回包的源地址是如何确定的？

20040925

# Generated by iptables-save v1.2.7a on Fri Jul 10 05:45:49 2009\r\n*mangle\r\nREROUTING ACCEPT [47195:4092747]\r\n:INPUT ACCEPT [46643:4030355]\r\n:FORWARD ACCEPT [0:0]\r\n:OUTPUT ACCEPT [26611:2137934]\r\nOSTROUTING ACCEPT [26611:2137934]\r\nCOMMIT\r\n# Completed on Fri Jul 10 05:45:49 2009\r\n# Generated by iptables-save v1.2.7a on Fri Jul 10 05:45:49 2009\r\n*nat\r\nREROUTING ACCEPT [3564:520188]\r\nOSTROUTING ACCEPT [1157:71554]\r\n:OUTPUT ACCEPT [1157:71554]\r\nCOMMIT\r\n# Completed on Fri Jul 10 05:45:49 2009\r\n# Generated by iptables-save v1.2.7a on Fri Jul 10 05:45:49 2009\r\n*filter\r\n:INPUT ACCEPT [46662:4031472]\r\n:FORWARD ACCEPT [0:0]\r\n:OUTPUT ACCEPT [26691:2144351]\r\n:RH-Lokkit-0-50-INPUT - [0:0]\r\nCOMMIT\r\n# Completed on Fri Jul 10 05:45:49 2009

ssffzz1

相当奇怪，可能是L2TP软件自身的问题吧。你不删除那个直连路由，L2TP服务器天下172网段的试试。这样也能够验证你的那个问题。

20040925

l2tp服务器上172网段的路由本来就有啊，如果填上192.168.1.0/24的路由，回包的源ip就是192.168.1.88了，可能l2tp就是这么设计的？\r\n\r\n斑竹还碰到过其他的类似的情况吗？

ssffzz1

l2tp就是这么设计 ,\r\n\r\n不是的，我见过的L2TP不是这样的，可能是LINUX L2TP自身的问题。\r\n\r\n另外我说的法子你试试了，不要删路由。192.168.1段的机器用172段的IP作为服务器IP拨入试试就OK了。

20040925

我试了，如下,可能就是你说的那种情况,斑竹见过类似的应用程序是这么处理的吗？\r\n来包：192.168.1.86----->172.16.2.73\r\n回包：192.168.1.88----->192.168.1.86

ssffzz1

那可能就是L2TP软件自身的问题了。\r\n\r\n这样的话连接是建立不了的。

20040925

这样的应用程序见的多吗？

ssffzz1

这应该是各BUG。正常的应用程序不会这样处理的，因为根本就建立不了连接。\r\n\r\n我在H3C和CISCO的L2TP设备上都测试过，没有你说的问题。LINUX的没有测试。

20040925

只要路由后确定的源ip与来包的目的ip相同就能建立连接了，要避免这种情况可以将l2tp的监听地址设置为一个固定的ip，以上讨论的情况是监听地址为0.0.0.0的情况。将监听地址设置为0.0.0.0比较适合动态ip的情况，根据路由确定源ip，当ip改变时不必修改l2tp配置，所以可能是出于这种考虑，不一定是bug。\r\nh3c和cisco也有监听地址这个选项吧？

ssffzz1

h3c和cisco也有监听地址这个选项吧？\r\n\r\n好像是没有，没见过这个命令。即使监听在0.0.0.0也不应该有这个现象。你可以用APACHE之类的软件测试一下，保证不会出现这个现象的。