继续问 L2TP/IPSec 的问题，内网能拨通，外网拨不通。（附草图）

没看到有外网地址。。你确定你设置对了？

这个要一步步排疑了,
先确定分公司的连接在哪被卡住了, 是路由器还是ubuntu server

@linchanx 用外网地址拨的时候，Ubuntu 上能抓到 500 端口和 4500 端口的数据包，所以端口映射应该是对了的，但最终就是连不上

@yangqi 刚网上查了一下，可能涉及到一个什么 NAT 穿越的问题，可惜网络知识不过关，不了解

内网拨 192.168.0.191 当然可以
外网怎么可能拨到这个地址呢……

L2TP over IPSec 首先要建立 IPSec 通道，而 IPSec 是两个可以互相访问的 IP 来建立隧道的，不是端口映射的问题。假设要穿透 NAT 的话是需要一方发起连接，一方接受连接才可以。
你的环境连 IPSec 都通不了吧，要么把 Ubuntu 放到 DMZ，给一个公网地址，要么在 router 上配置特殊的转发

IPSec 隧道建立了之后，实际上分公司就可以直接访问总部内网地址了，l2tp 只是再加一次用户级认证

@rrfeng 谢谢，我再试试 DMZ

如果客户端系统是 Windnows 的话，为了安全默认不会和路由器背后的 Server 进行 IPSec 连接的。需要修改注册表或者改用 PPTP 就好了么。

@xuzhe 嗯，正在尝试 PPTP 方案了

做了端口转发吧，
路由器上把vpn得数据包nat到了你的服务器上，但是破坏了ipsec的数据结构，造成了ipsec丢包。

按你说的问题，应该是l2tp/ipsec通过NAT时有问题，请参照@xuzhe的留言，windows客户端请修改注册表。

@tywtyw2002
@niseter
谢谢各位，改用 PPTP 方案了，全都已经测试通过