H3C 低端防火墙L2TP VPN配置
System View: return to User View with Ctrl+Z.
[GTECH]dis curr
#
sysname GTECH
#
l2tp enable //开启L2TP功能,必选
#
firewall packet-filter enable
firewall packet-filter default permit
#
connection-limit enable
connection-limit default deny
connection-limit default amount upper-limit 50 lower-limit 20
#
firewall statistic system enable
#
radius scheme system
server-type extended
#
domain system
ip pool 1 192.168.10.2 192.168.10.50 //定义vpn客户端拨入后获取的IP地址池
#
local-user admin
password cipher DI:(ZS,:-MYG897"VPaR91!!
service-type telnet
level 3
local-user aaa //添加用户名和密码,使能vpn客户端拨号验证
password simple [email=gtech8@*%786]gtech8@*%786[/email]
service-type ppp
local-user bbb
password simple lqyniqjh
service-type ppp
#
acl number 2000
rule 3 permit source 196.168.6.0 0.0.0.255
rule 4 deny
#
interface Virtual-Template0 //定义一虚拟接口板
ppp authentication-mode pap //验证方式,可以选CHAP
l2tp-auto-client enable //
ip address 192.168.10.1 255.255.255.0 //需设置IP地址
undo ip fast-forwarding
remote address pool 1 //该VT使用的地址池
#
interface Ethernet1/0
description ‘inside interface‘
tcp mss 1024
ip address 192.168.6.1 255.255.255.0
#
interface Ethernet2/0
speed 10
duplex full
ip address 219.x.y.205 255.255.255.224
nat outbound 2000
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust
add interface Ethernet1/0
add interface Virtual-Template0
set priority 85
#
firewall zone untrust
add interface Ethernet2/0
set priority 5
#
firewall zone DMZ
set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
l2tp-group 1 //定义一个L2TP组 当组号为1时,任何名称的设备都能发起隧道请求
undo tunnel authentication //无需隧道验证,可选
mandatory-lcp //强制LCP重新协商,当LNS端(防火墙端)也要进行验证与计费时可能会用到,需要强制LNS与用户间重新进行LCP协商,此时将忽略NAS侧的代理验证信息
allow l2tp virtual-template 0 //设置接收呼叫的虚拟模板接口,通道(VPN隧道)对端名称和域名
#
FTP server enable
#
dvpn service enable
#
undo dhcp enable
#
ip route-static 0.0.0.0 0.0.0.0 219.x.y.193 preference 60
ip route-static 192.168.6.0 255.255.255.0 Virtual-Template 0 preference 60 //定义一条静态路由,用于vpn客户端登陆后访问防火墙后面的PC机器
#
firewall defend ip-spoofing
firewall defend land
firewall defend smurf
firewall defend fraggle
firewall defend winnuke
firewall defend icmp-redirect
firewall defend icmp-unreachable
firewall defend source-route
firewall defend route-record
firewall defend tracert
firewall defend ping-of-death
firewall defend tcp-flag
firewall defend ip-fragment
firewall defend large-icmp
firewall defend teardrop
firewall defend ip-sweep
firewall defend port-scan
firewall defend arp-spoofing
firewall defend arp-reverse-query
firewall defend arp-flood
firewall defend frag-flood
firewall defend syn-flood enable
firewall defend udp-flood enable
firewall defend icmp-flood enable
#
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
#
return
[GTECH]
在客户端VPN连接后,在CMD下,route -print 如果显示的路由表中没有0.0.0.0 0.0.0.0 mask 192.168.10.2 这一条路由,请用以下命令添加
route -p add 0.0.0.0 0.0.0.0 mask 192.168.10.2
然后就可以ping通防火墙后的PC的IP了,在这里,我从客户端到服务器用FTP和3389连接来验证的,无误。
1. 配置L2TP 拨号连接:
1) 进入Windows XP 的“开始” “设置” “控制面板”,选择“切换到分类视图”。
2) 选择“网络和Internet 连接”。
3) 选择“建立一个您的工作位置的网络连接”。
4) 选择“虚拟专用网络连接”,单击“下一步”。
5) 为连接输入一个名字为“l2tp”,单击“下一步”。
6) 选择“不拨此初始连接”,单击“下一步”。
7) 输入准备连接的L2TP 服务器的IP 地址“202.101.35.218”,单击“下一步”。
8) 单击“完成”。
9) 双击“l2tp”连接,在l2tp 连接窗口,单击“属性”。
10) 选择“安全”属性页,选择“高级(自定义设置)”,单击“设置”。
11) 在“数据加密”中选择“可选加密(没有加密也可以连接)”。
12) 在“允许这些协议”选中“不加密的密码(PAP)”、“质询握手身份验证协议
(CHAP)”、“Microsoft CHAP(MS-CHAP)”,单击“确定”。
13) 选择“网络”属性页面,在“VPN 类型”选择“L2TP IPSec VPN”。
14) 确认“Internet 协议(TCP/IP)”被选中。
15) 确认“NWLink IPX/SPX/NetBIOS Compatible Transport Prococol”、“微软网络文件
和打印共享”、“微软网络客户”协议没有被选中。
16) 单击“确定”,保存所做的修改。
2. 修改注册表
缺省的Windows XP L2TP 传输策略不允许L2TP 传输不使用IPSec 加密。可以通过修改
Windows XP 注册表来禁用缺省的行为:
手工修改:
1) 进入Windows XP 的“开始” “运行”里面输入“Regedt32”,打开“注册表编辑
器”,定位“HKEY_Local_Machine \ System \ CurrentControl Set \ Services \ RasMan \
Parameters ”主键。
2) 为该主键添加以下键值:
键值:ProhibitIpSec
数据类型:reg_dword
值:1
3)保存所做的修改,重新启动电脑以使改动生效。
提示:必须添加“ProhibitIpSec”注册表键值到每个要使用L2TP 的运行Windows XP 操
作系统的电脑。
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。