组网如图，用户使用vpn client 拨L2TP成功后无法打开公网网页，断开L2TP之后就可以打开网页。

无

1、拨号后获取的IP地址正确，访问总部内网正常，访问本地局域网正常，无法打开公网网页，一旦断开L2TP之后就可以打开公网网页。

2、查看VPN Client设置，已勾选“连接成功后允许访问Internet”，即在VPN拨号成功之后，可以正常访问公网站点。

3、经检查，QQ等公网应用也都打开正常，PC本地网卡DNS配置正确。

4、拨号后长ping DNS服务器在防火墙上查看会话发现有会话。根据客户需求在拨号之后访问内网的流量才会走向防火墙，而访问外网的流量是从本地网卡转发的，因此在防火墙上不应该产生会话。而现在产生了会话说明DNS路由送进了L2TP隧道。

5、检查PC的路由信息，发现DNS的路由是一条32位路由，下一跳指向防火墙的VT口。

6、经确认客户并未手动配置路由，检查防火墙配置，发现L2TP地址池下配置了DNS服务器的IP地址。

7、将L2TP地址池下的DNS服务器IP地址删除之后，问题被解决。

客户在VPN Client上勾选“连接成功后允许访问Internet”，会在PC上产生一条默认路由，出口是本地的网卡。但由于L2TP地址池配置了DNS，因此会给客户端下发一条32位的路由，此路由会优于默认路由转发。因此访问DNS的流量将会首先匹配这条路由送入L2TP 隧道转发到防火墙。同时由于防火墙untrust到untrust的策略未开放导致http请求不能正常转发给DNS解析。

VPN场景，如果访问内网不需要解析域名，建议不要在地址池中配置dns-list。