Hola. En esta publicación hablaremos sobre un problema que un cliente VPN L2TP no puede ingresar a su LNS por una incorecta configuración de ruteo.
Descripcion del problema
Redes:
Después de que el cliente accede a Internet a través de NAT y la conexion de VPN L2TP es exitoso, la dirección IP obtenida a través de la conexion VPN es 172.16.168.2/24, y la dirección IP local del cliente es 192.168.1.25. En este caso, el cliente no puede hacer ping a través del servidor (192.168.0.50) u otros segmentos de red de la intranet, pero el servidor puede acceder a Internet.
Proceso de manejo
1. Si el paquete de ping al servidor lleva la dirección IP de la interfaz WAN en el USG5120, el ping se realiza correctamente. Esto indica que la configuración de la ruta en el USG5120 es correcta.
2. Ejecute el comando netstat -r en la PC para ver la tabla de enrutamiento. La salida del comando muestra que los paquetes al servidor LNS se transmiten según la ruta local predeterminada. Verifique la configuración del cliente VPN en el host local. Se ha encuentrado que aunque la conexion sea exitosa y se pueda navegar en internet, la ruta en la intranet hacia el LNS se se configuro de forma adecuada, bajo este escenario hay que agregar de forma manual la ruta para restablecer la conectividad.
3. Después de realizar el paso 2, se puede acceder a la PC en el lado 192.168.10.0/24 del LNS, pero no se puede acceder al servidor 192.168.0.50.
4. Verifique la tabla de enrutamiento del USG5120. Se encontró que una ruta al segmento de red de destino 192.168.1.0/24 apunta a un dispositivo de intranet que se conecta al USG5120. Por lo tanto, la ruta es inalcanzable. De acuerdo a lo descubierto se sugiere como solucion cambiar la direccion IP local del host o la ruta hacia el UGS5120 para que exista conectividad hacia el host.
Causa principal
1. El filtrado de paquetes no funciona bien entre la zona de seguridad donde reside la interfaz VT y la zona de seguridad donde reside el servidor.
2. El servidor no tiene una ruta al cliente, o la ruta del cliente no puede llegar a la intranet de la LNS.
3. Se produce un conflicto de ruta.
Sugerencias
Después de que la conexion VPN sea exitoso, si no se puede acceder a la intranet de la LNS, es probable que la configuración de la ruta sea incorrecta.
Saludos.
FIN.