隧道保活超时或协商超时，该如何解决？

华为防火墙，配置了L2TP Over IPSec，但是用客户端远程拨入的时候，显示警告：“隧道保活超时或协商超时”

虽然防火墙上显示连接已经建立，dis ike error，也没有报错信息，但是实际上，远端PC与内网是无法通讯的，一旦点击上图中的“确定”按钮，防火墙中已建立的连接，立刻就会消失了。

根据华为官方的提示，可能的原因有：1、安全策略未放行自身到L2TP报文；2、防火墙上未启用L2TP功能；3、UniVPN上配置的“隧道名称”与防火墙上的“对端隧道名称”不符；4、两端“隧道密码认证”设置不同；5、两端IPSEC安全协议配置不同；6、路由不可达。

逐一排查后，以上原因无一有用，这可如何是好？

实在没办法了，从头捋一遍吧，认真仔细地看防火墙上的配置。

突然发现，远端拨入的PC，身处192.168.100.1/24网段，而防火墙上有条静态路由192.168.0.0/16，出接口是g/0/0/0口，下一跳是内网核心交换机！

不论上述“超时”错误是否与此有关，这也是需要排除的问题之一。

于是，仔细看了内网，发现只有192.168.1.0/24、192.168.20.0/24、192.168.50.0/24这三个网段，于是删除了192.168.0.0/16这条静态路由，改为三条/24的路由。

其他什么都没改，远端PC拨入成功了。

正窃喜呢，发现远端PC无法ping通内网，反之亦然。

看来，高兴得太早，始终没好事。

还能怎么办？接着分析吧，无非是路由问题。

在远端PC上，tracert -d 10.10.30.1，不出所料，一跳都没跟踪到。

在内网tracert 172.16.11.109，全从拨号的宽带出去了，根本不可能成功达到，而L2TP Over IPSec是绑定在固定IP的专线上的，显然不匹配。

跑错地方，得拽回来，纠正。

于是，配置一条策略路由，置顶。

简单来说，就是去VPN网段，不做策略路由。

在核心交换机上，ping远端PC获取到的IP地址，通了。

在远端PC上，ping核心交换机，也通了。

至此，华为防火墙L2TP Over IPSec故障排除。

不得不说，华为防火墙是我平时做项目的首选。