【WALL1600下一代防火墙】下一代防火墙L2TP vpn功能NGFW+PC

一、组网需求

       员工在外出差或在家里，想通过拨VPN访问内网服务器资源。

       VPN隧道IP地址段与NGFW任意接口地址和出差员工电脑上的IP地址均不能是同网段的地址。假设员工电脑的IP地址是192.168.33.45/24，电脑网关是192.168.33.1，拨VPN后获取到的VPN隧道地址为192.168.100.102/24，而内网服务器的网段为192.168.3.0/24。此时员工不能直接访问到192.169.3.0/24网段，因为没有到往192.168.3.0/24网段的路由。

        有两种方法能解决以上问题：

        1、在电脑上添加到192.168.3.0/24的静态路由或直接把电脑的默认路由变为VPN隧道地址，这意味着员工上网所有流量都会走VPN隧道。

        2、设置账号的IP地址分配为192.168.3.0/24网段地址（VPN隧道地址不能与内网任何接口是同网段，但账号里设置的地址可以）并添加NAT转换规则。

       以下分别配置两个账号对应这两种方法，可根据实际情况进行选择：

        1、用户user拨入VPN后分配到VPN隧道地址不固定，此用户拨入VPN后需要在电脑上添加路由才能访问服务器，此账号可有多人同时使用。

        2、用户l2tp拨入VPN后即可访问内网服务器，但此账号同时只能有一个人在使用。若想让其他人也用此方法，则多建几个账号，配置与l2tp相同。

二、网络拓扑

三、配置要点

       1、配置接口地址及开启接口L2TP功能

            外网口需要开启允许用户L2TP拨入。

       2、配置默认路由

       3、配置用户及用户组

            用户l2tp:拨入后无需添加路由；

            用户user:拨入后需要添加路由；

       4、配置L2TP vpn

            配置分配给VPN隧道地址段为：192.168.100.0/24

       5、配置安全策略

            配置内网用户上网流量通过策略；

            配置VPN地址段访问服务器网段允许通过策略；

       6、配置NAT规则

            配置内网上网NAT转换规则；

            配置用户l2tp访问内网服务器的NAT转换。

       7、客户端配置

四、操作步骤

       1、配置接口地址

            进入菜单--网络管理--接口--接口--编辑

            配置外网口接口IP地址172.18.10.108（一般外网口是公网地址，此处是测试地址）

            要允许用户拨入L2TPVPN必须把L2TP勾选上。

            其他配置选择性开启。

         配置内网口地址：192.168.3.254/24,其他配置选择性开启。

       2、配置默认路由

            进入菜单--网络管理--基本配置--缺省网关，配置外网网关地址为172.18.10.1。

       3、配置用户及用户组

            设置拨入L2TPVPN的用户名密码：

            进入菜单--资源管理--认证用户--本地用户--新建

           如果想为某个账号，如案例中的“l2tp”，为它指定一个固定的IP地址，也就是使用这个账号登陆vpn的客户端，每次获取到的IP地址都是同一个地址，那么可以“在高级选项”中设置 IP地址，如下图所示：用户名：l2tp，密码123456，用户IP固定分配为192.168.3.102（与服务器地址是同一网段）。

             账号user，用户IP地址不填，即让设备随机分配地址。

           将设置的用户归入用户组

          组名：l2tpvpn（自定义）

         “类型”选择“firewall”

           把左边的“可用组成员”移到右边的“组员”，完成把之前设定的用户归类于用户组的操作

       4、配置L2TPvpn

            进入VPN--L2TP--配置

            启用L2TP；

            用户组选择第三步配置的用户组：l2tpvpn；

            起始IP和结束IP不能与防火墙的任何一个物理接口的IP地址同一网段，否则会提示地址冲突（也就是说配置的L2TP的地址池不能与防火墙的内网口同一网段），但是在“对象管理中”中的“认证用户”中的高级设置里，可以为指定的用户账号设置指定的IP地址，且可以与防火墙的接口为同一网段。

      5、配置安全策略

           进入菜单--防火墙--安全策略--安全策略--新建

          配置内网上网流量放通安全策略：

       配置VPN地址段访问服务器策略：

       先在网络资源--地址资源--地址节点，创建VPN地址段l2tpaddress:192.168.100.0/24、l2tp账号的IP地址：192.168.3.102/32、服务器网段地址：192.168.3.0/24

       配置用户l2tp访问服务器的放通策略。

     配置vpn隧道IP访问服务器的放通策略。

       注意，务必在全局将安全策略启用。

   6、配置NAT规则

       配置内网上网NAT规则：

       配置l2tp用户访问服务器的NAT规则：

   7、客户端设置

   windows xp系统的设置方式

对于XP系统，要修改注册与L2TP相关的注册表项，并重启电脑才能正常使用，修改的方式如下：

Windows上L2TP是与IPSec/IKE绑定使用的，而大多数的L2TP设备没有将L2TP与IPSec/IKE绑定。可以通过修改Windows的注册表来解除此限制：

首先点击”开始”，然后选中”运行”，接着键入”regedit”进入注册表编辑器找到这个目录”HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RasMan/Parameters”然后在这个目录下Windows 2000创建一个名称为” Prohibitipsec”的双字节值并设其值为1，在WindowsXP中，创建的项目为DWORD类型的，按F5刷新注册表，最后重启你的Windows。下图为xp的注册表操作过程：

最后输入用户名密码：

Windows7的系统电脑无需修改注册表：

获取到的虚拟地址是192.168.100.1

      user账号拨成功后还需要在电脑上添加路由，方法如下：

     用管理员账号打开运行，输入 “cmd”回车，用如下命令添加路由：192.168.100.2为拨入VPN后获取到的VPN隧道地址，可通过ipconfig查看。

五、验证效果

      使用l2tp账号登录后，分配到的是固定IP192.168.3.102：

      使用user账号登录后获取的地址为192.168.100.2

      两种方法均能访问到服务器：