【WALL1600下一代防火墙】下一代防火墙旁路模式典型功能L2TPNGFW+PC

发布时间: 2013-09-15 点击量:787 打印 字体:

一、组网需求

        如下图所示:NGFW作为旁路模式接在核心交换机上,需要在设备上配置相应的管理IP地址及路由,让设备能远程登录管理。

 

二、配置要点

        1、配置接口地址及开启接口L2TP功能

            外网口需要开启允许用户L2TP拨入。

        2、配置默认路由

        3、配置用户及用户组

            用户拨入后需要在电脑上添加静态路由;

        4、配置L2TP vpn

            配置分配给VPN隧道地址段为:10.10.10.0/24

        5、配置安全策略

            配置外网地址段访问服务器网段允许通过策略;

        6、在出口路由器上配置静态路由:目的网段为VPN虚网段的下一跳为NGFW的ge1接口地址。

        7、客户端配置

        8、在PC上添加静态路由

 

三、配置步骤

1、配置接口地址及开启接口L2TP功能

            外网口需要开启允许用户L2TP拨入。

        2、配置默认路由,指向路由内网口的IP地址192.168.1.1

        3、配置用户名、用户组

             4、配置L2TP vpn

            配置分配给VPN隧道地址段为:10.10.10.0/24

        5、配置安全策略

            配置外网地址段访问服务器网段允许通过策略;

        6、在出口路由器上配置静态路由及端口映射:目的网段为VPN虚网段的下一跳为NGFW的ge1接口地址。

         ip route 10.10.10.0 255.255.255.0 192.168.1.200

        端口映射:将NGFW的接口地址的tcp 1701端口映射出来

        ip nat inside source static udp 192.168.1.200 1701 192.168.33.32 1701 permit-inside

        7、客户端配置

对于XP系统,要修改注册与L2TP相关的注册表项,并重启电脑才能正常使用(window 7系统无需此步骤),修改的方式如下:

Windows上L2TP是与IPSec/IKE绑定使用的,而大多数的L2TP设备没有将L2TP与IPSec/IKE绑定。可以通过修改Windows的注册表来解除此限制:

首先点击”开始”,然后选中”运行”,接着键入”regedit”进入注册表编辑器找到这个目录”HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RasMan/Parameters”然后在这个目录下Windows 2000创建一个名称为” Prohibitipsec”的双字节值并设其值为1,在WindowsXP中,创建的项目为 DWORD类型的,按F5刷新注册表,最后重启你的Windows。下图为xp的注册表操作过程:

 

最后输入用户名密码:

Windows7的系统电脑无需修改注册表:

 

        

       

      

8、在PC上添加静态路由

PC的VPN拨成功后需要再添加一条静态路由,方法如下:

点“开始”--“运行”--输入“cmd”,回车,进入window 命令窗口,通过ipconfig命令查看获取到的VPN接口IP地址,然后添加静态路由如下:

route add 192.168.1.0 mask 255.255.255.0 10.10.10.2   -----即到往内网服务器的192.168.1.0网段的下一跳指向VPN接口地址。

 

四、验证效果

VPN拨入成功且添加静态路由后,在浏览器里输入http://192.168.1.3,如下图所示:

进入VPN的L2TP监视器查看:(一个账号可以多人同时使用)

 

 

00 分享 纠错
相关条目