• 2005-11-28

    BT的H3防火墙

    这个是发生在昨天的事情。

    当俺还在温暖的被窝里面缠绵瞌睡之时,电话不合时宜的响了起来。
    一看电话,还是个陌生来电,外地号码。没办法接吧,一听原来是
    公司云南的合作伙伴打过来的。询问一个H3防火墙Secpath配置L2TP
    的问题。

    俺只能离开温暖的被窝,来到冰冷的NB旁边,开始Working,仔细了解
    了整个过程和FW配置,左看看右看看,No Problem阿。

    于是开始仔细排出问题,先是检查Client端配置,在测试了N种组合之后
    放弃。换一种VPN Client试试,换一种OS试试。问题依旧,始终停留在
    验证用户名和密码的地方无进展。

    只能祭起最后一件法宝:抓包分析。
    仔细检查了整个过程发现到LCP的时候,FW端无反应,但是有Keeplive
    信息出来。

    看来问题还是出在FW的配置方面。仔细对比FW的配置和H3的VPN典型
    配置。无任何问题,再看看我以前做的L2TP测试配置,也没有问题啊。

    问题陷入了僵局,俺们只好求助H3的800电话,好家伙第一句话就是让
    俺们升级VRP,仔细看看FW的VRP版本和H3网站上最新的版本,已经是
    最新的了。%—*(·#¥%

    求人不如求己,在翻到一个H3一道门(也是一种FW)的配置时,看到了
    最后救命的一根稻草---  
    Firewall zone untrust
      add interface virtual-template1

    添加上去之后问题得到解决。

    原来Secpath的每个接口必须(包括虚拟借口)都必须划分到某个Zone里面
    才能够正常使用。

    Bt阿Bt。。。

    (其实说白了,还是俺对这个H3的咚咚不太了解的原因)
    Tag:L2TP FW H3
    dragonseven 发表于10:22:48 | 阅读全文 | 评论 0 | 编辑 | 分享 0
共1页 1