20
2010
10

Juniper防火墙新手教程19:L2TP VPN 配置

关于L2TP VPN 介绍请参考 [第二层隧道协议(Layer 2 Tunneling Protocol)L2TP VPN 介绍]

L2TP VPN 虽然没有IPsec VPN安全,但是配置简单,不像IPsec VPN那样需要专门的客户端软件或者设备,架设的成本低,同时Windows内置有L2TP VPN拨号程序,方便移动用户随时接入公司内部网络。

下面介绍下L2TP VPN 在Juniper防火墙上的配置方法。

IP地址池设置

Objects --  IP Pools --  New:输入以下内容,然后单击OK:

IP Pool Name: l2-pool
Start IP: 192.168.52.160
End IP: 192.168.52.165

如下图所示:

L2TP IP地址池设置

设置L2TP 用户

Objects  -- Users  Local --  New:输入以下内容,然后单击OK: 

User Name: franktest   (定义用户名)
Status: Enable
Number of Multiple Logins with Same ID  :这个账户运行几个用户同时在线。
L2TP User: (选择)
User Password: 输入密码
Confirm Password: 确认密码
L2TP User: (选择) 
L2TP/XAuth Remote Settings 中选择定义好的地址池l2-pool,输入首选DNS (L2TP/XAuth Remote Settings)。
其他设置默认

设置L2TP 用户组

我这里测试使用的单用户测试,如果使用多用户登陆L2TP VPN可以选择建立用户组。

L2TP 缺省设置

L2TP  Default Settings:输入以下内容,然后单击OK:

Default Authentication Server:local
IP Pool Name: l2-pool
PPP Authentication: ANY
DNS Primary Server IP: 8.8.8.8 (google的公共DNS)
DNS Secondary Server IP: 202.106.0.20
WINS Primary Server IP: 0.0.0.0
WINS Secondary Server IP: 0.0.0.0 
 
设置L2TP 通道

Name: l2tp (为通道起个名)
选择 Use Default Settings 
点击OK确认建立通道。

L2TP VPN策略配置

Policies  (From: Untrust, To: Trust) New:

输入以下内容,然后单击OK: 
Source Address: 
Address Book: Dial-Up VPN
Destination Address:
Address Book: Any
Service: ANY
Action: Tunnel
Tunnel L2TP: l2tp (之前定义的L2TP通道)
Position at Top:(选择)

点击“advanced”进入高级配置 

Source Translation 选择之后用户远程拨号可以访问内部网络资源,如果不选择用户则不能访问内部网络资源,但是可以通过防火墙访问其他外网资源,如果有一台国外IP的Juniper防火墙,那翻墙是非常方便的。

防火墙上的L2TP VPN 配置完毕。

在windows上设置拨号连接测试成功

Juniper防火墙上的的日志记录可以看到:

远程用户通过L2TP VPN拨号获得了地址池中一个192.168.52.160的IP地址。

如果需要拨号用户即能访问vpn对端内网也可以访问外网则需要在vpn拨号的熟悉中设置tcp/ip协议,将“在远程网络上使用默认网关”的选项去掉

 

注意:L2TP VPN虽然是VPN协议,但是传输的数据是不经过加密的,目前网上有很多免费的VPN都是采用L2TP协议,因此在使用这些免费VPN的时候一定要注意用户资料的安全,天下没有免费的午餐,谁知道这些免费的VPN是不是有什么陷阱。

更多Juniper防火墙的配置请参考:[Juniper防火墙新手教程总结]

« 上一篇下一篇 »

评论列表:

1.分秒必争  2010-6-22 11:23:04 回复该留言
错误781 ,连接须要证书
2.kk  2011-4-12 20:10:01 回复该留言
这个教程有问题!根本连不上,错误800
连用户验证的过程都没有,应该是连不上防火墙
3.kk  2011-4-12 22:36:36 回复该留言
请教如何利用对端的网络上网?即翻墙了,现时能拨通对方而且能访问对方内网资源,但ipconfig /all本机时,看到ppp的默认网关是VPN取得的IP地址,请问如何解决?
4.jimmy  2011-12-16 10:32:34 回复该留言
您好. 想請教您 這部分, 韌體版本 是哪個版本嗎?

因為看到您的L2TP log 有顯示出 User name 出來.

目前Hardware Version: 1010(0)
Firmware Version:
6.1.0r7.0 (Firewall+VPN)

不會顯示出 user name 出來...
5.荷兰网  2015-2-21 13:52:56 回复该留言
好文章,内容义正词严.

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。