L2TP只能内网连的上，外网连不上。。。。。。

graygjb

我在公司的ros路由器上建立了L2TP服务器，在公司内部可以连的上，但是到家里就连不上。。。。。。是要端口映射吗？500 4500 1701 我都映射了  还是连不上。。。。。啥原因？？？
外网连不上，我在家就不能连到公司了~~~

3533155

你看一下ROS日志,如果日志都没刷新出来你就知道该怎么办了

xuxi3201

环境表述 太简单，不好回答。
配置的几个地方，来截图

graygjb

xuxi3201 发表于 2017-3-26 08:46
环境表述 太简单，不好回答。
配置的几个地方，来截图

现在是我在公司连内网，iphone上的L2TP可以连的上ros vpn服务器，说明ros上的vpn服务器建立是正确的
但是我在家里，就连不上这个ros路由器，同时这个ros路由器也是出口总路由
我想问题就是外网端口开放设置没搞好

graygjb

3533155 发表于 2017-3-25 22:59
你看一下ROS日志,如果日志都没刷新出来你就知道该怎么办了

日志确实没刷新，就是端口没开的原因
那我明明几个端口都设置好了啊

graygjb

而且我的21端口和88端口映射都正常的   ftp和web都可以外网访问
但是L2TP按照21和88的端口设置一样配置  就不行  外网根本连不上

cspm333

您公司的routeros主機若是直接連著internet ,
而沒有再透過其它的虛擬網路,基本上l2tp server是不用再設置nat映射port的.

l2tp/ipsec是先建立ipsec通道,然後才在通道內使用l2tp.
clients無法與server建立vpn連線,有可能卡在server ipsec這一關.

不知道什麼原因,ipsec沒在server的/ip ipsec policy新增浮動rule...

既然系統無法生成,那您就手動補回來吧.


src-address 與 sa-src-address 請設置公司(vpn-server)的ip;dst-address 與 sa-dst-address請設置住家(vpn-client)的ip
若您公司與住家的ip有一方或者兩端皆是浮動的,記得搭ddns透過script自動修正地址.

您應該還有看到兩端連接port是為1701對吧~ 這代表l2tp在ipsec隧道內進行

這種方式只適合某一用戶長時間無法與server順利建立ipsec隧道的一種手段,
若是大量的vpn用戶都發生這樣的情況,您就得往網路出租業者查詢原因...
每個用戶都這玩,在您更新script前會先累死

graygjb

cspm333 发表于 2017-3-30 00:45
您公司的routeros主機若是直接連著internet ,
而沒有再透過其它的虛擬網路,基本上l2tp server是不用再設置 ...

感谢你的详细回复，我会仔细按照你的回复试一遍！