交流 › RouterOS › 位于网关后的win客户端如何连接到 ros服务端( l2tp ipsec vpn )

mdctmk 发表于 2010-4-30 10:31:22

位于网关后的win客户端如何连接到 ros服务端( l2tp ipsec vpn )

winxp -> ics共享网关->ros3.2 l2tp ipsec vpn服务器
查遍ros官网,诸多论坛,E文网站,,小弟搜了几天也搜不出答案来
请高手指教winxp端和设置和ros的配置

guoying 发表于 2010-5-2 15:18:26

我也是同样问题!!!,网关后没有测试,但是同网DNS是不行的,gateway,dns都指定ros的ip才可以上网,dns指定其他dns就上不了网络.我只加一个DNSip的.

mdctmk 发表于 2010-5-7 10:38:37

试了下
winxp -> ics共享网关->win2003 l2tp ipsec vpn服务器
很轻松地就连上了,把ics共享网关换成ros3.2做网关也可以连上win2003 vpn服务器,用ros32做vpn服务器就是不行,应该不是网关方面的问题,而是ros vpn端哪里设置的问题了

直接 直接winxp->ros32 vpn服务器,可以连上

mdctmk 发表于 2010-5-7 10:54:43

Routeros设置：（仍然采用中文的winbox，方法适用于2.9以上的版本）
1。PPP——接口程序——L2TP服务器——启用 选default-encryption
2。PPP——保密——添加——名称：12345——口令：12345——概述：default-encryption——局部地址：1.1.1.1——远程地址：1.1.1.2
3。PPP——概述——default-encryption——（将使用压缩、使用vj压缩、使用加密、更改TCP MSS这几项选择yes）
4。IP——IPSEC——对等——添加——地址：（你windows客户端机器IP）如果你的客户端使用动态ip，可以填写0.0.0.0/0代替——端口：500——秘密的：123456789——散列算法：sha——加密算法：3des——选择产生策略
5。IP——IPSEC——建议——default——修改Auth. Algorithms为sha1。（这一步非常重要，否则登陆不上）
windows 设置：
1。新建一个vpn连接，用户名和密码都是12345
2。修改这个连接的属性，连接的ip为routeros的ip地址，安全选项卡中修改vpn类型为使用ipsec的第二层隧道协议，高级设置中选择使用预共享秘钥作身份验证，填入123456789。
修改完成后就可以连接了。

mdctmk 发表于 2010-5-12 11:14:08

近日在ROS4.8下实验成功,3.2下没成功,不过还是有点兴奋
过程还是比较烦琐的,有空写出来大家分享

我觉得这种连法应用还是有很大实际应用意义的,比如出差在宾馆,网吧里上VPN

needback 发表于 2010-5-12 13:35:29

网关若不允许pptp穿透，那就没办法了。
若允许穿透，那简单得不得了。~

mdctmk 发表于 2010-5-12 14:59:42

本帖最后由 mdctmk 于 2010-5-12 15:02 编辑

这个是l2tp IPSEC

mdctmk 发表于 2010-5-14 16:53:00

pptp用不着nat-t吧,这里假设网关支持nat-t

dongdongbest 发表于 2010-5-14 20:06:11

顶一下！

mdctmk 发表于 2010-5-16 22:32:48

重大更新,要求UPUP

http://mdctmk.blog.163.com/blog/static/162927265201041693943962/
网关后的客户端 与 ROS L2TP IPSEC VPN的连接设置 原创求精

先说明以下几点

1、ROS版本要求：3.20下不成功，4.8成功，没看内核版本，但是openssl的版本不同，3.20的为0.9.8a,4.8下面的为0.9.8L

2、nat-t与网关无关：只要链路上client能通到server端就行，即使打开了nat网关的防火墙功能。以下实验中，NAT网关使用的是winxp自带的internet 连接共享功能，想当于ros做网关是的masquerade功能。除非nat网关的防火墙中把client端给禁止了，那真没办法了。

3、ip安全策略：client端用的是WINXP自带的l2tp ipsec client，默认情况下，如果server端采用的是win2003的vpn server功能 ，双方可以轻松协商，完成连接。server端为ros时，需修改ip策略.

4、不指派ip安全策略时，log显示VPN可以正常完成2阶段的协商，但是无法l2tp连接

实验环境

client(192.168.121.2)<->(192.168.121.1)gw(192.168.111.1)<=>(192.168.111.2)vpnserver(192.168.122.1)

client : winxp sp2 ,系统自带连接ipsec客户端

gw:winxp sp2 ,internet 连接共享

vpnserver:routeros 4.8

vpnserver端配置:

请参阅前几天的日志，里面也包含了客户端的设置

http://mdctmk.blog.163.com/blog/static/162927265201032464428435/

重点写client端之IP安全策略配置：

运行mmc,

1文件->添加/删除管理单元->IP安全策略

2IP安全策略->右键,创建IP安全策略

3名称 :toros,->清除激活默认响应规则,(把勾去掉)

4添加:ip安全规则,先写出站的规则吧,指定隧道终结点:192.168.111.2即vpn s的IP，

5ip筛选器,去除镜像的勾,ip源,选 我的IP地址, 目标选 特定的ip:192.168.111.2

6 入站规则 指定隧道终结点:192.168.121.2 就是客户端的地址

7ip筛选器,去除镜像的勾,ip源,选 特定ip:192.168.111.2,目标选我的ip

8筛选器操作，选"许可",***

完成后，重启ipsec 服务，toros右键-〉指派

还没写完，有些问题还没交待清楚***

mdctmk 发表于 2010-5-16 22:34:40

重开一贴吧,顺带赚一铜板

zhjchina 发表于 2010-5-16 22:39:49

打击一下，不是啥原创。如果你说的原创是指L2TP安全策略方面的话。

mdctmk 发表于 2010-5-16 22:47:47

回复 12# zhjchina


    所以前面配置都没讲,重点在于最后那点

不过这个方法是全球第一个了,还没在其它网站和论坛上找到过,包括国外的网站

我就奇怪了,这种应用应该挺多了啊,比如出差在宾馆里上vpn,难道3G都普及了?

zhjchina 发表于 2010-5-16 22:49:39

3G 和VPN有啥关系？

mdctmk 发表于 2010-5-16 23:00:27

看这个吧
http://bbs.routerclub.com/thread-43522-1-1.html

查看完整版本: 位于网关后的win客户端如何连接到 ros服务端( l2tp ipsec vpn )