软路由论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 1476|回复: 14

[vpn] 位于网关后的win客户端如何连接到 ros服务端( l2tp ipsec vpn )

[复制链接]
发表于 2010-4-30 10:31:22 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
winxp -> ics共享网关->ROS3.2 l2tp ipsec vpn服务器
查遍ros官网,诸多论坛,E文网站,,小弟搜了几天也搜不出答案来
请高手指教winxp端和设置和ros的配置
routeros
发表于 2010-5-2 15:18:26 | 显示全部楼层
我也是同样问题!!!,网关后没有测试,但是同网DNS是不行的,gateway,dns都指定ros的ip才可以上网,dns指定其他dns就上不了网络.我只加一个DNSip的.
routeros
 楼主| 发表于 2010-5-7 10:38:37 | 显示全部楼层
试了下
winxp -> ics共享网关->win2003 l2tp ipsec vpn服务器
很轻松地就连上了,把ics共享网关换成ros3.2做网关也可以连上win2003 vpn服务器,用ros32做vpn服务器就是不行,应该不是网关方面的问题,而是ros vpn端哪里设置的问题了

直接 直接winxp->ros32 vpn服务器,可以连上
routeros
 楼主| 发表于 2010-5-7 10:54:43 | 显示全部楼层
Routeros设置:(仍然采用中文的winbox,方法适用于2.9以上的版本)
1。PPP——接口程序——L2TP服务器——启用 选default-encryption
2。PPP——保密——添加——名称:12345——口令:12345——概述:default-encryption——局部地址:1.1.1.1——远程地址:1.1.1.2
3。PPP——概述——default-encryption——(将使用压缩、使用vj压缩、使用加密、更改TCP MSS这几项选择yes)
4。IP——IPSEC——对等——添加——地址:(你windows客户端机器IP)如果你的客户端使用动态ip,可以填写0.0.0.0/0代替——端口:500——秘密的:123456789——散列算法:sha——加密算法:3des——选择产生策略
5。IP——IPSEC——建议——default——修改Auth. Algorithms为sha1。(这一步非常重要,否则登陆不上)
windows 设置:
1。新建一个vpn连接,用户名和密码都是12345
2。修改这个连接的属性,连接的ip为routeros的ip地址,安全选项卡中修改vpn类型为使用ipsec的第二层隧道协议,高级设置中选择使用预共享秘钥作身份验证,填入123456789。
修改完成后就可以连接了。
routeros
 楼主| 发表于 2010-5-12 11:14:08 | 显示全部楼层
近日在ROS4.8下实验成功,3.2下没成功,不过还是有点兴奋
过程还是比较烦琐的,有空写出来大家分享

我觉得这种连法应用还是有很大实际应用意义的,比如出差在宾馆,网吧里上VPN
routeros
发表于 2010-5-12 13:35:29 | 显示全部楼层
网关若不允许pptp穿透,那就没办法了。
若允许穿透,那简单得不得了。~
routeros
 楼主| 发表于 2010-5-12 14:59:42 | 显示全部楼层
本帖最后由 mdctmk 于 2010-5-12 15:02 编辑

这个是l2tp IPSEC
routeros
 楼主| 发表于 2010-5-14 16:53:00 | 显示全部楼层
pptp用不着nat-t吧,这里假设网关支持nat-t
routeros
发表于 2010-5-14 20:06:11 | 显示全部楼层
[url][/url]顶一下!
routeros
 楼主| 发表于 2010-5-16 22:32:48 | 显示全部楼层
重大更新,要求UPUP

http://mdctmk.blog.163.com/blog/static/162927265201041693943962/
网关后的客户端 与 ROS L2TP IPSEC VPN的连接设置 原创求精

先说明以下几点

1、ROS版本要求:3.20下不成功,4.8成功,没看内核版本,但是openssl的版本不同,3.20的为0.9.8a,4.8下面的为0.9.8L

2、nat-t与网关无关:只要链路上client能通到server端就行,即使打开了nat网关的防火墙功能。以下实验中,NAT网关使用的是winxp自带的internet 连接共享功能,想当于ros做网关是的masquerade功能。除非nat网关的防火墙中把client端给禁止了,那真没办法了。

3、ip安全策略:client端用的是WINXP自带的l2tp ipsec client,默认情况下,如果server端采用的是win2003的vpn server功能 ,双方可以轻松协商,完成连接。server端为ros时,需修改ip策略.

4、不指派ip安全策略时,log显示VPN可以正常完成2阶段的协商,但是无法l2tp连接

实验环境

client(192.168.121.2)<->(192.168.121.1)gw(192.168.111.1)<=>(192.168.111.2)vpnserver(192.168.122.1)

client : winxp sp2 ,系统自带连接ipsec客户端

gw:winxp sp2 ,internet 连接共享

vpnserver:routeros 4.8

vpnserver端配置:

请参阅前几天的日志,里面也包含了客户端的设置

http://mdctmk.blog.163.com/blog/static/162927265201032464428435/

重点写client端之IP安全策略配置:

运行mmc,

1文件->添加/删除管理单元->IP安全策略

2IP安全策略->右键,创建IP安全策略

3名称 :toros,->清除激活默认响应规则,(把勾去掉)

4添加:ip安全规则,先写出站的规则吧,指定隧道终结点:192.168.111.2即vpn s的IP,

5ip筛选器,去除镜像的勾,ip源,选 我的IP地址, 目标选 特定的ip:192.168.111.2

6 入站规则 指定隧道终结点:192.168.121.2 就是客户端的地址

7ip筛选器,去除镜像的勾,ip源,选 特定ip:192.168.111.2,目标选我的ip

8筛选器操作,选"许可",***

完成后,重启ipsec 服务,toros右键-〉指派

还没写完,有些问题还没交待清楚***
routeros
 楼主| 发表于 2010-5-16 22:34:40 | 显示全部楼层
重开一贴吧,顺带赚一铜板
routeros
发表于 2010-5-16 22:39:49 | 显示全部楼层
打击一下,不是啥原创。如果你说的原创是指L2TP安全策略方面的话。
routeros
 楼主| 发表于 2010-5-16 22:47:47 | 显示全部楼层
回复 12# zhjchina


    所以前面配置都没讲,重点在于最后那点

不过这个方法是全球第一个了,还没在其它网站和论坛上找到过,包括国外的网站

我就奇怪了,这种应用应该挺多了啊,比如出差在宾馆里上vpn,难道3G都普及了?
routeros
发表于 2010-5-16 22:49:39 | 显示全部楼层
3G 和VPN有啥关系?
routeros
 楼主| 发表于 2010-5-16 23:00:27 | 显示全部楼层
routeros
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由论坛  

GMT+8, 2014-9-1 19:15 , Processed in 0.037615 second(s), 9 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表