网关后的客户端连接ROS l2tp ipsec vpn
本帖最后由 mdctmk 于 2010-5-17 14:03 编辑http://mdctmk.blog.163.com/blog/static/162927265201041693943962/
网关后的客户端 与 ROS L2TP IPSEC VPN的连接设置 原创求精
先说明以下几点
1、ROS版本要求:3.20下不成功,4.8成功,没看内核版本,但是openssl的版本不同,3.20的为0.9.8a,4.8下面的为0.9.8L
2、nat-t与网关无关?:只要链路上client能通到server端就行,即使打开了nat网关的防火墙功能。以下实验中,NAT网关使用的是winxp自带的internet 连接共享功能,想当于ros做网关时的masquerade功能。除非nat网关的防火墙中把client端给禁止了,那真没办法了。
3、ip安全策略:client端用的是WINXP自带的l2tp ipsec client,默认情况下,如果server端采用的是win2003的vpn server功能 ,双方可以轻松协商,完成连接。server端为ros时,需修改ip策略.
4、不指派ip安全策略时,log显示VPN可以正常完成2阶段的协商,但是无法进行l2tp连接
实验环境
client(192.168.121.2)<->(192.168.121.1)gw(192.168.111.1)<=>(192.168.111.2)vpnserver(192.168.122.1)
client : winxp sp2 ,系统自带连接ipsec客户端
gw:winxp sp2 ,internet 连接共享
vpnserver:routeros 4.8
vpnserver端配置:
请参阅前几天的日志,里面也包含了客户端的设置
http://mdctmk.blog.163.com/blog/static/162927265201032464428435/
或者看这个
http://wiki.mikrotik.com/wiki/Mi ... ndows_XP_IPSec/L2TP
重点写client端之IP安全策略配置:
运行mmc,
1文件->添加/删除管理单元->IP安全策略
2IP安全策略->右键,创建IP安全策略
3名称 :toros,->清除激活默认响应规则,(把勾去掉)
4添加:ip安全规则,先写出站的规则吧,指定隧道终结点:192.168.111.2即vpn s的IP,
5ip筛选器,去除镜像的勾,ip源,选 我的IP地址, 目标选 特定的ip:192.168.111.2
6 入站规则 指定隧道终结点:192.168.121.2 就是客户端的地址
7ip筛选器,去除镜像的勾,ip源,选 特定ip:192.168.111.2,目标选我的ip
8筛选器操作,选"许可",***
完成后,重启ipsec 服务,toros右键-〉指派
还没写完,有些问题还没交待清楚*** http://wiki.mikrotik.com/wiki/MikroTik_RouterOS_and_Windows_XP_IPSec/L2TP
不过也有可能类似牛顿和莱布尼茨共同创立微积分一样,你和wiki的作者各自独立发现L2TP/ipsec在windows下的连接方式。
不过你发现得明显比Wiki作者晚了。唉。Sigh http://wiki.mikrotik.com/wiki/MikroTik_RouterOS_and_Windows_XP_IPSec/L2TP
不过也有可能类似牛顿和莱布尼茨共同创立微积分一样,你和wiki的作者各自独立发现L2TP/ipsec在windows下的连接方式。
不过你发现得明显比Wiki作者晚了。唉。Sigh 不过你好像没看清楚标题 网关后的客户端 这个是重点 也就是说ipsec 要经过nat的 啊。莫非网关后面的windows机器连接 L2TP/ipsec有什么重大的不同?我前段时间参考http://wiki.mikrotik.com/wiki/Mi ... ndows_XP_IPSec/L2TP
也成功用windows客户端连接上的。我的机器也是在网关后面的。 http://wiki.mikrotik.com/wiki/MikroTik_RouterOS_and_Windows_XP_IPSec/L2TP
说的是结构是winxp client <=> ros vpn
我说的结构是winxp client <=> nat <=> ros vpn
里面说的以下这部分,对于winxp client <=> ros vpn 这个结构,并不用调整,也可以连上
Adjusting IPSec settings
Go to Start -> Run, put mmc
Enter to Console, select Add/Remove Snap in, add IP Security Policy Management snap-in;
Select IP Security Policies, and proceed to Action, open Create IP Security Policy;
Follow wizard instructions, unset Activate the default response rule and set Edit Properties;
Click on Add and proceed to answer wizard questions;
Select The rule does not specify a tunnel;
Select LAN;
Select Use this string to protect the key exchange, enter the same preshared key as configured on RouterOS;
Create new IP Filter List, where target should be My computer, аnd destination - IP address of the RouterOS, proceed with Next;
Select Require security, you may leave settings as default ;
Restart IPSec policy agent in Windows services;
On the newly created politic click and select Assign. 如果真是你独立发现的,我觉得就算别人发现在先,你也当得上原创二字。
牛顿和莱布尼茨就是很好的例子。不过当年其实是莱布尼茨发现在先,只是牛顿盛名之下,大家都认为是牛顿创立微积分。
莱布尼茨愤而离开数学界,成为一个很成功的商人。
从现在的眼光来看,莱布尼茨其实做出了正确的选择 回复 7# zhjchina
你的配置能发个参考个不,可能我走了弯路了,我是试了好久才试出来,有点欢鸡冻而已 我就是用wiki上的方式链接的。那上面的步骤很详细
不知道你说的网关后的链接方式和wiki上原文的方式有何不同? 莫非你的意思是Ipsec不能穿透PAT? 安全策略那一部分,让我自己凭空想,我绝对想不出来。
如果你能自己想出来,绝对当的上牛人二字。安全这一块的东西实在是太麻烦了。我现在知道怎么在windows下连接L2TP/Ipsec,只是完全还不理解每一步的含义。 回复 12# zhjchina
可以,我做过winxp = nat = win2003 vpn实验,很简单就连上了
不过在ROS 这里卡住了
这里的NAT是指WINXP这边的,也是说WINXP是通过nat上网的,ROS端是公网地址
您当时做的实验是这种结构吗 当然是这个结构。其实难度在于安全策略配置这地方。我看你的博客上根本没写这一块。根本没那么简单的俄
页:
[1]
2