山石网科Hillstone防火墙L2TP详细配置步骤（官方最新版）

1. 需求分析

• 通过L2TP ***（***不做过多介绍）实现远程终端用户访问企业内部服务器资源。

2. L2TP  配置说明

2.1 软硬件信息

硬件平台	软件版本
SG-6000-C1200W	SG-6000-M-3-5.5R8P5-v6
拨号端PC	Windows 10 专业版

2.2 组网拓扑

2.3 环境说明

• PC(Windows 10)的地址为100.0.0.9/24；
• 防火墙的外网出接口E0/1地址为120.0.0.9/24，内网接口E0/6为110.0.0.9/24；
• 内网服务器地址为110.0.0.1/24。

2.4 配置步骤

2.4.1 防火墙基本上网配置(略)

2.4.2 L2TP *** 实例配置

2.4.3 隧道接口配置

2.4.4 L2TP 地址池配置

2.4.5 创建登录用户

2.5 拨号客户端配置

2.5.1 Windows 10客户端配置

（1）控制面板->网络和共享中心->设置新的连接或网络。

（2）连接到工作区->否，创建新连接->使用我的Internet连接（***）->填写***的域名或地址和连接名,点击确定。

（3）Internet 选项->连接->L2tp 连接->设置。

（4）属性->安全->允许使用这些协议(P)勾选如下两个选项。

（5）修改注册表参数，默认 Win10 启用 IPSec 加密，需要禁用。

• 单击“开始”，单击“运行”，键入“regedit”，单击“确定”弹出注册表编辑器窗口。
• 在左侧注册表项目中逐级点击：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\Parameters
• 为 Parameters 参 数 添 加 SWORD 值 ， 单 击 Parameters 项 ， 确 定 名 称为“ProhibitIPSec”，数据类型为”REG_DWORD”、值为 “1”，然后单击“确定”。
• 在注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent中添加 DWORD 值类型“AssumeUDPEncapsulationContextOnSendRule” 、值为“2” ，点击确定，重启计算机生效。

（6）重启计算机之后，点击桌面右下角的

图标，点击L2tp *** 连接，输入账号密码，即可登录成功。

2.5.2 Windows 7 客户端配置

1、创建一个 *** 连接。

1) 在控制面板--网络和共享中心；

2) 进入网络和共享中心界面后点击“设置新的连接或网络”；

3) “选择一个连接选项”下面点击“连接到工作区”----下一步，使用我的 Internet连接(***)；

4) 输入 ***的域名或 IP 地址，输入 L2TP 的用户名和密码，点击连接。

2、调整 *** 参数。

1）在控制面板—网络和 internet 页面，点击“连接到网络”，选择*** 连接，右键选择“查看连接属性”；

2）选择“安全”属性页面，L2TP类型选择“自动”,数据加密选择“可选加密（没有加密也可以连接）”；

3）单击“确定”，保存所做的修改。

2.5.3 WinXP 客户端配置

1、创建一个 L2TP 连接。

1）在控制面板--网络和共享中心，

2）进入网络和共享中心界面后点击“设置新的连接或网络”，

3）“选择一个连接选项”下面点击“连接到工作区”----下一步，使用我的Internet 连接(L2TP)，

4）输入 L2TP 的域名或 IP 地址，输入 L2TP 的用户名和密码，点击连接

2、确认注册表参数，默认 WinXP 启用 IPSec 加密，需要禁用。

1）单击“开始”，单击“运行”，键入“regedit”，单击“确定”弹出注册表编辑器窗口。

2）在左侧注册表项目中逐级点击：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

3）为 Parameters 参数添加 SWORD 值 ，单击 Parameters 项 ，确定名称为“ProhibitIpSec”，数据类型为”REG_DWORD”、值为 “1”，然后单击“确定”，重启计算机生效。

3、调整 L2TP 参数。

1）在控制面板—网络和 internet 页面，点击“连接到网络”，选择 *** 连接，右键选择“查看连接属性”；

2）选择“安全”属性页面,数据加密选择“可选加密（没有加密也可以连接）”；

3）在“允许这些协议”选项中勾选“不加密的密码（PAP）”和“质询握手验证协（CHAP）”；

4）点击 L2TP 属性对话框的“网络”标签，在“*** 类型”下拉菜单中选择“L2TP IPSec”，勾选“此连接使用下列项目”栏内的“Internet 协议（TCP/IP）”。

5）点击“确定”，保存所做的修改。

注意：内网环境连接L2TP公网地址测试时，需要将防火墙内外网安全域调整一致，否者会导致无法成功连接L2TP。

3. 补充说明

• L2TP over IPSec配置可参考《L2TP over IPSec 配置案例_WebUI》。
• 如遇到无法成功拨入，排除客户端侧问题后，需要在防火墙L2TP服务端进行debug故障调试，可按照《StoneOS Debug(抓包)故障调试手册》进行抓包操作。

☛更多精彩且有用的干货知识（知识大脑）！