为客户的华为防火墙配置了L2TP Over IPSec，但是用电脑远程拨入的时候，显示警告：“隧道保活超时或协商超时”

虽然防火墙上显示连接已经成功建立了，dis ike error，也没有错误信息，但是实际上，远端电脑与内网是无法通讯的，而且，一旦点击上图中的“确定”按钮，防火墙中已建立的连接，立刻就会消失。

根据华为官方的提示，可能的原因有：1、安全策略未放行自身到L2TP报文；2、防火墙上未启用L2TP功能；3、客户端配置的“隧道名称”与防火墙上的“对端隧道名称”不符；4、两端“隧道密码认证”设置不同；5、两端IPSEC安全协议配置不同；6、路由不可达。

经逐一排查后，以上原因无一适用，这可如何是好？

实际上，我以前就处理过同样的故障，但是翻阅了之前发布的文章，发现上次为另一客户解决同样的故障，最后是静态路由的原因：、

远端拨入的电脑，身处192.168.100.1/24网段，而防火墙上有条静态路由192.168.0.0/16，出接口是g/0/0/0口，下一跳是内网核心交换机的三层口IP！

于是，仔细看了内网，发现只有192.168.1.0/24、192.168.20.0/24、192.168.50.0/24这三个网段，于是删除了192.168.0.0/16这条静态路由，改为三条/24的路由。

其他什么都没改，远端PC拨入成功了。

但是，这次，虽说故障提示相同，故障原因却明显不同，所以解决方法当然也不可能一样，从这点来看，客户端弹出的错误提示窗口，真是没什么帮助，还得自己来排查。

把“安全提议”改为“接受对端提议”，也就是上华为防火墙上不做“安全提议”方面的设置，全由电脑端说了算，保存配置后，客户端再次尝试拨入，结果还是一样。

“基本配置”中的本端ID，IP地址我本来填写了防火墙上的公网IP，虽然我以前一直是这么填写，并没有发现有啥问题，但是根据资料，此处应该留空，所以也尝试一下。

保存配置后，客户端再次拨入，结果还是一样，错误提示也是一样。

再次重输“预共享密钥”，故障依旧。

“L2TP认证模式”，把“PAP”也一起勾选上，再试，故障还是依旧

重新输入了远程拨入的账号和密码：

结果仍然是故障依旧。

相关的安全策略、NAT策略全都翻了几遍确定没问题，连debug都试过了，也没报什么错。

到底是怎么回事啊，头疼……