目录
一、说明
L2TP over IPSEC VPN 支持pc客户端以及手机客户端进行拨号
注意:
(1)L2TP over ipsec功能模块将导致极高的系统资源占用,请谨慎使用
(2)全新NGFW用拨入l2tp over IPsec 后,只能访问内网无法访问外网
二、组网需求
如图所示,某公司内部有一台OA服务器,在外移动办公的工作人员需要通过L2TP over IPSEC VPN 拨入到公司内网来对内网服OA服务器进行访问。
三、网络拓扑
四、配置要点
1、基本上网配置
2、配置用户
3、NGFW的L2TP VPN配置
4、NGFW的IPSEC VPN配置
4、定义策略:l2tp准入策略;IPSEC VPN加密策略
5、配置客户端
五、配置步骤
步骤1、基本上网配置
配置详细过程请参照 “路由模式典型功能>>单线上网或多链路上网“配置章节。
步骤2、配置用户
1)定义用户
菜单:设置用户--设置用户--设置用户:点击“新建”
添加用户名:usera,密码 abc123
2)定义用户组
菜单:设置用户--用户组--用户组:点击“新建”
添加用户组: Android_Users,添加usera用户到该组。
步骤3、NGFW的L2TP VPN配置(仅CLI方式)
RG-WALL # config vpn l2tp
RG-WALL (l2tp) #set status enable // 开启vpn功能
RG-WALL (l2tp) #set eip 192.168.2.90 // 配置客户端分配的ip范围: 结束ip
RG-WALL (l2tp) #set sip 192.168.2.99 // 配置客户端分配的ip范围 :开始ip
RG-WALL (l2tp) #set usrgrp Android_Users // 调用VPN用户组
RG-WALL (l2tp) #end
说明: vpn用户所分配的地址范围可以是内网地址的一段地址空间,也可以是独立的网段。
步骤4、配置IPsec
(1)创建阶段1 (可通过web界面及CLI命令行配置)
虚拟专网--IPsec--自动交换秘钥(IKE)--创建阶段1
名称:androidvpn
远程网关:选择“连接用户”
本地接口:选择出口“wan1”
模式:选择“主模式”
认证方式:选择“预共享秘钥”
预共享秘钥:输入秘钥“abc123”
对等体选项:选择“接受任何对等体ID”
启动IPSEC接口模式:默认配置
阶段1交互方案:配置三组加密认证算法“aes256 md5” “3des sha1” “aes192 sha1”(默认为两组,通过
增加)
密钥周期:默认
扩展身份认证:默认
对等体状态监测:默认
上述web界面配置,也可在CLI命令行下配置,命令如下
RG-WALL # config vpn ipsec phase1
RG-WALL (phase1) # edit AndroidVPN
new entry 'AndroidVPN' added
RG-WALL (AndroidVPN) # set type dynamic
RG-WALL (AndroidVPN) # set interface wan1
RG-WALL (AndroidVPN) # set mode main
RG-WALL (AndroidVPN) # set psksecret abc123
RG-WALL (AndroidVPN) # set proposal aes256-md5 3des-sha1 aes192-sha1
RG-WALL (AndroidVPN) # set dhgrp 2
RG-WALL (AndroidVPN) # set nattraversal enable
RG-WALL (AndroidVPN) # set dpd enable
RG-WALL (AndroidVPN) # end
(2)配置阶段2
虚拟专网--ipsec--选中AndroidVPN,创建阶段2
名称:AndroidVPN2
阶段2交互方案:设置三组加密认证算法“aes256 md5” “3des sha1” “aes192 sha1”(默认为两组,通过
增加)
dh组:默认
秘钥周期:设置为3600秒
其他:默认
策略配置如下:
源接口/区:wan1,外网口
源地址:选择前面建立的pptppool
目的接口/区:选择internal
目的地址:192.168.1.10/32
服务:ALL
其他默认即可
阶段二中需要将封装模式设定为transport-mode,此配置需要在命令行配置。
RG-WALL # config vpn ipsec phase2
RG-WALL (phase2) #edit AndroidVPN2
RG-WALL (AndroidVPN2) #set encapsulation transport-mode 需要在命令行下配置
RG-WALL (AndroidVPN2) #end
以上WEB配置,也可在命令行下完成,命令如下
RG-WALL # config vpn ipsec phase2
RG-WALL (phase2) #edit AndroidVPN2
RG-WALL (AndroidVPN2) # set phase1name AndroidVPN
RG-WALL (AndroidVPN2) # set proposal aes256-md5 3des-sha1 aes192-sha1
RG-WALL (AndroidVPN2) # set replay enable
RG-WALL (AndroidVPN2) # set pfs disable
RG-WALL (AndroidVPN2) # set keylifeseconds 3600
RG-WALL (AndroidVPN2) # set encapsulation transport-mode 需要在命令行下配置
RG-WALL (AndroidVPN2) # end
注意:对于如果存在在同一局域网有多台手机、或者电脑通过同一账号登录,则需在第二阶段开启如下命令set l2tp enable:
RG-WALL # config vpn ipsec phase2
RG-WALL (phase2) #edit AndroidVPN2
RG-WALL (AndroidVPN2) # set l2tp enable
RG-WALL (AndroidVPN2) # end
六、配置防火墙策略
配置地址池
(1)配置拨号用户地址
(2)配置可访问的内部服务器地址
创建防火墙策略
(1)创建L2TP准入策略
防火墙--策略--新建
源接口:选择允许L2tp拨号的接口,这里为wan1口
源地址:l2tp拨号成功后,终端获取到的地址
目的接口:l2tp拨号成功后,可访问的目的接口,这里为internal口
目的地址:l2tp拨号成功后,可访问的目标地址,这里为地址池server
时间表:always
服务:all
动作:允许
(2)创建IPSEC加密策略
关键配置:目标接口需选择需进行IPSEC加密的接口,动作选择“ipsec”
点击“防火墙”--“策略”--新建:
源端口:选择internal
源地址选择:server
目的接口:选择wan1
目的地址:选择Android_Range
时间表:always
服务:ALL
动作:IPSEC
VPN通道:AndroidVPN
选择:允许流入和允许流出