(注意:当本地局域网网段与服务器端网段相同时,将会遇到路由问题,导致vpn无法使用,一般本地局域网网段为192.168.0.0,所以机房建设时不建议使用该网段)
网络需求:
在外移动用户直接与LNS建立L2TP隧道,通过L2TP隧道访问机房环境。
广州机房网段如下:(基础网段未包含)
生产网关01:192.168.10.1
生产网关02:192.168.0.1
生产网关03:10.0.200.1
测试网关:172.16.8.1
防火墙接口:
reth2: 连接内部服务器,所属域untrust
测试组vpn,划分的ip网段是:10.100.0.10 -----10.100.0.250
生产组vpn,划分的ip网段是:10.100.1.10 ——10.100.1.250
因为这个V7防火墙,无法在域下创建地址池,但是可以在域下赋予地址范围池的属性
ip pool 1 10.100.0.10 10.100.0.250
ip pool 2 10.100.1.10 10.100.1.250
#
domain system
authorization-attribute ip-pool 1
authentication ppp local
创建L2TP vpn登入的账号和密码,用户和密码都是user 服务类型是
ppp
local-user user class network
password simple user
service-type ppp
配置该用户地址池:
authorization-attribute ip-pool 1
开启L2TP功能,并且配置L2TP用户组,因为是pc拨入,使用本端和对端的隧道名都可以不写,建议取消隧道验证,L2TP用户组一定要为1,因为这样的话就可以不用检查拨入电脑的用户名了,
l2tp enable
#
l2tp-group 1 mode lns
allow l2tp virtual-template 1(绑定虚拟接口)
undo tunnel authentication
创建L2TP 的虚拟接口,可以使用chap验证或者pap验证,认证域不指定,也不需要绑定下发的地址,就是绑定的话也是没有用的,因为是域下被赋予的地址池优先级高于在 Virtual-Template1绑定的地址池,
interface Virtual-Template1
ppp authentication-mode chap
ip address 10.100.0.1 255.255.255.0
interface Virtual-Template3
ppp authentication-mode chap
ip address 10.100.1.1 255.255.255.0
V7防火墙是有安全域概念的, virtual-template 1接口是要加入安全域的,而且服务器网段的域和virtual-template 1接口所属域是要放通的,默认域间的互访都是放通的,当添加一个规则后,其他默认都是禁止。
security-zone name vpn
import interface Virtual-Template1
import interface Virtual-Template3
#
放通需要流转的域 vpn <—> trust ,trust 包含reth2
建议在web上做域的详细配置
用户管理:用户->本地用户
防火墙:安全策略-> 安全域+域间策略(感兴趣域)
网络:IP
资源:对象组-> ipv4
命令行添加用户方式:
local-user lychee-ljl class network --用户
password simple xxxx --密码
service-type ppp
authorization-attribute user-role network-operator
authorization-attribute ip-pool 1
网友评论