L2TP / IPsec是一種常見(jiàn)的×××類(lèi)型，它將L2TP（一種不安全的隧道協(xié)議）包含在使用IPsec傳輸模式構(gòu)建的安全通道內(nèi)。從pfSense 2.2-RELEASE開(kāi)始支持L2TP / IPsec。 本文將介紹如何配置服務(wù)器和設(shè)置客戶(hù)端。

成都創(chuàng)新互聯(lián)主營(yíng)吉首網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,App定制開(kāi)發(fā),吉首h5重慶小程序開(kāi)發(fā)搭建,吉首網(wǎng)站營(yíng)銷(xiāo)推廣歡迎吉首等地區(qū)企業(yè)咨詢(xún)

L2TP設(shè)置

配置 L2TP服務(wù)器

· 導(dǎo)航到××× > L2TP

· 選擇啟用L2TP服務(wù)器

· 選擇WAN接口

· 將Server Address （服務(wù)器地址）設(shè)置為未使用的專(zhuān)用子網(wǎng)IP，如192.168.32.1   注意:這不是公共IP地址或L2TP服務(wù)的“監(jiān)聽(tīng)”IP，它是一個(gè)本地IP地址，用作客戶(hù)端上的“網(wǎng)關(guān)”

· 將 Remote Address Range（遠(yuǎn)程地址范圍）設(shè)置為未使用的專(zhuān)用子網(wǎng)，如192.168.32.128

· 將Subnet Mask（子網(wǎng)掩碼）設(shè)置為客戶(hù)端地址范圍的適當(dāng)值，例如25

· 將Number of L2TP Users （L2TP用戶(hù)數(shù)）設(shè)置為預(yù)期的L2TP用戶(hù)的高并發(fā)數(shù)，例如8個(gè)

· 把Secret（密碼）選項(xiàng)留空

· 設(shè)置Authentication Type （認(rèn)證類(lèi)型）為CHAP

· 設(shè)置L2TP DNS服務(wù)器或留空

· 如果需要，設(shè)置RADIUS選項(xiàng)

添加 L2TP用戶(hù)

如果未使用RADIUS，請(qǐng)將L2TP用戶(hù)添加到pfSense。

· 導(dǎo)航到××× > L2TP, Users（用戶(hù)）選項(xiàng)卡

· 單擊 “+”添加新用戶(hù)

· 填寫(xiě) Username（用戶(hù)名）, Password/Confirmation（密碼和確認(rèn)密碼）

· 如果需要，在所選擇的子網(wǎng)中設(shè)置靜態(tài)IP address （IP地址）

· 單擊保存

· 根據(jù)需要重復(fù)添加更多用戶(hù)

IPsec設(shè)置

設(shè)置好L2TP服務(wù)器后，我們來(lái)進(jìn)行IPsec的設(shè)置。 以下設(shè)置已經(jīng)過(guò)測(cè)試并有效，但是其他類(lèi)似的設(shè)置也可能會(huì)起作用。

Mobile Clients Tab（移動(dòng)客戶(hù)端）

· 導(dǎo)航到××× > IPsec, Mobile Clients（移動(dòng)客戶(hù)端）選項(xiàng)卡

· Enable IPsec Mobile Client Support（啟用IPSec移動(dòng)客戶(hù)端支持）

· 將User Authentication （用戶(hù)身份驗(yàn)證）設(shè)置為本地?cái)?shù)據(jù)庫(kù)

· 不要選中Provide a virtual IP address to clients（為客戶(hù)端提供虛擬IP地址）

·  不要選中Provide a list of accessible networks to clients（提供可訪(fǎng)問(wèn)的網(wǎng)絡(luò)列表給客戶(hù)端）

· 單擊Save（保存）

Phase 1

· 單擊Tunnels（隧道）選項(xiàng)卡

· 設(shè)置 Enable IPsec（啟用IPsec）

· 單擊Save（保存）

· 單擊Create Phase1（創(chuàng)建Phase1）按鈕，或編輯現(xiàn)有的移動(dòng)IPsec Phase 1

· 如果沒(méi)有Phase 1,并且沒(méi)有出現(xiàn)創(chuàng)建Phase1按鈕，請(qǐng)返回到移動(dòng)客戶(hù)端選項(xiàng)卡，然后單擊它。

· 設(shè)置 Key Exchange version （密鑰交換版本）為 1KEv1

· 填寫(xiě)Description（描述說(shuō)明）

· 設(shè)置Authentication method （認(rèn)證方法）為Mutual PSK

· 設(shè)置Negotiation Mode（談判模式）為 Main

· 設(shè)置 My Identifier（我的標(biāo)識(shí)符）為 My IP address

· 設(shè)置Encryption algorithm （加密算法）為 AES 256

· 設(shè)置 Hash algorithm（哈希算法）為 SHA1

· 設(shè)置 DH key group（DH密鑰組）為14 (2048 bit)

· 注意:IOS和其他平臺(tái)可能與DH key group  2 配合使用

· 設(shè)置Lifetime（有效期） 為 28800

· 不要選中 Disable Rekey（禁用預(yù)授密鑰）

· 不要選中Disable Reauth（禁用預(yù)認(rèn)證 ）

· 設(shè)置 NAT Traversal（NAT穿透）為 Auto

· 設(shè)置 Enable DPD（啟用失效對(duì)等體檢測(cè)）, 設(shè)置10秒和5次重試

· 單擊 Save（保存）

Phase 2

· 單擊 “+”顯示Mobile IPsec Phase 2列表

· 單擊“+”添加新的 Phase 2條目，或單擊 “e”編輯已有條目

· 設(shè)置 Mode（模式）為 Transport

· 填寫(xiě)Description（描述說(shuō)明）

· 設(shè)置Protocol（協(xié)議） 為 ESP

· 設(shè)置 Encryption algorithms（加密算法）為AES 128

· 設(shè)置 Hash algorithms（哈希算法） 為SHA1

· 設(shè)置 PFS Key Group（密鑰組）為off

· 設(shè)置 Lifetime（有效期）為 3600

· 單擊 Save（保存）

Pre-Shared Key（預(yù)共享密鑰）

IPsec隧道已配置完成，現(xiàn)在必須以特殊的方式配置預(yù)共享密鑰，這對(duì)所有客戶(hù)端都是常見(jiàn)的。

· 導(dǎo)航到 ××× > IPsec, Pre-Shared Keys選項(xiàng)卡

· 單擊 “+” 添加新的PSK

· 設(shè)置Identifier（標(biāo)識(shí)符）為 allusers

· 注意： “allusers”名稱(chēng)是pfSense用于配置通配符PSK的特殊關(guān)鍵字，這對(duì)于L2TP / IPsec來(lái)說(shuō)是必需的。 不要為此PSK使用任何其他標(biāo)識(shí)符!

· 設(shè)置Secret Type （加密類(lèi)型）為PSK

· 輸入 Pre-Shared Key（預(yù)共享密鑰）,如aaabbbccc –可以比這個(gè)更長(zhǎng)一些，那將更隨機(jī)、更安全！

· 單擊Save（保存）

· 單擊Apply Changes（應(yīng)用更改）

Firewall Rules and NAT（防火墻規(guī)則和NAT）

從客戶(hù)端主機(jī)通過(guò)IPsec傳輸流量以建立L2TP隧道，并且在L2TP內(nèi)部將實(shí)際的隧道×××流量傳遞到跨×××的系統(tǒng)，必須要設(shè)置防火墻規(guī)則。

IPsec Rules（IPsec規(guī)則）

· 導(dǎo)航到Firewall > Rules, IPsec選項(xiàng)卡

· 查看當(dāng)前規(guī)則。 如果有一個(gè)“允許全部”樣式規(guī)則，則不需要另外添加。 可以繼續(xù)下一個(gè)任務(wù)。

· 單擊 “+”添加新規(guī)則

· 設(shè)置 Protocol （協(xié)議）為any，設(shè)置 Source（源）和 Destination （目標(biāo)）為any

注意： 這不必通過(guò)所有流量，但至少必須通過(guò)L2TP（UDP端口1701）到防火墻的WAN IP地址

· 單擊Save（保存）

· 單擊Apply Changes（應(yīng)用更改）

L2TP Rules（L2TP規(guī)則）

· 導(dǎo)航到 Firewall > Rules, L2TP ×××選項(xiàng)卡

· 查看當(dāng)前規(guī)則。 如果有一個(gè)“允許全部”樣式規(guī)則，則不需要另外添加。 可以繼續(xù)下一個(gè)任務(wù)。

· 單擊 “+”添加新規(guī)則

· 設(shè)置 Protocol （協(xié)議）為any，設(shè)置 Source（源）和 Destination （目標(biāo)）為any

注意：這不必傳遞所有流量，更嚴(yán)格的規(guī)則是可以限制客戶(hù)端可以去的地方

· 單擊Save（保存）

· 單擊Apply Changes（應(yīng)用更改）

Outbound NAT（出站NAT）

如果客戶(hù)端必須通過(guò)×××，然后再返回到Internet，則很有可能需要出站NAT。

· 導(dǎo)航到Firewall > NAT, Outbound 選項(xiàng)卡

· 檢查規(guī)則，看看它們是否適用于L2TP客戶(hù)端。 在自動(dòng)或混合模式下，L2TP子網(wǎng)應(yīng)列在自動(dòng)規(guī)則部分。

· 如果啟用手動(dòng)出站NAT，并且不存在相應(yīng)規(guī)則，則添加規(guī)則來(lái)覆蓋L2TP客戶(hù)端。

DNS Configuration（DNS配置）

如果DNS服務(wù)器提供給客戶(hù)端，并且如果使用未綁定DNS解析器，則為L(zhǎng)2TP客戶(hù)端選擇的子網(wǎng)必須添加到它的訪(fǎng)問(wèn)列表。

· 導(dǎo)航到 Services > DNS Resolver, Access Lists（訪(fǎng)問(wèn)列表） 選項(xiàng)卡

· 單擊“+”添加新的訪(fǎng)問(wèn)列表

· 輸入 Access List Name（訪(fǎng)問(wèn)列表名稱(chēng)）,如××× Users

· 設(shè)置Action（動(dòng)作）為 Allow（允許）

· 單擊 “+”添加Networks（網(wǎng)絡(luò)）

· 在“網(wǎng)絡(luò)”框中輸入×××客戶(hù)端子網(wǎng)，例如。192.168.32.128

· 選擇正確的CIDR值，例如： 25

· 單擊Save（保存）

· 單擊Apply Changes（應(yīng)用更改）

Client Setup（客戶(hù)端設(shè)置）

Windows

現(xiàn)在我來(lái)創(chuàng)建客戶(hù)端×××連接。 根據(jù)正在使用的Windows的版本，有幾種方法來(lái)添加這樣的連接。 你可以根據(jù)需要來(lái)進(jìn)行調(diào)整。

· 在客戶(hù)端電腦上打開(kāi)網(wǎng)絡(luò)和共享中心

· 單擊設(shè)置新的連接或網(wǎng)絡(luò)

· 選擇連接到工作區(qū)

· 單擊下一步

· 如果沒(méi)有就創(chuàng)建一個(gè)新的連接

· 單擊下一步

· 單擊使用我的Internet連接(×××)

· 在Internet地址欄輸入IP地址或主機(jī)名

· 輸入目標(biāo)名稱(chēng)以標(biāo)識(shí)連接

· 單擊創(chuàng)建

連接已創(chuàng)建，但有幾個(gè)默認(rèn)值還必須進(jìn)行修改才能正確使用。 例如，類(lèi)型默認(rèn)為自動(dòng)，如果存在PPTP連接，則會(huì)鎖定到PPTP連接，這將是非常糟糕的。 所以一定要先修改部分默認(rèn)：

· 在Windows中的網(wǎng)絡(luò)連接/適配器設(shè)置中，找到剛才創(chuàng)建的連接

· 在連接上單擊右鍵

· 單擊屬性

單擊安全選項(xiàng)

· 設(shè)置×××類(lèi)型為使用IPsec（L2TP / IPsec）的2層隧道協(xié)議 IPsec (L2TP/IPsec)

· 單擊高級(jí)設(shè)置

· 選擇使用預(yù)共享的密鑰作身份驗(yàn)證

· 輸入密鑰，例如： aaabbbccc

· 單擊確認(rèn)

· 設(shè)置數(shù)據(jù)加密為：需要加密（如果服務(wù)器拒絕將斷開(kāi)連接）

· 設(shè)置身份驗(yàn)證/允許使用這些協(xié)議為質(zhì)詢(xún)握手身份驗(yàn)證協(xié)議 (CHAP)（H）–以匹配L2TP中的設(shè)置

· 單擊確認(rèn)

Try it Out（試試看）

經(jīng)過(guò)上面的設(shè)置，現(xiàn)在應(yīng)該可以連接到×××了。

Troubleshooting（故障排查）

Firewall traffic blocked outbound（防火墻流量阻塞了出站）

如果防火墻日志顯示L2TP上的流量阻塞“out”，則添加一個(gè)浮動(dòng)防火墻規(guī)則來(lái)解決該問(wèn)題發(fā)生：

· 導(dǎo)航到 Firewall > Rules, Floating（浮動(dòng)）選項(xiàng)卡

· 單擊 “+”添加新規(guī)則

· 設(shè)置Action（動(dòng)作） 為 Pass（通過(guò)）

· 設(shè)置 Quick（快速）

· 接口選擇為L(zhǎng)2TP ×××

· 設(shè)置 Direction（方向）為 Out

· 設(shè)置Protocol （協(xié)議）為 TCP

· 根據(jù)需要設(shè)置 Source/Destination （源和目標(biāo)），或設(shè)置為any

· 高級(jí)選項(xiàng)：

· 設(shè)置TCP Flags（TCP標(biāo)識(shí)） 為 Any flags

· 設(shè)置State Type （狀態(tài)類(lèi)型）為Sloppy State

Precautions（注意事項(xiàng)）

如果客戶(hù)端在NAT后面，Windows客戶(hù)端將不能連接到服務(wù)器。可以考慮通過(guò)IKEv2來(lái)實(shí)現(xiàn)×××連接（如果你通過(guò)路由上網(wǎng)，而不是直接分配外網(wǎng)IP上網(wǎng)，將不能使用L2TP / IPsec類(lèi)型的×××）。可以參考這篇文章：http://fxn2025.blog.51cto.com/24757/1983419。

原文地址：https://doc.pfsense.org/index.php/L2TP/IPsec

2017年5月31日

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線(xiàn)，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

名稱(chēng)欄目：pfSenseL2TP和IPsec的設(shè)置-創(chuàng)新互聯(lián)
文章路徑：http://chinadenli.net/article44/cohiee.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁(yè)設(shè)計(jì)公司、ChatGPT、動(dòng)態(tài)網(wǎng)站、企業(yè)建站、網(wǎng)站建設(shè)、品牌網(wǎng)站設(shè)計(jì)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)