EdgeMax - VPN L2TP Server

在实际环境中,经常会遇到出差在外,或者在家办公,想访问公司某些服务器资源,或者在国内想访问国外某些资源,此时需要用到远程接入VPN,远程接入有PPTP,L2TP,OPENVPN等,此案例讲解L2TP
  案例拓扑:

此案例中使用一台ER5接入互联网,ER5下挂一台服务器,远端有一台PC机器来远程VPN接入网络,并且可以访问服务器资源;ER5 eth0地址A.A.A.Aeth1地址10.10.100.1,服务器地址10.10.100.101.
实现目的:远程PC可以VPN连接ER5,可以访问内部服务器资源,并且公网地址从ER5出去,还可以访问ER5路由器。
我们将ER5路由器当成L2TPVPN服务器来为远程拨号接入分配地址和与预享密钥
ER5配置如下:

配置路由器接口:

配置NAT
通过命令行配置L2TP VPN
配置VPN应用于eth0口,配置允许所有网段通过nat,配置nat穿越
set vpn ipsec ipsec-interfaces interface eth0
set vpn ipsec nat-networks allowed-network 0.0.0.0/0
set vpn ipsec nat-traversal enable
配置L2TP验证模式为本地验证,配置本地验证的用户名和密码
set vpn l2tp remote-access authentication local-users username ubnt password ubnt
set vpn l2tp remote-access authentication mode local
配置远程PC连接VPN后获取的IP地址和DNS
set vpn l2tp remote-access client-ip-pool start 10.10.100.10
set vpn l2tp remote-access client-ip-pool stop 10.10.100.20
set vpn l2tp remote-access dns-servers server-1 10.10.100.1
set vpn l2tp remote-access dns-servers server-2 8.8.8.8
配置L2TP的加密的方式和密钥及IKE的存活时间
set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret ubnt
set vpn l2tp remote-access ipsec-settings ike-lifetime 3600
配置L2TP本地和对端公网IP地址
set vpn l2tp remote-access outside-address A.A.A.A(公网地址)
set vpn l2tp remote-access outside-nexthop A.A.A.B
 
 
ER路由器的VPN配置已经配置好了,接下来需要对客户端进行配置
新建一个VPN连接

更改客户端VPN网卡的验证属性

在连接的时候输入配置的用户名和密码分别是ubntubnt
此时点击确定就可以连接上VPN,我们可以看到VPN网卡已经获取到10.10.100.0网段的地址

 
然后ping10.10.100.110.10.100.101都可以ping

此时如果在百度里面输入IP就可以看到公网IP地址已经更改为路由器的公网IP地址

并且PC机可以通过web方式访问路由器

  此时通过SSH方式登录到ER5上面可以查看到拨入VPN的客户端的IP地址和相关的信息