【经典】PPTP和L2TPVPN配置0713 艾泰科技在线认证工程师培训.ppt

,PPTP和L2TP VPN配置（本培训材料以ReOS v10版本为基准）,日程,1.L2TP客户端配置 2.PPTP客户端配置 3.L2TP/PPTP服务端配置 4.移动用户PPTP VPN拨号 5.移动用户L2TP VPN拨号 6.PPTP/L2TP VPN案例 7.PPTP/L2TP VPN和NAT 8.PPTP/L2TP VPN和arp代理 9.移动用户VPN其他,组建VPN网络需要考量的参数,VPN并发节点数量分部的带宽要满足VPN的应用总部的带宽要满足最大并发：VPN隧道所需的带宽路由器的VPN处理能力要满足VPN所需求的最大带宽根据用户应用特点选用合适的VPN协议用户环境是否有特别的网络设备、特别路由设定特别的网络应用其他需求,PPTP/L2TP基于路由的VPN,中心必须公网IP地址，NAT不能穿透的可能性比较小方便设置路由，一个VPN星型网络中通过路由设定可以实现任意两点间的互通数据传输效率高仅ppp层的身份验证没有数据包检验机制CLI/WebUI数据在隧道中透明传输，数据经过UDP封装，数据本身没有加密,INTERNET,VPN客户端,公司内部服务器,VPN 服务器,公司总部,数据库,移动用户,L2TP/PPTP Client,技术部,财务部,销售部,管理部,128K,64K,128K,128K,PPTP/L2TP VPN典型网络,Internet（固定IP/PPPoE）VPN协议客户端账号/密码客户端子网VPN地址池,Internet（任何形式）VPN协议VPN服务器IP地址（域名）VPN服务器子网VPN账号/密码,Internet（任何形式）VPN协议VPN服务器IP地址（域名）VPN账号/密码,HiPER AVPN Server,HiPER BVPN Cilent,192.168.1.1/24,100.100.100.1/24,100.100.100.2/24,192.168.2.1/24,LAN to LAN账号/密码：vpn_lan/test移动用户帐号/密码：vpn_m/testVPN地址池10.10.10.10-10.10.10.19,本培训材料试验环境,1.L2TP客户端配置（web页面）,在VPN配置PPTP和L2TP配置界面：,new connection/4 set connection/4 enabled Yesset connection/4 dial first 003set connection/4 encaps send name vpn_lanset connection/4 encaps send pw CRYPT1_MTIzNA=set connection/4 encaps mru 1400set connection/4 encaps lqm active Noset connection/4 ip address remoteip 192.168.1.0set connection/4 ip address remotemask 255.255.255.0set connection/4 line calltype AO/Switchedset connection/4 line dialoutSpoof Yesset connection/4 tunnel type clientset connection/4 tunnel protocol L2TPset connection/4 tunnel serveraddress 100.100.100.1set ip vpn tunnelMode ANYset ip vpn l2tpMode Bothset ip vpn pptpmode Both,*/新建连接*/启用配置*/配置连接首拨号码*/配置连接用户名*/配置连接密码*/配置VPN连接的最大接受单元*/关闭lqm线路检测*/配置VPN远端子网网络号*/配置VPN远端掩码*/配置VPN连接为自动拨号*/本次连接成功后，释放上次连接的虚端口*/配置路由为VPN客户端*/使用L2TP协议*/配置VPN Server的IP地址或者域名*/配置VPN隧道协议为任何*/配置路由同时为L2TP客户端和服务器模式*/配置路由同时为PPTP客户端和服务器模式,L2TP客户端配置（命令行）,new ip nat static/l2tp set ip nat static/l2tp enabled Yesset ip nat static/l2tp protocol UDPset ip nat static/l2tp dstPort 1701set ip nat static/l2tp localPort 1701set ip nat static/l2tp localAddress 192.168.2.1set ip nat static/l2tp binding ETHbindset ip nat static/l2tp autoLocalIp Yesnew ip nat static/pptp set ip nat static/pptp enabled Yesset ip nat static/pptp dstPort 1723set ip nat static/pptp localPort 1723set ip nat static/pptp localAddress 192.168.2.1set ip nat static/pptp binding ETHbindset ip nat static/pptp autoLocalIp Yes,*/新建l2tp静态映射*/启用配置*/协议UDP*/外部端口1701*/内部端口1701*/映射到路由器LAN口IP上*/将静态映射绑定到默认线路上*/配置此条静态映射终结在路由器lan口*/新建pptp静态映射*/启用配置*/外部端口1723*/内部端口1723*/映射到路由器LAN口IP上*/将静态映射绑定到默认线路上*/配置此条静态映射终结在路由器lan口,L2TP客户端配置（命令行）,注意：1、协议不标注，默认为TCP。2、只要配置PPTP或L2TP，2个端口都会被自动映射。,2.PPTP客户端配置（Web页面）,在VPN配置PPTP和L2TP配置界面：,new connection/4 set connection/4 enabled Yesset connection/4 dial first 003set connection/4 encaps send name vpn_lanset connection/4 encaps send pw CRYPT1_MTIzNA=set connection/4 encaps mru 1400set connection/4 encaps lqm active Noset connection/4 ip address remoteip 192.168.1.0set connection/4 ip address remotemask 255.255.255.0set connection/4 line calltype AO/Switchedset connection/4 line dialoutSpoof Yesset connection/4 tunnel type clientset connection/4 tunnel protocol PPTPset connection/4 tunnel serveraddress 100.100.100.1set ip vpn tunnelMode ANYset ip vpn l2tpMode Bothset ip vpn pptpmode Both,*/新建连接*/启用配置*/配置连接首拨号码*/配置连接用户名*/配置连接密码*/配置VPN连接的最大接受单元*/关闭lqm线路检测*/配置VPN远端子网网络号*/配置VPN远端掩码*/配置VPN连接为自动拨号*/本次连接成功后，释放上次连接的虚端口*/配置路由为VPN客户端*/使用PPTP协议*/配置VPN Server的IP地址或者域名*/配置VPN隧道协议为任何*/配置路由同时为L2TP客户端和服务器模式*/配置路由同时为PPTP客户端和服务器模式,PPTP客户端配置（命令行）,new ip nat static/l2tp set ip nat static/l2tp enabled Yesset ip nat static/l2tp protocol UDPset ip nat static/l2tp dstPort 1701set ip nat static/l2tp localPort 1701set ip nat static/l2tp localAddress 192.168.2.1set ip nat static/l2tp binding ETHbindset ip nat static/l2tp autoLocalIp Yesnew ip nat static/pptp set ip nat static/pptp enabled Yesset ip nat static/pptp dstPort 1723set ip nat static/pptp localPort 1723set ip nat static/pptp localAddress 192.168.2.1set ip nat static/pptp binding ETHbindset ip nat static/pptp autoLocalIp Yes,*/新建l2tp静态映射*/启用配置*/协议UDP*/外部端口1701*/内部端口1701*/映射到路由器LAN口IP上*/将静态映射绑定到默认线路上*/配置此条静态映射终结在路由器lan口*/新建pptp静态映射*/启用配置*/外部端口1723*/内部端口1723*/映射到路由器LAN口IP上*/将静态映射绑定到默认线路上*/配置此条静态映射终结在路由器lan口,注意：1、协议不标注，默认为TCP。2、只要配置PPTP或L2TP，2个端口都会被自动映射。,PPTP客户端配置（命令行）,3.PPTP/L2TP服务端配置（Web页面）,在VPN配置PPTP和L2TP配置界面：,new connection/vpn_lan set connection/vpn_lan enabled Yesset connection/vpn_lan encaps send name 6set connection/vpn_lan encaps recv pw CRYPT1_dGVzdA=set connection/vpn_lan ip address remoteip 192.168.2.0set connection/vpn_lan ip address remotemask 255.255.255.0set connection/vpn_lan tunnel type serverset ip pool pool1start 10.10.10.10set ip pool pool1count 10set ip vpn tunnelMode ANYset ip vpn l2tpMode Bothset ip vpn pptpmode Both,PPTP服务端配置(命令行）,*/新建连接（连接名等于呼入的用户名）*/启用配置*/配置连接验证密码*/配置VPN远端子网网络号*/配置VPN远端掩码*/配置连接为VPN服务端*/配置VPN地址池起始地址（不能和VPN两端IP段相同）*/配置地址池地址数量*/配置VPN隧道协议为任何*/配置路由同时为L2TP客户端和服务器模式*/配置路由同时为PPTP客户端和服务器模式,new ip nat static/l2tp set ip nat static/l2tp enabled Yesset ip nat static/l2tp protocol UDPset ip nat static/l2tp dstPort 1701set ip nat static/l2tp localPort 1701set ip nat static/l2tp localAddress 192.168.2.1set ip nat static/l2tp binding ETHbindset ip nat static/l2tp autoLocalIp Yesnew ip nat static/pptp set ip nat static/pptp enabled Yesset ip nat static/pptp dstPort 1723set ip nat static/pptp localPort 1723set ip nat static/pptp localAddress 192.168.2.1set ip nat static/pptp binding ETHbindset ip nat static/pptp autoLocalIp Yes,*/新建l2tp静态映射*/启用配置*/协议UDP*/外部端口1701*/内部端口1701*/映射到路由器LAN口IP上*/将静态映射绑定到默认线路上*/配置此条静态映射终结在路由器lan口*/新建pptp静态映射*/启用配置*/外部端口1723*/内部端口1723*/映射到路由器LAN口IP上*/将静态映射绑定到默认线路上*/配置此条静态映射终结在路由器lan口,注意：1、协议不标注，默认为TCP。2、只要配置PPTP或L2TP，2个端口都会被自动映射。,PPTP服务端配置(命令行）,4.移动用户PPTP VPN拨号,配置windows2000成为PPTP 客户端配置windowsXP成为PPTP 客户端配置WIN7成为PPTP 客户端,配置步骤：http:/,5.移动用户L2TP VPN拨号,配置windows2000成为L2TP 客户端配置windowsXP成为L2TP 客户端配置WIN7成为L2TP 客户端,配置步骤：http:/,移动用户在建立PPTP/L2TP隧道连接之前，在DOS窗口执行route print命令可以看到默认路由如下图 所示：Active Routes:Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 200.200.200.254 200.200.200.175 1 移动用户在PPTP/L2TP隧道连接成功之后，在DOS窗口执行route print命令看到默认路由如下图所示：Active Routes:Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 10.10.10.11 10.10.10.11 1 0.0.0.0 0.0.0.0 200.200.200.254 200.200.200.175 2 此时，默认路由被指向PPTP/L2TP服务器所分配的虚接口IP地址。,移动用户PPTP VPN拨号前后路由表对比,PPTP/L2TP服务端配置,在VPN配置PPTP和L2TP配置界面：,配置方法一：路由器B和C的VPN连接的远端内网IP地址修改成192.168.0.0，远端内网网络掩码修改成255.255.0.0。配置方法二：路由器B添加到路由器C的静态路由 路由名：routeC 目的网络：192.168.3.0 子网掩码：255.255.255.0 绑定：VPN连接名,6.PPTP/L2TP VPN案例,HiPER A,HiPER B,HiPER C,VPN server:192.168.1.0/24,VPN client:192.168.2.0/24,VPN client:192.168.3.0/24,路由器C添加到路由器B的静态路由 路由名：routeB 目的网络：192.168.2.0 子网掩码：255.255.255.0 绑定：VPN连接名,VPN连接成功后，HiPER B和HiPER A内网互通，HiPER C和HiPER A内网互通。现在目的想使HiPER C和HiPER B内网互通（通过两条隧道）。,7.PPTP/L2TP VPN和NAT,WebUIVPN配置PPTP和L2TP拨出（客户端）高级选项启用NAT,注意：在PPTP/L2TP 隧道上启用了NAT，PPTP/L2TP 隧道连通之后，只能实现PTP/L2TP客户端到PPTP/L2TP服务器的单向访问，从PPTP/L2TP服务器到PPTP/L2TP客户端的访问将被拒绝。,路由器作为PPTP/L2TP服务器使用时，一般都有两种用户帐号：一种是移动用户帐号，用来让个人用户连接到PPTP/L2TP服务器，这种情况下PPTP/L2TP 服务器中不需要配置到个人用户的路由；一种是LAN到LAN的帐号，用来实现PPTP/L2TP隧道两端局域网的相互连接，这种情况下PPTP/L2TP隧道两端的设备都要配置到对端的路由。然而在下面这些情况下，需要在PPTP/L2TP隧道连接上启用NAT：1.PTP/L2TP客户端使用移动用户的帐号连接PPTP/L2TP 服务器，实现整个局域网到PPTP/L2TP服务器端局域网的连接；2.PPTP/L2TP 隧道连通之后，需要实现PPTP/L2TP客户端到PPTP/L2TP 服务器的单向访问；3.PPTP/L2TP服务器不能配置到PPTP/L2TP客户端的路由 方法：配置HiPER成为PPTP/L2TP客户端时，在VPN连接上启用NAT。,8.PPTP/L2TP VPN和arp代理,上海局域网有两台路由器，一台作为上网的网关(192.168.1.2),一台作为连接PPTP/L2TP 隧道的路由器(192.168.1.1)，局域网的每台计算机网关都指向上网的网关，没有指向PPTP/L2TP服务器。那么虽然北京的局域网或者移动用户能够连接到PPTP/L2TP隧道，但是仍然不能通过PPTP/L2TP隧道访问上海的计算机。以下三种方法可以解决以上的问题：方法一，在上海局域网中的每台计算机中添加静态路由 分别为每台计算机添加一条访问北京远端子网（192.168.2.0/24）的路由，和一条访问移动用户的路由（假设PPTP/L2TP服务器的地址池是10.10.10.0/24），可在DOS窗口下依次输入：route add 192.168.2.0 mask 255.255.255.0 192.168.1.1 route add 10.10.10.0 mask 255.255.255.0 192.168.1.1 提示：按上述方式在计算机上添加的静态路由在计算机重启后需要重新添加，可以采取以下方法解决这个问题：如果是Windows 2000/XP的计算机可以命令route add 192.168.16.0 mask 255.255.255.0 192.168.123.1 p添加永久路由；如果是Windows 98的计算机，可以将路由route add 192.168.16.0 mask 255.255.255.0 192.168.123.1编辑成*.bat文件，添加到启动组中，每次启动中自动运行。方法二，在上网的网关上配置静态路由，目的网络为VPN客户端，下一跳指向VPN服务器的内网IP；,方法三，在PPTP/L2TP服务器上启用ARP Proxy设置PPTP/L2TP服务器地址池为VPN内网一段空闲的IP地址2)在HiPER上打开ARP Proxy 提示：在PPTP/L2TP服务器上启用ARP Proxy之后，拨入的PPTP/L2TP客户端只能是移动用户。如果想实现一个局域网通过路由器连接到PPTP/L2TP服务器，就必须在PPTP/L2TP隧道上启用NAT，但是这样只能是实现PPTP/L2TP客户端局域网到PPTP/L2TP服务器端局域网的单向访问。,WebUI基本配置端口配置LAN端口配置ARP代理：Enable,PPTP/L2TP VPN和arpproxy,9.移动用户VPN其他,方法二，在移动用户VPN服务端配置里的高级选项里配置对端虚接口IP地址，如图：,方法一，双击已经在移动用户计算机上设置好的PPTP/L2TP隧道连接名，单击“属性”，在“网络”属性页面，双击“Internet协议（TCP/IP）属性”，选中“使用下面的IP地址”，填入“10.10.10.90”（PPTP/L2TP服务器地址池以外的IP地址），那么每次移动用户通过PPTP/L2TP隧道连接到PPTP/L2TP服务器后，PPTP/L2TP服务器端的局域网用户都可以使用10.10.10.90这个IP地址来访问移动用户。,1、移动用户分配固定的IP地址 由于每次移动用户通过PPTP/L2TP隧道连接到PPTP/L2TP服务器时，都有可能被分配到不同的IP地址，因而每次PPTP/L2TP服务器端的局域网用户访问移动用户时，都要到WEB管理界面VPN配置PPTP和L2TPVPN当前状态中查看“VPN信息列表”，查询当前分配给移动用户的IP地址。为了避免这个麻烦，可以在移动用户计算机上设定固定的IP地址。,2、移动用户VPN拨入后，本地流量走本地，对端走对端 移动用户在建立PPTP/L2TP隧道连接之前，在DOS窗口执行route print命令可以看到默认路由：Active Routes:Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 200.200.200.254 200.200.200.175 1 移动用户在PPTP/L2TP隧道连接成功之后，在DOS窗口执行route print命令看到默认路由：Active Routes:Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 10.10.10.90 10.10.10.90 1 0.0.0.0 0.0.0.0 200.200.200.254 200.200.200.175 2 此时，默认路由被指向PPTP/L2TP服务器，这就意味着移动用户所有的上网请求（到PPTP/L2TP服务器端的局域网和其他网络）都将被转发到PPTP/L2TP服务器上，这样就会造成移动用户无法上网或者是PPTP/L2TP服务器端上网带宽的的浪费。,移动用户VPN其他,方法一，拨号PC 添加路由；1.双击在移动用户计算机上已经设置好的PPTP/L2TP隧道连接名，单击“属性”，在“网络”属性页面，双击“Internet协议（TCP/IP）属性”，选中“使用下面的IP地址”，填入“10.10.10.90”（PPTP/L2TP服务器地址池以外的IP地址）。2.单击“高级”，取消“在远程网络上使用默认网关”的选中，单击两次“确定”。3.单击“连接”，发起建立PPTP/L2TP隧道请求。4.PPTP/L2TP隧道连接成功后，在DOS窗口执行执行添加路由命令：route add 192.168.1.0 mask 255.255.255.0 10.10.10.90 此时，在DOS窗口执行route print命令可以看到上网的路由没有改变，而到PPTP/L2TP服务器端的局域网的请求将被转发到PPTP/L2TP隧道：Active Routes:Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 200.200.200.254 200.200.200.175 1 192.168.1.0 255.255.255.0 10.10.10.90 10.10.10.90 1 提示：为了避免每次重启后在移动用户中添加路由的麻烦，可以将静态路由存成一个*.bat文件，在PPTP/L2TP隧道连接成功后执行一下即可。,方法二，使用艾泰科技提供的VPN拨号工具。,移动用户VPN其他,全国技术支持中心：售前、售后客户服务热线：4006-120-780，热线工作时间：周一周日 9:0022:00技术支持邮箱：在线预约服务：http:/yy服务内容 或者 预约服务内容，移动用户 发送到10657109041906，联通用户发送到1065502180119艾泰论坛：http:/,