交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
员工在外出差或在家里,想通过拨VPN访问内网服务器资源。
VPN隧道IP地址段与NGFW任意接口地址和出差员工电脑上的IP地址均不能是同网段的地址。假设员工电脑的IP地址是192.168.33.45/24,电脑网关是192.168.33.1,拨VPN后获取到的VPN隧道地址为192.168.100.102/24,而内网服务器的网段为192.168.3.0/24。此时员工不能直接访问到192.169.3.0/24网段,因为没有到往192.168.3.0/24网段的路由。
有两种方法能解决以上问题:
1、在电脑上添加到192.168.3.0/24的静态路由或直接把电脑的默认路由变为VPN隧道地址,这意味着员工上网所有流量都会走VPN隧道。
2、设置账号的IP地址分配为192.168.3.0/24网段地址(VPN隧道地址不能与内网任何接口是同网段,但账号里设置的地址可以)并添加NAT转换规则。
以下分别配置两个账号对应这两种方法,可根据实际情况进行选择:
1、用户user拨入VPN后分配到VPN隧道地址不固定,此用户拨入VPN后需要在电脑上添加路由才能访问服务器,此账号可有多人同时使用。
2、用户l2tp拨入VPN后即可访问内网服务器,但此账号同时只能有一个人在使用。若想让其他人也用此方法,则多建几个账号,配置与l2tp相同。
二、网络拓扑
三、配置要点
1、配置接口地址及开启接口L2TP功能
外网口需要开启允许用户L2TP拨入。
2、配置默认路由
3、配置用户及用户组
用户l2tp:拨入后无需添加路由;
用户user:拨入后需要添加路由;
4、配置L2TP vpn
配置分配给VPN隧道地址段为:192.168.100.0/24
5、配置安全策略
配置内网用户上网流量通过策略;
配置VPN地址段访问服务器网段允许通过策略;
6、配置NAT规则
配置内网上网NAT转换规则;
配置用户l2tp访问内网服务器的NAT转换。
7、客户端配置
四、操作步骤
1、配置接口地址
进入菜单--网络管理--接口--接口--编辑
配置外网口接口IP地址172.18.10.108(一般外网口是公网地址,此处是测试地址)
要允许用户拨入L2TPVPN必须把L2TP勾选上。
其他配置选择性开启。
配置内网口地址:192.168.3.254/24,其他配置选择性开启。
2、配置默认路由
进入菜单--网络管理--基本配置--缺省网关,配置外网网关地址为172.18.10.1。
3、配置用户及用户组
设置拨入L2TPVPN的用户名密码:
进入菜单--资源管理--认证用户--本地用户--新建
如果想为某个账号,如案例中的“l2tp”,为它指定一个固定的IP地址,也就是使用这个账号登陆vpn的客户端,每次获取到的IP地址都是同一个地址,那么可以“在高级选项”中设置 IP地址,如下图所示:用户名:l2tp,密码123456,用户IP固定分配为192.168.3.102(与服务器地址是同一网段)。
账号user,用户IP地址不填,即让设备随机分配地址。
将设置的用户归入用户组
组名:l2tpvpn(自定义)
“类型”选择“firewall”
把左边的“可用组成员”移到右边的“组员”,完成把之前设定的用户归类于用户组的操作
4、配置L2TPvpn
进入VPN--L2TP--配置
启用L2TP;
用户组选择第三步配置的用户组:l2tpvpn;
起始IP和结束IP不能与防火墙的任何一个物理接口的IP地址同一网段,否则会提示地址冲突(也就是说配置的L2TP的地址池不能与防火墙的内网口同一网段),但是在“对象管理中”中的“认证用户”中的高级设置里,可以为指定的用户账号设置指定的IP地址,且可以与防火墙的接口为同一网段。
5、配置安全策略
进入菜单--防火墙--安全策略--安全策略--新建
配置内网上网流量放通安全策略:
配置VPN地址段访问服务器策略:
先在网络资源--地址资源--地址节点,创建VPN地址段l2tpaddress:192.168.100.0/24、l2tp账号的IP地址:192.168.3.102/32、服务器网段地址:192.168.3.0/24
配置用户l2tp访问服务器的放通策略。
配置vpn隧道IP访问服务器的放通策略。
注意,务必在全局将安全策略启用。
6、配置NAT规则
配置内网上网NAT规则:
配置l2tp用户访问服务器的NAT规则:
7、客户端设置
windows xp系统的设置方式
对于XP系统,要修改注册与L2TP相关的注册表项,并重启电脑才能正常使用,修改的方式如下:
Windows上L2TP是与IPSec/IKE绑定使用的,而大多数的L2TP设备没有将L2TP与IPSec/IKE绑定。可以通过修改Windows的注册表来解除此限制:
首先点击”开始”,然后选中”运行”,接着键入”regedit”进入注册表编辑器找到这个目录”HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RasMan/Parameters”然后在这个目录下Windows 2000创建一个名称为” Prohibitipsec”的双字节值并设其值为1,在WindowsXP中,创建的项目为DWORD类型的,按F5刷新注册表,最后重启你的Windows。下图为xp的注册表操作过程:
最后输入用户名密码:
Windows7的系统电脑无需修改注册表:
获取到的虚拟地址是192.168.100.1
user账号拨成功后还需要在电脑上添加路由,方法如下:
用管理员账号打开运行,输入 “cmd”回车,用如下命令添加路由:192.168.100.2为拨入VPN后获取到的VPN隧道地址,可通过ipconfig查看。
五、验证效果
使用l2tp账号登录后,分配到的是固定IP192.168.3.102:
使用user账号登录后获取的地址为192.168.100.2
两种方法均能访问到服务器: