华三930路由器可以做l2tp服务端吗

华三930路由器可以做l2tp服务端吗,第1张

可以做L2TP服务端的。

配置:

***用户访问公司总部过程如下:

(1) 用户首先连接Internet,之后直接由用户向LNS发起Tunnel连接的请求。

(2) 在LNS接受此连接请求之后,***用户与LNS之间就建立了一条虚拟的L2TP tunnel。

(3) 用户与公司总部间的通信都通过***用户与LNS之间的隧道进行传输。

(1) 用户侧的配置

在用户侧主机上必须装有L2TP的客户端软件,如Win*** Client,并且用户通过拨号方式连接到Internet。然后再进行如下配置(设置的过程与相应的客户端软件有关,以下为设置的内容):

# 在用户侧设置***用户名为vpdnuser,密码为Hello。

# 将LNS的IP地址设为安全网关的Internet接口地址(本例中LNS侧与隧道相连接的以太网接口的IP地址为1122)。

# 修改连接属性,将采用的协议设置为L2TP,将加密属性设为自定义,并选择CHAP验证,进行隧道验证,隧道的密码为:aabbcc。

(2) LNS侧的配置

# 设置用户名及密码(应与用户侧的设置一致)。

<LNS> system-view

[LNS] local-user vpdnuser

[LNS-luser-vpdnuser] password simple Hello

[LNS-luser-vpdnuser] service-type ppp

[LNS-luser-vpdnuser] quit

# 对***用户采用本地验证。

[LNS] domain system

[LNS-isp-system] authentication ppp local

[LNS-isp-system] ip pool 1 10101011 101010100

[LNS-isp-system] quit

# 启用L2TP服务。

[LNS] l2tp enable

# 配置虚模板Virtual-Template的相关信息。

[LNS] interface virtual-template 1

[LNS-virtual-template1] ip address 10101010 2552552550

[LNS-virtual-template1] ppp authentication-mode chap domain system

[LNS-virtual-template1] remote address pool 1

[LNS-virtual-template1] quit

# 设置一个L2TP组,指定接收呼叫的虚拟接口模板。

[LNS] l2tp-group 1

[LNS-l2tp1] tunnel name LNS

[LNS-l2tp1] allow l2tp virtual-template 1

L2TP+IPSec虚拟专用网

特点:跨平台,数据加密传输,安全

1,部署IPSec服务

1)安装软件包

[root@client ~]# yum -y install libreswan

2)新建IPSec密钥验证配置文件

[root@client ~]# cat /etc/ipsecconf //仅查看一下该主配置文件

include /etc/ipsecd/ conf //加载该目录下的所有配置文件

[root@client ~]# vim /etc/ipsecd/myipsecconf 

//新建该文件,参考lnmp_soft//myipsecconf 

conn IDC-PSK-NAT

rightsubnet=vhost:%priv //允许建立的×××虚拟网络

also=IDC-PSK-noNAT

conn IDC-PSK-noNAT

authby=secret //加密认证

ike=3des-sha1;modp1024 //算法

phase2alg=aes256-sha1;modp2048 //算法

pfs=no

auto=add

keyingtries=3

rekey=no

ikelifetime=8h

keylife=3h

type=transport

left=2011210 //重要,服务器本机的外网IP

leftprotoport=17/1701

right=%any //允许任何客户端连接

rightprotoport=17/%any

3)创建IPSec预定义共享密钥

[root@client ~]# cat /etc/ipsecsecrets //仅查看,不要修改该文件

include /etc/ipsecd/

secrets

[root@client ~]# vim /etc/ipsecd/mypasssecrets //新建该文件

2011210 %any: PSK "randpass" //randpass为预共享密钥

//2011210是×××服务器的IP

4)启动IPSec服务

[root@client ~]# systemctl start ipsec 

[root@client ~]# netstat -ntulp |grep pluto

udp 0 0 127001:4500 0000:  3148/pluto 

udp 0 0 192168410:4500 0000:

 3148/pluto 

udp 0 0 2011210:4500 0000:  3148/pluto 

udp 0 0 127001:500 0000:

 3148/pluto 

udp 0 0 192168410:500 0000:  3148/pluto 

udp 0 0 2011210:500 0000:

 3148/pluto 

udp6 0 0 ::1:500 ::: 3148/pluto

32 部署XL2TP服务

1)安装软件包(软件包参考lnmp_soft)

[root@client ~]# yum localinstall xl2tpd-138-2el7x86_64rpm

2) 修改xl2tp配置文件(修改3个配置文件的内容)

[root@client ~]# vim /etc/xl2tpd/xl2tpdconf //修改主配置文件

[global]

 

[lns default]

ip range = 1921683128-1921683254 //分配给客户端的IP池

local ip = 2011210 //×××服务器的IP地址

[root@client ~]# vim /etc/ppp/optionsxl2tpd //认证配置

require-mschap-v2 //添加一行,强制要求认证 物联网开发找 上海捌跃网络科技有限公司

#crtscts //注释或删除该行

#lock //注释或删除该行

root@client ~]# vim /etc/ppp/chap-secrets //修改密码文件

jacob  123456  //账户名称 服务器标记 密码 客户端IP

3)启动服务

[root@client ~]# systemctl start xl2tpd

[root@client ~]# netstat -ntulp |grep xl2tpd 

udp 0 0 0000:1701 0000: 3580/xl2tpd

4)设置路由转发,防火墙

[root@client ~]# echo "1" > /proc/sys/net/ipv4/ip_forward

[root@client ~]# firewall-cmd --set-default-zone=trusted

5)×××设置(非必需操作)

[root@client ~]# iptables -t nat -A POSTROUTING -s 19216830/24 -j SNAT --to-source 2011210

33客户端设置

1)新建网络连接,输入×××服务器账户与密码。

设置×××连接的属性,预共享密钥是IPSec配置文件中填写的randpass,具体操作如图所示。(高版本不用这么麻烦)

2)设置Windows注册表(不修改注册表,连接×××默认会报789错误),具体操作如下:(win7以上不用操作)

单击"开始",单击"运行",键入"regedit",然后单击"确定"

找到下面的注册表子项,然后单击它:

HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters

在"编辑"菜单上,单击"新建"->"DWORD值"

在"名称"框中,键入"ProhibitIpSec"

在"数值数据"框中,键入"1",然后单击"确定"

退出注册表编辑器,然后重新启动计算机

连接×××并测试网络连通性。

转自:http://blog51ctocom/14050800/2314209

解决方案

***报告错误781的提示,需要按照以下步骤配置Windows XP的计算机证书,使其成为L2TP客户端。

(1)配置L2TP拨号连接:我们1)进入Windows XP的“开始”,“设置”,“控制面板”,选择“切换到分类视图”。页2)选择“网络和Internet连接”。页3)选择“创建工作位置的网络连接。”页4)选择“虚拟专用网络连接”,然后单击“下一步”。页5)连接到输入一个名称为“L2TP”,单击“下一步”。页6)选择“不拨初始连接”,然后单击“下一步”。

7)输入准备的L2TP连接的服务器“20210135218”的IP地址,单击“下一步”。

8)单击“完成”。

9)双击“L2TP”连接,L2TP连接窗口中,单击“属性”。

10)选择“安全”属性页,选择“高级(自定义设置)”,然后单击“设置”。

11)在“数据加密”中选择“可选加密(没有加密也可以连接)”。

12)在“允许这些协议”选中“不加密的密码(PAP)”,“质询握手身份验证协议比索(CHAP)”,“微软的CHAP(MS-CHAP)”,单击“确定”。

13)在“***类型”中选择“L2TP IPSec ***的”选择“网络”属性页。

14)确认“Internet协议(TCP / IP)”被选中。页15)证实“的NWLink IPX / SPX / NetBIOS兼容传输Prococol”,“Microsoft网络文件和打印共享

”,“Microsoft网络客户端”协议没有被选中。

16)单击“确定”保存更改。

二,注册表

默认的Windows XP L2TP传输策略不允许L2TP传输不使用IPSec加密。您可以

Windows XP的注册表来禁用缺省的行为:

手动更改:我们1)进入Windows XP的“开始”,“运行”,输入“REGEDT32”里,打开“注册表编辑器

是“定位”HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControl设定\服务\ RasMan验证\

参数“的主键。页2)添加以下键主键:

关键:找到ProhibitIPSec

数据类型:REG_DWORD

值:1页3)保存,重新启动使更改生效计算机。

提示:您必须“找到ProhibitIPSec”注册表值添加到每个使用L2TP协议

运行Windows XP操作系统的计算机。

centos 7怎么搭建l2tp

  1、右键单击“网上邻居”选择“属性”,打开网络连接属性。

  2、在右侧的“网络任务”栏中点击“创建一个新的连接。

  3、打开新建连接向导,点“下一步”。在 “网络连接属性”选择里,点击“设置高级连接”,点击“下一步”,然后,在接下来的“高级连接选项”中选择“接受传入的连接”。点击“下一步”。勾寻直接并行,点击“下一步”。

  4、勾寻允许虚拟专用连接”,点“下一步”。

  5、创建一个允许连接的用户权限。点击“添加”按钮,输入双鱼IP转换器账户和密码后点“确定”。点击“下一步”继续。

  6、在“网络软件”中勾选需要用到的协议,一般保持默认即可。点击“下一步”后,服务器就搭建完成了。

  选择“开始”→“设置”→“控制面板”→“网络连接”→“创建一个新的连接”→“下一步”→“连接到我的工作场所的网络”→“下一步”→“虚拟专用网络连接”,按说明完成后面的操作即可。

 首先解释一个问题:在 iPhone 的 *** 设置介面里(Settings >> General >> Network >> ***),你可以看到三个标签:L2TP, PPTP, IPSec。但上面我们又讲本次介绍的 *** 方式叫「L2TP / IPSec」,这两者究竟是什么关系?

  这三个标签确实令人混淆,准确的写法应该是:L2TP over IPSec, PPTP, Cisco IPSec。PPTP 跟另外两者关系不大,且大家较为熟悉,暂且不提,L2TP 和 IPSec 的区别如下。

  L2TP:一个「包装」协议,本身并不提供加密和验证的功能。

  IPSec:在 IP 数据包的层级提供加密和验证功能,确保中间人无法解密或者伪造数据包。

  本来,只用 IPSec 就可以实现 ***,Mac OS X 和 Linux 都支持。但是 Mac OS X 和 iPhone OS 都推荐使用 L2TP over IPSec,在两者的图形介面上也只能设置这个。L2TP / IPSec 是业界标准,微软也支持。而只用 IPSec 的常见于 Linux-to-Linux 的应用,比如将两个位于不同地区的办公室网络安全地连在一起。这多是固定 IP 路由器到固定 IP 路由器级别的连接,只需保证数据包不被中途截获或者伪造就可以,故使用 L2TP 的意义不大。L2TP / IPSec 主要是实现所谓「Road Warrior」的设置,即用变动的客户端连固定的服务器。

  Cisco 的 *** 用的也是 IPSec 加密,但那是一套不同于 L2TP 的私有包装协议,用于提供用户管理之类的功能,因此一般都需要用 Cisco 自家的 *** 客户端连接。iPhone / iPad 的 *** 设置介面中的 IPSec 标签里有 Cisco 的标识,就是这个原因。

  以下是在 Ubuntu 和 Debian 主机上架设 L2TP / IPSec *** 的步骤,一共十四步。你需要有服务器的 root 权限(所以 DreamHost, BlueHost, MediaTemple 这些服务供应商帮你把一切打点周到的主机就无缘了),也需要一些基本的 Linux 知识。不然的话,我们还是推荐您找一位比较熟技术的朋友帮忙。

  一、安装 IPSec。如上所述,IPSec 会对 IP 数据包进行加密和验证。这意味着你的电脑 / 移动设备与服务器之间传输的数据无法被解密、也不能被伪造。我推荐用 openswan 这个后台软件包来跑 IPSec。

  用以下命令安装 openswan:

  sudo aptitude install openswan二、用文字编辑器打开 /etc/ipsecconf,改成这样:

  version 20

  config setup

  nat_traversal=yes

  virtual_private=%v4:10000/8,%v4:19216800/16,%v4:1721600/12

  oe=off

  protostack=netkey

  conn L2TP-PSK-NAT

  rightsubnet=vhost:%priv

  also=L2TP-PSK-noNAT

  conn L2TP-PSK-noNAT

  authby=secret

  pfs=no

  auto=add

  keyingtries=3

  rekey=no

  ikelifetime=8h

  keylife=1h

  type=transport

  left=YOURSERVERIPADDRESS

  leftprotoport=17/1701

  right=%any

  rightprotoport=17/%any三、用文字编辑器打开 /etc/ipsecsecrets,改成这样:

  YOURSERVERIPADDRESS %any: PSK "YourSharedSecret"(别忘了把「YOURSERVERIPADDRESS」这部分换成你的服务器的 IP 地址,把「YourSharedSecret」部分换成随便一个字串,例如你喜欢的一句话,等等。)

  四、运行以下命令:

  for each in /proc/sys/net/ipv4/conf/

  do

  echo 0 > $each/accept_redirects

  echo 0 > $each/send_redirects

  done五、检查一下 IPSec 能否正常工作:

  sudo ipsec verify如果在结果中看到「Opportunistic Encryption Support」被禁用了,没关系,其他项 OK 即可。

  六、重启 openswan:

  sudo /etc/initd/ipsec restart七、安装 L2TP。常用的 L2TP 后台软件包是 xl2tpd,它和 openswan 是同一帮人写的。

  运行以下命令:

  sudo aptitude install xl2tpd八、用文字编辑器打开 /etc/xl2tpd/xl2tpdconf,改成这样:

  [global]

  ipsec saref = yes

  [lns default]

  ip range = 10122-1012255

  local ip = 10121

  ;require chap = yes

  refuse chap = yes

  refuse pap = yes

  require authentication = yes

  ppp debug = yes

  pppoptfile = /etc/ppp/optionsxl2tpd

  length bit = yes这里要注意的是 ip range 一项里的 IP 地址不能和你正在用的 IP 地址重合,也不可与网络上的其他 IP 地址冲突。

  九、安装 ppp。这是用来管理 *** 用户的。

  sudo aptitude install ppp十、检查一下 /etc/ppp 目录里有没有 optionsxl2tpd 这个文件,没有的话就建一个,文件内容如下:

  require-mschap-v2

  ms-dns 20867222222

  ms-dns 20867220220

  asyncmap 0

  auth

  crtscts

  lock

  hide-password

  modem

  debug

  name l2tpd

  proxyarp

  lcp-echo-interval 30

  lcp-echo-failure 4注意 ms-dns 两行我填的是 OpenDNS。如果你想用其他的 DNS 服务器(例如谷歌的公共 DNS),请自行更换。

  十一、现在可以添加一个 *** 用户了。用文字编辑器打开 /etc/ppp/chap-secrets:

  # user server password ip

  test l2tpd testpassword 如果你之前设置过 PPTP ***,chap-secrets 文件里可能已经有了其他用户的列表。你只要把 test l2tpd testpassword 这样加到后面即可。

  十二、重启 xl2tpd:

  sudo /etc/initd/xl2tpd restart十三、设置 iptables 的数据包转发:

  iptables --table nat --append POSTROUTING --jump MASQUERADE

  echo 1 > /proc/sys/net/ipv4/ip_forward十四、因为某种原因,openswan 在服务器重启后无法正常自动,所以我们可以在 /etc/rclocal 文件里写入如下语句:

  iptables --table nat --append POSTROUTING --jump MASQUERADE

  echo 1 > /proc/sys/net/ipv4/ip_forward

  for each in /proc/sys/net/ipv4/conf/

  do

  echo 0 > $each/accept_redirects

  echo 0 > $each/send_redirects

  done

  /etc/initd/ipsec restart到这里,设置工作已经基本完成。你可以用 iPhone 或 iPad 试着连一下。记得在「Secret」中填入你在上述第三步里填的 YourSharedSecret。

  如果连接成功,上网也没问题的话,恭喜你,大功告成。如果连不上,恐怕还得多做一步。

  Ubuntu 910 自带的 openswan 版本是 2622, Debian Lenny 带的版本是 2412。这两个版本的 openswan 都有问题。我们的测试结果表明,2624 版的 openswan 可以在上述两版的 Linux 操作系统下正常工作。所以如果做完以上十四步还是连不上的话,请考虑从源码编译 openswan 2624 :

  sudo aptitude install libgmp3-dev gawk flex bison

  wget http://wwwopenswanorg/download/openswan-2624targz

  tar xf openswan-2624targz

  cd openswan-2624

  make programs

  sudo make install编译需要一段时间。你的 Linux 内核版本需要高于 266。

  然后可以删除原先通过 aptitude 安装的 openswan,并重启之:

  sudo aptitude remove openswan

  sudo /etc/initd/ipsec restart

  文章为大家介绍一下WIN7下 PPTP与L2TP 两种***的连接设置方法。

  步骤一 为建立两种连接的基础设置,如果要连接PPTP,则只需接下来按照步骤二(PPTP)设置;如果要连接L2TP,则只需要接下来按照步骤二(L2TP)设置 即可。

  工具/原料

  WIN7

  步骤一

  1

  打开 网络和共享中心

  2

  点击建立新的***连接

  3

  输入你得到的地址,可以是网址或者是IP地址,并勾选“现在不连接;仅进行设置以便稍后进行连接”选项。

  4

  输入你得到的用户名和密码,勾选记住密码方便连接,下面的 域 一般不需要填写。

  然后点击下一步,在下一个界面不要选择立即连接,点击“关闭”按钮。

  END

  步骤2(PPTP)

  1

  点击右下角的网络连接图标,右键点击你刚才设置的连接,然后点击属性。

  2

  切换到安全选项卡,按照进行设置。

  选择“点对点隧道协议(PPTP)”,数据加密选择 “可选加密”,身份验证中除了最后一个选项外,剩下三个都选中。

  然后按确定

  3

  点击网络连接,点击你刚才设置的***连接,点击连接,即可连接上***。

  END

  步骤二(L2TP)

  点击右下角的网络连接图标,右键点击你刚才设置的连接,然后点击属性。

  切换到安全选项卡。

  ***类型选择“使用IPsec的第2层隧道协议(L2TP/IPSec)”。

  然后点击旁边的高级设置,选择第一个选项,并且输入你得到的密钥,确定。

  剩下的选项按照设置即可。

  点击网络连接,点击你刚才设置的***连接,点击连接,即可连接上***。

  4

  如果L2TP不能连接,那么新建一个文本文档,将输入以下内容,并将后缀改为reg,运行后重启即可。

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 华三930路由器可以做l2tp服务端吗

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情