L2TP ××× 虽然没有IPsec ×××安全,但是配置简单,不像IPsec ×××那样需要专门的客户端软件或者设备,架设的成本低,同时Windows内置有L2TP ×××拨号程序,方便移动用户随时接入公司内部网络。

下面介绍下L2TP ××× 在Juniper防火墙上的配置方法。

IP地址池设置

Objects --  IP Pools --  New:输入以下内容,然后单击OK:

IP Pool Name: l2-pool
Start IP: 192.168.52.160
End IP: 192.168.52.165

如下图所示:

L2TP IP地址池设置

设置L2TP 用户

Objects  -- Users  Local --  New:输入以下内容,然后单击OK: 

User Name: franktest   (定义用户名)
Status: Enable
Number of Multiple Logins with Same ID  :这个账户运行几个用户同时在线。
L2TP User: (选择)
User Password: 输入密码
Confirm Password: 确认密码
L2TP User: (选择) 
L2TP/XAuth Remote Settings 中选择定义好的地址池l2-pool,输入首选DNS (L2TP/XAuth Remote Settings)。
其他设置默认

设置L2TP 用户组

我这里测试使用的单用户测试,如果使用多用户登陆L2TP ×××可以选择建立用户组。

L2TP 缺省设置

L2TP  Default Settings:输入以下内容,然后单击OK:

Default Authentication Server:local
IP Pool Name: l2-pool
PPP Authentication: ANY
DNS Primary Server IP: 8.8.8.8 (google的公共DNS)
DNS Secondary Server IP: 202.106.0.20
WINS Primary Server IP: 0.0.0.0
WINS Secondary Server IP: 0.0.0.0 
 
设置L2TP 通道

Name: l2tp (为通道起个名)
选择 Use Default Settings 
点击OK确认建立通道。

L2TP ×××策略配置

Policies  (From: Untrust, To: Trust) New:

输入以下内容,然后单击OK: 
Source Address: 
Address Book: Dial-Up ×××
Destination Address:
Address Book: Any
Service: ANY
Action: Tunnel
Tunnel L2TP: l2tp (之前定义的L2TP通道)
Position at Top:(选择)

点击“advanced”进入高级配置 

Source Translation 选择之后用户远程拨号可以访问内部网络资源,如果不选择用户则不能访问内部网络资源,但是可以通过防火墙访问其他外网资源,如果有一台国外IP的Juniper防火墙,那×××是非常方便的。

防火墙上的L2TP ××× 配置完毕。

在windows上设置拨号连接测试成功

Juniper防火墙上的的日志记录可以看到:

远程用户通过L2TP ×××拨号获得了地址池中一个192.168.52.160的IP地址。

如果需要拨号用户即能访问***对端内网也可以访问外网则需要在***拨号的熟悉中设置tcp/ip协议,将“在远程网络上使用默认网关”的选项去掉

 

注意:L2TP ×××虽然是×××协议,但是传输的数据是不经过加密的,目前网上有很多免费的×××都是采用L2TP协议,因此在使用这些免费×××的时候一定要注意用户资料的安全,天下没有免费的午餐,谁知道这些免费的×××是不是有什么陷阱。