Client-Initiated模式L2TP隧道,增加ipsec
- 0关注
- 1收藏,375浏览
问题描述:
Client-Initiated模式L2TP隧道,增加ipsec,配置要保护的数据流时,对端是移动端,没有固定IP,这个要保护的数据流的对端ip怎么配置?
- 2025-07-10提问
- 举报
-
(0)
最佳答案
路由器采用固定 IP 地址的方式部署在公司互联网出口,运营商提供的 IP 地址为 198.76.28.30/30,内网地址为 192.168.1.1/24。外网用户为了访问公司的内网资源,出于安全考虑采用 l2tp over ipsec 的方式拨入公司内网进行访问。
2
组网图
3
配置步骤
3.1
配置路由器基本上网
#路由器基本上网配置省略,具体设置步骤请参考“2.2.2 路由器外网使用固定IP地址上网配置方法”章节中“MSR830-WiNet系列路由器基本上网(静态IP)WEB配置(V7)”案例
3.2
配置路由器
#开启 L2TP 功能
<H3C>system-view //进入系统视图
[H3C]l2tp enable //开启L2TP功能
#创建地址池
[H3C]ip pool 1 192.168.10.2 192.168.10.200 //配置PPP地址池1,IP地址范围为192.168.10.2到192.168.10.200
#创建一个虚模板,指定地址池
[H3C]interface Virtual-Template1 //创建虚拟模板接口1
[H3C-Virtual-Template1]ppp authentication-mode chap domain system //配置本地认证对端的认证方式为chap,认证采用的域为system域
[H3C-Virtual-Template1]remote address pool 1 //使用地址池1为Client端分配IP地址
[H3C-Virtual-Template1]ip address 192.168.10.1 24 //指定虚拟接口地址为192.168.10.1/24
[H3C-Virtual-Template1]quit //退出当前视图
#创建 l2tp 组
[H3C]l2tp-group 1 mode lns //创建L2TP组1,指定L2TP组模式为lns
[H3C-l2tp1] allow l2tp virtual-template 1 //指定建立L2TP隧道时使用的虚拟模板接口为Virtual-Template1
[H3C-l2tp1]undo tunnel authentication //取消隧道验证
[H3C-l2tp1]quit //退出当前视图
#创建本地用户
[H3C]local-user 123 class network //创建本地用户123
[H3C-luser-network-123]password simple 123456 //创建用户123的密码为123456
[H3C-luser-network-123]service-type ppp //指定服务类型为PPP
[H3C-luser-network-123]quit //退出当前视图
#创建多个 ike 安全提议,采用不同的加密算法和验证算法
[H3C]ike proposal 1 //创建IKE提议1,并进入IKE提议视图
[H3C-ike-proposal-1]encryption-algorithm aes-cbc-128 //指定IKE提议1的加密算法为aes-cbc-128
[H3C-ike-proposal-1]authentication-algorithm md5 //指定IKE提议1的认证算法为md5
[H3C-ike-proposal-1]dh group2 //指定阶段1密钥协商时采用1024-bit的Diffie-Hellman group
[H3C]ike proposal 2 //创建IKE提议2,并进入IKE提议视图
[H3C-ike-proposal-2]encryption-algorithm 3des-cbc //指定IKE提议1的加密算法为3des-cbc
[H3C-ike-proposal-2]authentication-algorithm md5 //指定IKE提议1的认证算法为md5
[H3C-ike-proposal-2]dh group2 //指定阶段1密钥协商时采用1024-bit的Diffie-Hellman group
[H3C]ike proposal 3 //创建IKE提议3,并进入IKE提议视图
[H3C-ike-proposal-3]encryption-algorithm 3des-cbc //指定IKE提议1的加密算法为3des-cbc
[H3C-ike-proposal-3]dh group2 //指定阶段1密钥协商时采用1024-bit的Diffie-Hellman group
[H3C]ike proposal 4 //创建IKE提议4,并进入IKE提议视图
[H3C-ike-proposal-4]encryption-algorithm aes-cbc-256 //指定IKE提议1的加密算法为aes-cbc-256
[H3C-ike-proposal-4]dh group2 //指定阶段1密钥协商时采用1024-bit的Diffie-Hellman group
[H3C]ike proposal 5 //创建IKE提议5,并进入IKE提议视图
[H3C-ike-proposal-5]dh group2 //指定阶段1密钥协商时采用1024-bit的Diffie-Hellman group
[H3C]ike proposal 6 //创建IKE提议6,并进入IKE提议视图
[H3C-ike-proposal-6]encryption-algorithm aes-cbc-192 //指定IKE提议1的加密算法为aes-cbc-192
[H3C-ike-proposal-6]dh group2 //指定阶段1密钥协商时采用1024-bit的Diffie-Hellman group
#配置 ike keychain,配置对端地址为 0.0.0.0,预共享密钥为 123456
[H3C]ike keychain 1 //创建并进入一个IKE keychain 1视图
[H3C-ike-keychain-1]pre-shared-key address 0.0.0.0 0 key simple 123456 //配置与对端使用的预共享密钥为明文的123456
#配置 ike profile,引用 ike keychain 和 ike 安全提议,本端公网地址为 198.76.28.30
[H3C]ike profile 1 //创建一个IKE profile 1,并进入IKE profile视图
[H3C-ike-profile-1]keychain 1 //引用上面配置的keychain 1
[H3C-ike-profile-1]exchange-mode aggressive // IKE第一阶段的协商模式为野蛮模式
[H3C-ike-profile-1]local-identity address 198.76.28.30 //指定使用IP地址198.76.28.30标识本端身份
[H3C-ike-profile-1]match remote identity address 0.0.0.0 0.0.0.0 // //匹配对端身份类型为IP地址,取值为全0
[H3C-ike-profile-1]proposal 1 2 3 4 5 6 //配置IKE profile引用的IKE提议
#配置多个 ipsec 安全提议,采用不同的验证算法和加密算法
[H3C]ipsec transform-set 1 //创建IPsec安全提议1,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-1]encapsulation-mode transport //配置安全协议对报文的封装模式为传输模式
[H3C-ipsec-transform-set-1]esp encryption-algorithm aes-cbc-128 //指定加密算法为3des-cbc
[H3C-ipsec-transform-set-1]esp authentication-algorithm sha1 // 指定ESP协议采用MD5认证算法
[H3C]ipsec transform-set 2 //创建IPsec安全提议1,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-2]encapsulation-mode transport //配置安全协议对报文的封装模式为传输模式
[H3C-ipsec-transform-set-2]esp encryption-algorithm aes-cbc-256 //指定加密算法为aes-cbc-256
[H3C-ipsec-transform-set-2]esp authentication-algorithm sha1 // 指定ESP协议采用sha1认证算
[H3C]ipsec transform-set 3 //创建IPsec安全提议1,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-3]encapsulation-mode transport //配置安全协议对报文的封装模式为传输模式
[H3C-ipsec-transform-set-3]esp encryption-algorithm 3des-cbc //指定加密算法为3des-cbc
[H3C-ipsec-transform-set-3]esp authentication-algorithm sha1 // 指定ESP协议采用sha1认证算法
[H3C]ipsec transform-set 4 //创建IPsec安全提议1,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-4]encapsulation-mode transport //配置安全协议对报文的封装模式为传输模式
[H3C-ipsec-transform-set-4]esp encryption-algorithm des-cbc //指定加密算法为des-cbc
[H3C-ipsec-transform-set-4]esp authentication-algorithm sha1 // 指定ESP协议采用sha1认证算法
[H3C]ipsec transform-set 5 //创建IPsec安全提议1,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-5]encapsulation-mode transport //配置安全协议对报文的封装模式为传输模式
[H3C-ipsec-transform-set-5]esp encryption-algorithm aes-cbc-192 //指定加密算法为aes-cbc-192
[H3C-ipsec-transform-set-5]esp authentication-algorithm sha1 // 指定ESP协议采用sha1认证算法
[H3C]ipsec transform-set 6 //创建IPsec安全提议6,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-6]encapsulation-mode transport //配置安全协议对报文的封装模式为传输模式
[H3C-ipsec-transform-set-6]esp encryption-algorithm aes-cbc-256 //指定加密算法为aes-cbc-256
[H3C-ipsec-transform-set-6]esp authentication-algorithm sha1 // 指定ESP协议采用sha1认证算法
#配置一个名字为 1,序号为 1 的安全策略模板,引用 ike profile 和 ipsec 安全提议
[H3C]ipsec policy-template 1 1 //配置一个名字为 1,序号为 1 的安全策略模板
[H3C-ipsec-policy-template-1-1]transform-set 1 2 3 4 5 6 //调用IPSEC安全提议
[H3C-ipsec-policy-template-1-1]ike-profile 1 //指定IPsec安全策略policy 1中引用的IKE profile
#引用 ipsec 安全策略模板,创建 ipsec 安全策略
[H3C]ipsec policy 1 1 isakmp template 1 //引用 ipsec 安全策略模板,创建 ipsec 安全策略
#在公网口调用 ipsec 安全策略
[H3C]interface GigabitEthernet 0/0 //进入接口g0/0
[H3C-GigabitEthernet0/0]ipsec apply policy 1 //在0/0口下应用指定的IPsec安全策略组1
3.3
手机侧配置
3.4
Windown7 电脑侧配置
1.在命令行模式下执行 regedit 命令,弹出“注册表编辑器”对话框。在左侧注册表项目中逐级找到: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters ,单击 Parameters 参数,然后双击 ProhibitIpSec,把值改为 0.
2.打开控制面板/系统与安全/windows 防火墙高级设置/属性/IPSec 设置,如图
#选择 SHA-1,3DES,Group2
选择加密参数
选择预共享密钥,数值需要与 IKE 配置中的数值相同,然后确定,应用
配置好终端之后一定要重新启动电脑
3.打开 window7 自带客户端设置连接,选择新建连接
选择连接到工作区
选择设置 Internet 连接
右击 VPN 连接点属性
|
如果选证书可以拨号成功只是触发不了 ipsec,填上错误的密 |
使用密钥:也就是 ike 的共享密钥:
码拨号不成功(即使写 l2tp 的隧道密码也不行)。
- 2025-07-10回答
- 评论(0)
- 举报
-
(0)
您好,当 Client-Initiated 模式 L2TP 隧道增加 IPSec,且对端是移动端无固定 IP 时,可通过配置策略模板方式的 IPSec 安全策略来解决对端 IP 配置问题。具体如下:
配置原则:采用固定 IP 地址的一端(通常是企业总部网关 LNS)配置策略模板方式的 IPSec 安全策略,作为协商响应方;移动端作为协商发起方,需配置 ISAKMP 方式的 IPSec 安全策略。
配置要点:在策略模板配置中,引用 IPSec 安全提议和 IKE 对等体为必选配置,其他为可选配置。策略模板中没有定义的参数由发起方来决定,响应方会接受发起方的建议。
- 2025-07-10回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论