软路由论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2889|回复: 29

[vpn] 网关后的客户端连接ROS l2tp ipsec vpn

[复制链接]
发表于 2010-5-16 22:36:17 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
本帖最后由 mdctmk 于 2010-5-17 14:03 编辑

http://mdctmk.blog.163.com/blog/static/162927265201041693943962/
网关后的客户端 与 ROS L2TP IPSEC VPN的连接设置 原创求精

先说明以下几点

1、ROS版本要求:3.20下不成功,4.8成功,没看内核版本,但是openssl的版本不同,3.20的为0.9.8a,4.8下面的为0.9.8L

2、nat-t与网关无关?:只要链路上client能通到server端就行,即使打开了nat网关的防火墙功能。以下实验中,NAT网关使用的是winxp自带的internet 连接共享功能,想当于ros做网关时的masquerade功能。除非nat网关的防火墙中把client端给禁止了,那真没办法了。

3、ip安全策略:client端用的是WINXP自带的l2tp ipsec client,默认情况下,如果server端采用的是win2003的vpn server功能 ,双方可以轻松协商,完成连接。server端为ros时,需修改ip策略.

4、不指派ip安全策略时,log显示VPN可以正常完成2阶段的协商,但是无法进行l2tp连接

实验环境

client(192.168.121.2)<->(192.168.121.1)gw(192.168.111.1)<=>(192.168.111.2)vpnserver(192.168.122.1)

client : winxp sp2 ,系统自带连接ipsec客户端

gw:winxp sp2 ,internet 连接共享

vpnserver:RouterOS 4.8

vpnserver端配置:

请参阅前几天的日志,里面也包含了客户端的设置

http://mdctmk.blog.163.com/blog/static/162927265201032464428435/
或者看这个
http://wiki.mikrotik.com/wiki/Mi ... ndows_XP_IPSec/L2TP

重点写client端之IP安全策略配置:

运行mmc,

1文件->添加/删除管理单元->IP安全策略

2IP安全策略->右键,创建IP安全策略

3名称 :toros,->清除激活默认响应规则,(把勾去掉)

4添加:ip安全规则,先写出站的规则吧,指定隧道终结点:192.168.111.2即vpn s的IP,

5ip筛选器,去除镜像的勾,ip源,选 我的IP地址, 目标选 特定的ip:192.168.111.2

6 入站规则 指定隧道终结点:192.168.121.2 就是客户端的地址

7ip筛选器,去除镜像的勾,ip源,选 特定ip:192.168.111.2,目标选我的ip

8筛选器操作,选"许可",***

完成后,重启ipsec 服务,toros右键-〉指派

还没写完,有些问题还没交待清楚***
routeros
发表于 2010-5-16 22:45:29 | 显示全部楼层
http://wiki.mikrotik.com/wiki/Mi ... ndows_XP_IPSec/L2TP
不过也有可能类似牛顿和莱布尼茨共同创立微积分一样,你和wiki的作者各自独立发现L2TP/ipsec在windows下的连接方式。

不过你发现得明显比Wiki作者晚了。唉。Sigh
routeros
发表于 2010-5-16 22:45:46 | 显示全部楼层
http://wiki.mikrotik.com/wiki/Mi ... ndows_XP_IPSec/L2TP
不过也有可能类似牛顿和莱布尼茨共同创立微积分一样,你和wiki的作者各自独立发现L2TP/ipsec在windows下的连接方式。

不过你发现得明显比Wiki作者晚了。唉。Sigh
routeros
 楼主| 发表于 2010-5-16 22:50:50 | 显示全部楼层
不过你好像没看清楚标题
routeros
 楼主| 发表于 2010-5-16 22:51:12 | 显示全部楼层
网关后的客户端 这个是重点
routeros
 楼主| 发表于 2010-5-16 22:51:35 | 显示全部楼层
也就是说ipsec 要经过nat的
routeros
发表于 2010-5-16 22:56:20 | 显示全部楼层
啊。莫非网关后面的windows机器连接 L2TP/ipsec有什么重大的不同?我前段时间参考http://wiki.mikrotik.com/wiki/Mi ... ndows_XP_IPSec/L2TP
也成功用windows客户端连接上的。我的机器也是在网关后面的。
routeros
 楼主| 发表于 2010-5-16 22:59:15 | 显示全部楼层
http://wiki.mikrotik.com/wiki/Mi ... ndows_XP_IPSec/L2TP
说的是结构是winxp client <=> ros vpn

我说的结构是winxp client <=> nat <=> ros vpn


里面说的以下这部分,对于winxp client <=> ros vpn 这个结构,并不用调整,也可以连上

Adjusting IPSec settings
Go to Start -> Run, put mmc
Enter to Console, select Add/Remove Snap in, add IP Security Policy Management snap-in;
Select IP Security Policies, and proceed to Action, open Create IP Security Policy;
Follow wizard instructions, unset Activate the default response rule and set Edit Properties;
Click on Add and proceed to answer wizard questions;
Select The rule does not specify a tunnel;
Select LAN;
Select Use this string to protect the key exchange, enter the same preshared key as configured on RouterOS;
Create new IP Filter List, where target should be My computer, аnd destination - IP address of the RouterOS, proceed with Next;
Select Require security, you may leave settings as default [remember we configured on RouterOS hash-algorithm=sha and encryption-algorithm=3des];
Restart IPSec policy agent in Windows services;
On the newly created politic click and select Assign.
routeros
发表于 2010-5-16 23:00:56 | 显示全部楼层
如果真是你独立发现的,我觉得就算别人发现在先,你也当得上原创二字。
牛顿和莱布尼茨就是很好的例子。不过当年其实是莱布尼茨发现在先,只是牛顿盛名之下,大家都认为是牛顿创立微积分。
莱布尼茨愤而离开数学界,成为一个很成功的商人。
从现在的眼光来看,莱布尼茨其实做出了正确的选择
routeros
 楼主| 发表于 2010-5-16 23:04:50 | 显示全部楼层
回复 7# zhjchina


    你的配置能发个参考个不,可能我走了弯路了,我是试了好久才试出来,有点欢鸡冻而已
routeros
发表于 2010-5-16 23:06:36 | 显示全部楼层
我就是用wiki上的方式链接的。那上面的步骤很详细
不知道你说的网关后的链接方式和wiki上原文的方式有何不同?
routeros
发表于 2010-5-16 23:07:57 | 显示全部楼层
莫非你的意思是Ipsec不能穿透PAT?
routeros
发表于 2010-5-16 23:17:21 | 显示全部楼层
安全策略那一部分,让我自己凭空想,我绝对想不出来。
如果你能自己想出来,绝对当的上牛人二字。安全这一块的东西实在是太麻烦了。我现在知道怎么在windows下连接L2TP/Ipsec,只是完全还不理解每一步的含义。
routeros
 楼主| 发表于 2010-5-16 23:19:04 | 显示全部楼层
回复 12# zhjchina


    可以,我做过winxp = nat = win2003 vpn实验,很简单就连上了
不过在ROS 这里卡住了

这里的NAT是指WINXP这边的,也是说WINXP是通过nat上网的,ROS端是公网地址
您当时做的实验是这种结构吗
routeros
发表于 2010-5-16 23:26:52 | 显示全部楼层
当然是这个结构。其实难度在于安全策略配置这地方。我看你的博客上根本没写这一块。根本没那么简单的俄
routeros
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由论坛  

GMT+8, 2014-10-24 05:56 , Processed in 0.039210 second(s), 10 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表