之前為某客戶的華為防火墻配置了L2TP OVER IPSEC，突然發(fā)現(xiàn)無法連接了，UniVPN報(bào)錯：與對方建立連接超時(shí)，配置錯誤或網(wǎng)絡(luò)故障。

根據(jù)華為官方的解釋是，配置的認(rèn)證模式和設(shè)備側(cè)配置的L2TP認(rèn)證模式不匹配，例如一邊是PAP，另外一邊卻是CHAP，但是看了UniVPN和華為防火墻里面的配置，都是PAP，很明顯，官方的解釋與實(shí)際的故障原因不匹配，哈哈。

當(dāng)然還得繼續(xù)排查，發(fā)現(xiàn)在防火墻的用戶里面，搜索不到域賬號，細(xì)看一眼，發(fā)現(xiàn)只有用戶組同步過來了，域用戶是一個(gè)也沒有同步過來，嘗試手動同步，報(bào)錯：管理員綁定失敗。

由于L2TP使用的是域賬號認(rèn)證，所以，沒有域用戶信息，是不可能撥入成功的，首先得解決這個(gè)問題才行。

“修改AD服務(wù)器”，以前配置的時(shí)候添加過了，如果沒有，這里需要先添加AD服務(wù)器。

隨便選一個(gè)域賬戶來檢測，結(jié)果失敗了，同樣提示：管理員綁定失敗。

根據(jù)這個(gè)提示，修改此處的域管理員賬號和密碼，確認(rèn)與域控上面一致，重新檢測時(shí)，提示通過了。

原因分析：應(yīng)該就是防火墻里面綁定的域管理員密碼過期了，域服務(wù)器修改過了，而防火墻上沒有及時(shí)更新所致。

修正域管理員的密碼后，再次用域賬號檢測服務(wù)器的連通性，順利通過。

回到“服務(wù)器導(dǎo)入策略”，重新手動導(dǎo)入域賬號，雖說不再提示管理員綁定失敗，但是也沒有導(dǎo)入成功，而是改為提示：導(dǎo)入失敗。

最近解決問題總是諸多磨難，就沒有一次是單純的故障，能一次就解決的，所以還是繼續(xù)排查吧。

查看詳情，導(dǎo)入失敗的是域管理員：administrator，然后真正的域用戶一個(gè)也沒有導(dǎo)入。

根據(jù)之前的經(jīng)驗(yàn)，導(dǎo)入失敗基本上是因?yàn)榉阑饓Ρ镜匾灿型馁~號，比如說域服務(wù)器上有個(gè)admin賬號，防火墻本地也有個(gè)admin賬號，那就會導(dǎo)入失敗，但是administrator賬號貌似防火墻上并沒有。

算了，也沒有太多的時(shí)間分析問題了，趕緊先解決客戶的問題才是正事兒。

于是，“修改服務(wù)器導(dǎo)入策略”，把全部導(dǎo)入改為只導(dǎo)入OU，這樣域控上自帶的用戶和組就不會導(dǎo)入了，直接避開報(bào)錯的管理員賬戶。

“確定”后，再次嘗試手動導(dǎo)入域用戶，總算提示導(dǎo)入成功。

小小地興奮了一下，客戶端用UniVPN軟件再次遠(yuǎn)程撥入，倒霉啊，故障依舊，沒道理啊，仔細(xì)看配置的ike和ipsec參數(shù)，與防火墻端完全一致啊，郁悶。

又回到防火墻，dis ike sa，只看到分公司的防火墻IPSec遠(yuǎn)程接入，并沒有看到客戶端UniVPN撥入的信息。

Dis ike error

Malformed payload，華為官網(wǎng)解釋為：非法載荷，但是沒有寫具體的處理方式，光看這個(gè)名詞解釋，肯定是一頭霧水，好在有之前的經(jīng)驗(yàn)，應(yīng)該是預(yù)共享密碼的問題，可能是手賤，不小心改動了預(yù)共享密碼吧。

UniVPN里面是看不到預(yù)共享密碼的，所以只能重新輸入，保存。

再次點(diǎn)擊連接，輸入域賬號和對應(yīng)的密碼，并且“保存密碼”、“自動連接”都勾選上，下次打開軟件，就能自動連接了。

如上圖所示，功夫不負(fù)有心人，客戶端遠(yuǎn)程撥入成功，出差在外的人，又可以方便地訪問內(nèi)網(wǎng)資源了。

松了口氣，趕緊保存防火墻配置，并且下載一份配置文件到我的云主機(jī)，這都是多年的習(xí)慣了，客戶設(shè)備出問題，或者掉配置的時(shí)候，直接導(dǎo)入恢復(fù)即可，方便了自己，也提高了客戶的滿意度，畢竟為客戶提供IT外包服務(wù)，除了技術(shù)本身以外，效率和態(tài)度也是非常關(guān)鍵的。