，可惜网络知识不过关，不了解

rrfeng

Oct 29, 2013

内网拨 192.168.0.191 当然可以
外网怎么可能拨到这个地址呢……

L2TP over IPSec 首先要建立 IPSec 通道，而 IPSec 是两个可以互相访问的 IP 来建立隧道的，不是端口映射的问题。假设要穿透 NAT 的话是需要一方发起连接，一方接受连接才可以。
你的环境连 IPSec 都通不了吧，要么把 Ubuntu 放到 DMZ，给一个公网地址，要么在 router 上配置特殊的转发

IPSec 隧道建立了之后，实际上分公司就可以直接访问总部内网地址了，l2tp 只是再加一次用户级认证

lichao

Oct 29, 2013

@rrfeng 谢谢，我再试试 DMZ

xuzhe

Oct 29, 2013

如果客户端系统是 Windnows 的话，为了安全默认不会和路由器背后的 Server 进行 IPSec 连接的。需要修改注册表或者改用 PPTP 就好了么。

lichao

Oct 29, 2013

@xuzhe 嗯，正在尝试 PPTP 方案了

tywtyw2002

Oct 29, 2013

做了端口转发吧，
路由器上把vpn得数据包nat到了你的服务器上，但是破坏了ipsec的数据结构，造成了ipsec丢包。

niseter

Oct 29, 2013

按你说的问题，应该是l2tp/ipsec通过NAT时有问题，请参照@xuzhe的留言，windows客户端请修改注册表。

lichao

Oct 29, 2013 via iPhone

@tywtyw2002
@niseter
谢谢各位，改用 PPTP 方案了，全都已经测试通过