Windows主机L2TP VPN典型配置
Windows自身可以作为PPTP/L2TP/IPSec三种VPN的接入客户端,而无需专门的VPN拨号软件(例如iNode)。其中,比较典型的应用是Windows的L2TP VPN,因此本文档将说明在Windows平台上如何配置L2TP VPN接入。
PC1作为L2TP客户端,拨入SecPath V100-A VPN设备。
如图所示,使用SecPath V100-A作为L2TP的LNS,客户端软件是Windows自带的拨号软件。
[VPN]dis cur
#
sysname VPN
#
l2tp enable //使能L2TP功能
#
insulate
#
undo connection-limit enable
connection-limit default deny
connection-limit default amount upper-limit 50 lower-limit 20
#
radius scheme system
server-type huawei
#
domain system
ip pool 1 192.168.1.2 192.168.1.3 //在相应域下配置地址池,默认域为system
#
local-user h3c //配置L2TP接入用户
password simple h3c
service-type ppp
#
interface Virtual-Template1 //配置拨入虚模板
ppp authentication-mode pap
ip address 192.168.1.1 255.255.255.0
#
interface Aux0
async mode flow
#
interface Ethernet0/0
ip address 202.38.1.1 255.255.255.0
#
interface Encrypt1/0
#
interface NULL0
#
interface LoopBack1 //配置Loopback地址,用于测试
ip address 3.3.3.3 255.255.255.255
#
l2tp-group 1 //配置L2TP组
undo tunnel authentication
allow l2tp virtual-template 1
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode none
user privilege level 3
#
return
2. Windows L2TP配置
2.1 禁用证书方式的IPSEC
Windows的L2TP功能缺省启动IPSEC,即缺省为L2TP+IPSec VPN,并且IPSec的验证方式为证书方式,应当在注册表中禁用证书方式的IPSec。
方法如下:
在Windows的开始à运行里面输入regedit,找到如下位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
加入如下注册项:
Value Name: ProhibitIPSec
Data Type: REG_DWORD
Value: 1
【注意】:注册表修改完成后需要重启Windows。
2.2 创建L2TP连接
按下面图形依次进行
【说明】:XP和2000/2003 Server的配置略有不同,没有列在下面的步骤按缺省操作即可,下面操作步骤在Windows 2003系统上完成。
PC1配置IP地址202.38.1.2。(本举例中PC1并未指定网关,这是为了拨号后测试通过VPN ping Loopback地址,实际组网以用户环境为主,一般来讲需配置网关)。
此地址为SecPath V100-A的外网口地址,即接受L2TP拨入的公网地址。
点击“属性”。
选择安全à高级(自定义设置),点击设置按钮。
选择认证方式,建议除最后一项外全部勾选。
【说明】:Windows默认的认证方式为MS-CHAP,可以兼容我司的CHAP认证方式。但如果在虚模板里面配置的ppp authentication-mode不是chap,则必须在上面勾选相应协议。
Ping内网地址3.3.3.3,可以ping通。
1, 错误800:不能建立VPN连接
原因分析:此错误表示Windows无法和VPN设备建立连接。
解决方法:首先通过ping VPN地址来确定路径是否可达。如果可以ping通网关,但还是提示800错误,请确认是否已经修改注册表(禁用IPSec,见2.1部分),注意修改注册表后必须重启windows主机。
2, 错误781:连接需要证书
原因分析:未禁用证书方式的IPSec
解决方法:修改注册表,禁用证书方式的IPSec(见2.1部分)。
3, 错误741:本地计算机不支持所要求的数据加密类型
原因分析:客户端所配置的认证协议不包含VPN的认证协议,例如VPN配置了PAP验证,但客户端还是默认的MS-CHAP认证。
解决方法:在VPN连接的“安全à高级(自定义设置)”部分可以更改(见2.2最后部分)。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作