华为防火墙L2TP VPN的一些配置和注意事项

最近公司需要配置VPN,而用SSL VPN面临授权不够的问题,为了方便大家使用,就选择了L2TP VPN的方式。但在实际模拟操作的过程中,出现了一些疑点,现记录下来。

一、拓扑

拓扑是模拟公司总部网络,其中有台单独的设备作为VPN的认证网关,即图中的VPN,是旁挂核心交换机的组网方式。

二、前提

出口防火墙上,要做好映射。也就是要将内网中的VPN设备IP(192.168.10.10)映射到公网上,让公网能够访问。此处就是在FW设备上做了一个nat server 0 global 112.54.82.160 inside 192.168.10.10。

总部内网要通,路由要全,出口要有NAT。分支和总部的两个内网不能通(192.168.218.186是不能Ping通192.168.10.0和192.168.200.0网段的)。

三、配置L2TP VPN

sy

interface Virtual-Template1                   #新建一个虚拟接口 Virtual-Template1#

authentication-mode chap pap           #认证模式用chap,如果对方不支持chap,则用pap#
  alias Virtual-Template1                        #忽略#
  ip address 1.1.1.1 255.255.255.0          #给接口一个IP,此IP不能和其他冲突,随便一个即可#
  remote address pool 0                         #调用给拨入设备分配的地址池。地址池的定义在AAA内# aaa

ip pool 0 12.12.12.10 12.12.12.100     #定义地址池从12网段的10开始,到100结束#

local-user vpn password ciper vpntest!123

local-user vpn service-type ppp         #配置用户名和密码,不多说了#

l2tp-group 2                                          #配置l2tp组2#

undo tunnel authentication               #如果用电脑自带的VPN拨号,电脑是无法起tunnel认证的

#所以此处关闭tunnel的认证#

allow l2tp virtual-template 1              #不多说了,l2tp的配置,关于后面的参数,官方配置文档上

#有解释#

l2tp enable                                             #这条命令是开启L2TP功能的,千万不要忘了#

四、几个注意事项:

1、l2tp分配给客户的地址池pool里的地址用不用和Virtual-Template1的IP地址在一个网段上?

不用必须一致。这两个地址都可以随便定义,但最好不要跟内网地址段相同。如果和内网地址段相同,则需要在VPN上开启虚拟转发功能(自行查资料)。建议定义一个很奇怪的地址段。

2、l2tp分配给客户的地址,没有网关啊,怎么和内网通信?

没网关不要紧。但总部所有网段都要有到12.12.12.0这个网段的路由。不然客户端是不能访问到相应的内网地址的。比如此图Core-SW上就有ip route-static 12.12.12.0 255.255.255.0 192.168.10.10

3、l2tp vpn设备必须要旁挂么?

不是的。VPN组网方式一般采用直连,在出口路由或出口防火墙上配置。此处我只是模拟一种出口设备不支持VPN而且网络已经不能变动的情况,采用旁挂比较灵活。

4、防火墙的策略要开。

此处由于没用路由器,用防火墙代替的路由器,所以防火墙策略我全开了,只是模拟。实际组网要根据实际情况来做,但一定要记得,把该开的策略要开,接口要放在相应的安全区域内。尤其是Virtual-Template1这个接口一定要放在相应的区域并放行到这个接口的安全策略。

五、电脑端拨号配置

六、设备配置

1、VPN

<VPN>dis cur
15:15:51  2015/11/05
#
interface Virtual-Template1
 ppp authentication-mode chap pap
 alias Virtual-Template1
 ip address 1.1.1.1 255.255.255.0
 remote address pool
#
interface GigabitEthernet0/0/0
 alias GE0/MGMT
 ip address 192.168.0.1 255.255.255.0
 dhcp select interface
 dhcp server gateway-list 192.168.0.1
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
 ip address 192.168.10.10 255.255.255.0
#
interface NULL0
 alias NULL0
#
firewall zone local
 set priority 100
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet0/0/8
 add interface Virtual-Template1
#
firewall zone untrust
 set priority 5
#
firewall zone dmz
 set priority 50
#
l2tp-group 2
 undo tunnel authentication
 allow l2tp virtual-template 1
#
aaa
 local-user vpn password cipher %$%$PjwKIZGx.Z-E}F2ceB+G>6-$%$%$
 local-user vpn service-type ppp
 local-user admin password cipher %$%$OMBCN93/(W;iZ:J&‘8*F>MD;%$%$
 local-user admin service-type web terminal telnet
 local-user admin level 15
 ip pool 0 12.12.12.1 12.12.12.100
 #
 authentication-scheme default
 #
 authorization-scheme default
 #
 accounting-scheme default
 #
 domain default
 #
#
nqa-jitter tag-version 1

#
 ip route-static 0.0.0.0 0.0.0.0 192.168.10.1
#
 banner enable
#
user-interface con 0
 authentication-mode none
user-interface vty 0 4
 authentication-mode none
 protocol inbound all
#
 slb
#
right-manager server-group
#
 sysname VPN
#
 l2tp enable
 l2tp domain suffix-separator @
#
 firewall packet-filter default permit interzone local trust direction inbound
 firewall packet-filter default permit interzone local trust direction outbound
 firewall packet-filter default permit interzone local untrust direction inbound
 firewall packet-filter default permit interzone local untrust direction outbound
 firewall packet-filter default permit interzone local dmz direction inbound
 firewall packet-filter default permit interzone local dmz direction outbound
 firewall packet-filter default permit interzone trust untrust direction inbound
 firewall packet-filter default permit interzone trust untrust direction outbound
 firewall packet-filter default permit interzone trust dmz direction inbound
 firewall packet-filter default permit interzone trust dmz direction outbound
 firewall packet-filter default permit interzone dmz untrust direction inbound
 firewall packet-filter default permit interzone dmz untrust direction outbound
#
 ip df-unreachables enable
#
 firewall ipv6 session link-state check
 firewall ipv6 statistic system enable
#
 dns resolve
#
 firewall statistic system enable
#
 pki ocsp response cache refresh interval 0
 pki ocsp response cache number 0
#
 undo dns proxy
#
 license-server domain lic.huawei.com
#
 web-manager enable
#
return

2、Core-SW

<Core>dis cur
#
sysname Core
#
vlan batch 10
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password simple admin
 local-user admin service-type http
#
interface Vlanif1
 ip address 192.168.200.2 255.255.255.0
#
interface Vlanif10
 ip address 192.168.10.1 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type access
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
#
interface GigabitEthernet0/0/9
#
interface GigabitEthernet0/0/10
#
interface GigabitEthernet0/0/11
#
interface GigabitEthernet0/0/12
#
interface GigabitEthernet0/0/13
#
interface GigabitEthernet0/0/14
#
interface GigabitEthernet0/0/15
#
interface GigabitEthernet0/0/16
#
interface GigabitEthernet0/0/17
#
interface GigabitEthernet0/0/18
#
interface GigabitEthernet0/0/19
#
interface GigabitEthernet0/0/20
#
interface GigabitEthernet0/0/21
#
interface GigabitEthernet0/0/22
#
interface GigabitEthernet0/0/23
#
interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.200.1
ip route-static 12.12.12.0 255.255.255.0 192.168.10.10
#
user-interface con 0
user-interface vty 0 4
#
return

3、FW
<FW>dis cur
15:18:30  2015/11/05
#
interface GigabitEthernet0/0/0
 alias GE0/MGMT
 ip address 112.54.82.162 255.255.255.0
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
 ip address 192.168.200.1 255.255.255.0
#
interface NULL0
 alias NULL0
#
firewall zone local
 set priority 100
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/8
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/0
#
firewall zone dmz
 set priority 50
#
aaa
 local-user admin password cipher %$%$`J+vB;%!Y=ZqM.LCB!"Z>d[R%$%$
 local-user admin service-type web terminal telnet
 local-user admin level 15
 authentication-scheme default
 #
 authorization-scheme default
 #
 accounting-scheme default
 #
 domain default
 #
#
nqa-jitter tag-version 1

#
 ip route-static 0.0.0.0 0.0.0.0 112.54.82.161
 ip route-static 1.1.1.0 255.255.255.0 192.168.200.2
 ip route-static 12.12.12.0 255.255.255.0 192.168.200.2
 ip route-static 192.168.10.0 255.255.255.0 192.168.200.2
#
 banner enable
#
user-interface con 0
 authentication-mode none
user-interface vty 0 4
 authentication-mode none
 protocol inbound all
#
 slb
#
right-manager server-group
#
 sysname FW
#
 l2tp domain suffix-separator @
#
 firewall packet-filter default permit interzone local trust direction inbound
 firewall packet-filter default permit interzone local trust direction outbound
 firewall packet-filter default permit interzone local untrust direction inbound
 firewall packet-filter default permit interzone local untrust direction outbound
 firewall packet-filter default permit interzone local dmz direction inbound
 firewall packet-filter default permit interzone local dmz direction outbound
 firewall packet-filter default permit interzone trust untrust direction inbound
 firewall packet-filter default permit interzone trust untrust direction outbound
 firewall packet-filter default permit interzone trust dmz direction inbound
 firewall packet-filter default permit interzone trust dmz direction outbound
 firewall packet-filter default permit interzone dmz untrust direction inbound
 firewall packet-filter default permit interzone dmz untrust direction outbound
#
 nat server 0 global 112.54.82.160 inside 192.168.10.10
#
 ip df-unreachables enable
#
 firewall ipv6 session link-state check
 firewall ipv6 statistic system enable
#
 dns resolve
#
 firewall statistic system enable
#
 pki ocsp response cache refresh interval 0
 pki ocsp response cache number 0
#
 undo dns proxy
#
 license-server domain lic.huawei.com
#
 web-manager enable
#
nat-policy interzone trust untrust outbound
 policy 1
  action source-nat
  easy-ip GigabitEthernet0/0/0

policy 2
#
return

4、分支机构的出口路由配置

[Router]dis cur
15:19:54  2015/11/05
#
stp region-configuration
 region-name 103d6415909d
 active region-configuration
#
interface GigabitEthernet0/0/0
 alias GE0/MGMT
#
interface GigabitEthernet0/0/1
 ip address 10.10.10.2 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip address 192.168.218.222 255.255.255.0
#
interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
#
interface Gigabi
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
#
interface NULL0
 alias NULL0
#
firewall zone local
 set priority 100
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/2
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet0/0/1
#
firewall zone dmz
 set priority 50
#
aaa
 local-user admin password cipher %$%$y[x_X1F#m1*kz][email protected]‘>[email protected]%$%$
 local-user admin service-type web terminal telnet
 local-user admin level 15
 authentication-scheme default
 #
 authorization-scheme default
 #
 accounting-scheme default
 #
 domain default
 #
#
nqa-jitter tag-version 1

#
 ip route-static 0.0.0.0 0.0.0.0 112.54.82.162
 ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
#
 banner enable
#
user-interface con 0
 authentication-mode none
user-interface vty 0 4
 authentication-mode none
 protocol inbound all
#
 slb
#
right-manager server-group
#
 sysname Router
#
 l2tp domain suffix-separator @
#
 firewall packet-filter default permit interzone local trust direction inbound
 firewall packet-filter default permit interzone local trust direction outbound
 firewall packet-filter default permit interzone local untrust direction inbound
 firewall packet-filter default permit interzone local untrust direction outbound
 firewall packet-filter default permit interzone local dmz direction inbound
 firewall packet-filter default permit interzone local dmz direction outbound
 firewall packet-filter default permit interzone trust untrust direction inbound
 firewall packet-filter default permit interzone trust untrust direction outbound
 firewall packet-filter default permit interzone trust dmz direction inbound
 firewall packet-filter default permit interzone trust dmz direction outbound
 firewall packet-filter default permit interzone dmz untrust direction inbound
 firewall packet-filter default permit interzone dmz untrust direction outbound
#
 ip df-unreachables enable
#
 firewall ipv6 session link-state check
 firewall ipv6 statistic system enable
#
 dns resolve
#
 firewall statistic system enable
#
 pki ocsp response cache refresh interval 0
 pki ocsp response cache number 0
#
 undo dns proxy
#
 license-server domain lic.huawei.com
#
 web-manager enable
#
nat-policy interzone trust untrust outbound
 policy 1
  action source-nat
  easy-ip GigabitEthernet0/0/1
#
return
5、ISP的配置就是接口,没有路由。

时间: 2024-11-05 19:04:27

华为防火墙L2TP VPN的一些配置和注意事项的相关文章

juniper防火墙 L2TP VPN配置

juniper防火墙 L2TP  VPN配置 建立L2TP_POOL 创建连接的用户: 创建用户组: 更改L2TP的连接池: 更改L2TP的隧道: 设置防火墙的策略: Win7连接:

H3C 低端防火墙L2TP VPN配置

<GTECH>sys System View: return to User View with Ctrl+Z. [GTECH]dis curr # sysname GTECH # l2tp enable    //开启L2TP功能,必选 # firewall packet-filter enable firewall packet-filter default permit # connection-limit enable connection-limit default deny con

华为USG6380 l2tp vpn

l2tp enable l2tp domain suffix-separator @ # interface Virtual-Template1 ppp authentication-mode chap ip address 192.168.100.1 255.255.255.0 remote address pool 0 service-manage ping permit    (特别注意这条命令的填写否则设备后方的业务地址不通教训) service-manage telnet permit

华为防火墙的NAT介绍及配置详解

博文大纲:一.华为防火墙NAT的六个分类:二.解决NAT转换时的环路及无效ARP:三.server-map表的作用:四.NAT对报文的处理流程:五.各种常用NAT的配置方法: 一.华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少. NAPT(Network Address and Port Translation,网络地址和端口转换):类似于Cisco的PAT转

华为防火墙实现双机热备配置详解

一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路.防火墙承载了非常多的功能,比如:安全规则.IPS.文件类型过滤.内容过滤.应用层过滤等.也正是因为防火墙如此的重要,如果防火墙一旦出现问题,所有对外通信的服务都将中断,所以企业中首先要考虑的就是防火墙的优化及高可用性. 博文大纲:一.双机热备工作原理二.VRRP协议(1)VRRP协议概述(2)VRRP的角色(3)VRRP的状态机(4)VRRP的工作原理三.VGMP协议(1)VGMP的工作原理(2)VGMP的报文封装(3)双机

Linux下L2TP VPN客户端的配置

系统环境centos6.8 1,安装xl2tpd和ppp yum -y install xl2tpd ppp 2,配置xl2tpd 编辑配置文件xl2tpd.conf vim /etc/xl2tpd/xl2tpd.conf [lac testvpn]   ;testvpn为lac的名称 name = username                                  ; l2tp帐号 lns = 192.168.1.100                            

GNS3 L2TP VPN实验详解

 先简单简述一下常用的VPN分类: 主要分为两大类: 第一类:PPTP VPN .L2TP VPN .IPSEC VPN. 第二类:SSL VPN 应用区别: PPTP VPN .L2TP VPN相对比较简单,主要用于移动用户通过VPN访问 VPN内部资源. IPSEC VPN更加安全可靠,一般应用于固定用户访问VPN内部资源 SSL VPN 主要应用在web平台上,使客户可以通过安全的方式访问内部 服务器. 下面开始L2TP VPN实验,实验环境:GNS3 主机win7 ISP: Isp(

华为防火墙及它的工作原理

一.华为防火墙产品介绍 USG2000.USG5000.USG6000和USG9500构成了华为防火墙的四大部分,分别适合于不同环境的网络需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管理)产品,USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品. 1.USG2110 USG2110为华为针对中小企业及连锁机构,SOHO企业等发布的防火墙设备,其功能涵盖防火墙,UTM.Virtual Private Network(请自行看首字母,我写简写的话就被

华为防火墙简介及其工作原理

防火墙作为一种安全设备被广泛使用于各种网络环境中,他在网络间起到了间隔作用.华为作为著名的网络设备厂商,2001年便发布了首款防火墙插卡,而后根据网络发展及技术需求,推出了一代又一代防护墙及安全系列产品.这篇博文主要介绍华为防火墙产品及其工作原理. 博文大纲:一.华为防火墙产品简介1.USG21102.USG66003.USG95004.NGFW 二.防火墙的工作原理1.防火墙的工作模式(1)路由模式(2)透明模式(3)混合模式2.华为防火墙的安全区域划分3.防火墙Inbound和Outboun