回包的源地址是如何确定的？

ssffzz1

iptables-save 啥结果？？？

20040925

# Generated by iptables-save v1.2.7a on Fri Jul 10 05:45:49 2009
*mangle
REROUTING ACCEPT [47195:4092747]
:INPUT ACCEPT [46643:4030355]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [26611:2137934]
OSTROUTING ACCEPT [26611:2137934]
COMMIT
# Completed on Fri Jul 10 05:45:49 2009
# Generated by iptables-save v1.2.7a on Fri Jul 10 05:45:49 2009
*nat
REROUTING ACCEPT [3564:520188]
OSTROUTING ACCEPT [1157:71554]
:OUTPUT ACCEPT [1157:71554]
COMMIT
# Completed on Fri Jul 10 05:45:49 2009
# Generated by iptables-save v1.2.7a on Fri Jul 10 05:45:49 2009
*filter
:INPUT ACCEPT [46662:4031472]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [26691:2144351]
:RH-Lokkit-0-50-INPUT - [0:0]
COMMIT
# Completed on Fri Jul 10 05:45:49 2009

ssffzz1

相当奇怪，可能是L2TP软件自身的问题吧。你不删除那个直连路由，L2TP服务器天下172网段的试试。这样也能够验证你的那个问题。

20040925

l2tp服务器上172网段的路由本来就有啊，如果填上192.168.1.0/24的路由，回包的源ip就是192.168.1.88了，可能l2tp就是这么设计的？

斑竹还碰到过其他的类似的情况吗？

ssffzz1

l2tp就是这么设计 ,

不是的，我见过的L2TP不是这样的，可能是LINUX L2TP自身的问题。

另外我说的法子你试试了，不要删路由。192.168.1段的机器用172段的IP作为服务器IP拨入试试就OK了。

20040925

我试了，如下,可能就是你说的那种情况,斑竹见过类似的应用程序是这么处理的吗？
来包：192.168.1.86----->172.16.2.73
回包：192.168.1.88----->192.168.1.86

ssffzz1

那可能就是L2TP软件自身的问题了。

这样的话连接是建立不了的。

20040925

这样的应用程序见的多吗？

ssffzz1

这应该是各BUG。正常的应用程序不会这样处理的，因为根本就建立不了连接。

我在H3C和CISCO的L2TP设备上都测试过，没有你说的问题。LINUX的没有测试。

20040925

只要路由后确定的源ip与来包的目的ip相同就能建立连接了，要避免这种情况可以将l2tp的监听地址设置为一个固定的ip，以上讨论的情况是监听地址为0.0.0.0的情况。将监听地址设置为0.0.0.0比较适合动态ip的情况，根据路由确定源ip，当ip改变时不必修改l2tp配置，所以可能是出于这种考虑，不一定是bug。
h3c和cisco也有监听地址这个选项吧？