问
MSR810-EI L2TP vpn只允许访问内网,禁用外网
4小时前提问
- 0关注
- 0收藏,45浏览
出差员工通过L2TP VPN接入内网后,MSR810系列路由器完全可以实现“只允许访问内网,禁止访问外网”的需求。官方文档也明确显示,MSR810支持L2TP的LNS(服务器端)模式。
这项需求的核心是 “分拆隧道”(Split Tunneling) 策略的配置,主要方案有两种:路由控制法(常用)和策略路由法(可选)。你提到的MSR810-EI属于V7平台,支持通过命令行(CLI)或Web界面两种方式进行配置。为了让你更清晰地了解,我把两种方法的优劣整理成了表格:
方案对比
| 方案 | 核心原理 | 优缺点 |
|---|---|---|
| 路由控制法 (推荐) | 不向VPN客户端下发默认路由,仅下发内网路由。客户端访问外网的流量,由其本地网关处理,不会进入VPN隧道。 | 优点:实现简单,对路由器性能影响小,是业内最通用的做法。 缺点:依赖客户端的配置策略,部分终端可能需要手动取消“在远程网络上使用默认网关”。 |
| 策略路由法 (可选) | 路由器上配置策略路由,针对VPN流量进行精细化控制。将访问内网的流量引入VPN隧道,而将访问外网的流量丢弃或转发到公网。 | 优点:控制力最强,可以从路由器端强制策略,不依赖客户端配置。 缺点:配置相对复杂,对路由器性能有一定影响。 |
方案一:路由控制法
这是推荐方案,通过在路由器上配置,实现“VPN只传内网数据,上网走本地宽带”。
第一步:配置L2TP VPN服务器端
确保VPN服务器已配置好,并给客户端分配一个专用的内网地址池(例如 192.168.10.0/24),且这个地址池不能与企业内网现有网段冲突。
第二步:配置NAT出接口访问控制(关键步骤)
这是实现“禁止VPN客户端上网”的核心。需要在MSR路由器上配置高级ACL,拒绝来自VPN地址池(如192.168.10.0/24)的流量通过NAT转换访问外网。
Web界面配置:
登录路由器Web管理页面。
在导航栏中选择 “高级选项” > “地址转换” > “NAT配置”。
编辑用于外网访问的NAT规则,在“源地址”或“ACL”选项中,明确将VPN地址池的网段排除在外。通常,你需要创建一个规则,deny(拒绝) 源地址为VPN地址池的流量。
命令行(CLI)配置参考:
<H3C> system-view# 创建一个高级ACL,拒绝来自VPN地址池的流量
[H3C] acl advanced 3000
[H3C-acl-ipv4-adv-3000] rule 5 deny ip source 192.168.10.0 0.0.0.255 # 创建一个规则,允许其他所有流量
[H3C-acl-ipv4-adv-3000] rule 1000 permit ip
[H3C-acl-ipv4-adv-3000] quit # 在NAT出接口上应用该ACL
[H3C] interface GigabitEthernet 0/0/1 # 替换为你的实际外网接口
[H3C-GigabitEthernet0/0/1] nat outbound 3000
第三步:配置客户端
即使路由器配置正确,如果Windows VPN客户端勾选了“在远程网络上使用默认网关”,客户端的所有流量仍会强制走VPN隧道。因此,必须在客户端取消此勾选:“在远程网络上使用默认网关”。
方案二:策略路由法
如果企业有严格的安全要求,希望从路由器端强制策略,而不信任客户端设置,可以采用此方法。基本思路是:在路由器上创建策略路由,为VPN客户端流量指定转发行为——访问内网走隧道,访问外网则丢弃。
配置思路(CLI):
[H3C] acl advanced 3100# 创建ACL,匹配需要放行的内网流量
[H3C-acl-ipv4-adv-3100] rule 5 permit ip destination 10.0.0.0 0.255.255.255 # 内网网段
[H3C-acl-ipv4-adv-3100] quit # 创建策略路由,匹配来自VPN地址池的流量
[H3C] policy-based-route pbr1 permit node 10
[H3C-pbr-pbr1-10] if-match acl 3100
[H3C-pbr-pbr1-10] apply next-hop 10.0.0.1 # 内网网关地址
[H3C-pbr-pbr1-10] quit [H3C] policy-based-route pbr1 deny node 20
[H3C-pbr-pbr1-20] if-match acl 3200 # 匹配来自VPN地址池的所有流量
[H3C-pbr-pbr1-20] quit # 在VPN的VT接口应用策略路由
[H3C] interface Virtual-Template 1
[H3C-Virtual-Template1] ip policy-based-route pbr1
重要提醒
VPN地址池规划:确保分配给VPN客户端的IP地址池(如
192.168.10.0/24),与公司内网现有网段及VPN客户端家庭/酒店局域网的网段都不冲突,否则会导致路由问题。DNS解析:如果禁止VPN客户端上网,需要确保其DNS服务器能解析内网域名。通常可以配置VPN客户端使用公司内网的DNS服务器。
WiNet型号限制:请注意,MSR810-LMS/810-LUS等带有 “-WiNet” 后缀的型号不支持L2TP的LNS(服务器)模式。如果你的设备是WiNet系列,上述方案将不适用,需要检查具体型号。
zhiliao_Gixe
四段
MSR810-EI V7版本完全支持该功能,实现方法如下:
场景1:拨入VPN后客户端完全不能访问外网,仅可访问内网
1. 配置L2TP地址池,强制给客户端推送VPN默认路由、内网DNS
2. 公网口NAT配置排除L2TP地址段,关键命令:
acl number 3000
rule 0 deny ip source 10.1.1.0 0.0.0.255 //替换为你的L2TP地址段
rule 5 permit ip source 192.168.0.0 0.0.255.255 //替换为你的内网段
int g0/0 //公网口
nat outbound 3000
3. 可选在Virtual-Template口入方向挂ACL双重控制:
acl 3001
rule 0 permit ip destination 192.168.0.0 0.0.255.255
rule 5 deny ip
int Virtual-Template 0
packet-filter 3001 inbound
场景2:仅禁止通过VPN访问外网,客户端本地公网流量走本地
配置拆分隧道,仅给客户端推送内网路由,VT口下配置ppp ipcp route 192.168.0.0 255.255.0.0即可。
重要提醒:配置前执行save备份当前配置,避免配置错误导致断网。
场景1:拨入VPN后客户端完全不能访问外网,仅可访问内网
1. 配置L2TP地址池,强制给客户端推送VPN默认路由、内网DNS
2. 公网口NAT配置排除L2TP地址段,关键命令:
acl number 3000
rule 0 deny ip source 10.1.1.0 0.0.0.255 //替换为你的L2TP地址段
rule 5 permit ip source 192.168.0.0 0.0.255.255 //替换为你的内网段
int g0/0 //公网口
nat outbound 3000
3. 可选在Virtual-Template口入方向挂ACL双重控制:
acl 3001
rule 0 permit ip destination 192.168.0.0 0.0.255.255
rule 5 deny ip
int Virtual-Template 0
packet-filter 3001 inbound
场景2:仅禁止通过VPN访问外网,客户端本地公网流量走本地
配置拆分隧道,仅给客户端推送内网路由,VT口下配置ppp ipcp route 192.168.0.0 255.255.0.0即可。
重要提醒:配置前执行save备份当前配置,避免配置错误导致断网。
暂无评论
结论:H3C MSR810-EI 完全支持。出差员工拨 L2TP VPN 后,只允许访问内网、禁止访问外网,用 ACL + 流量过滤就能实现,不需要高级特性。
一、实现原理(一句话)
- L2TP 拨号成功后,用户会从 Virtual-Template(VT 接口) 获取内网地址
- 在 VT 接口入方向用 ACL 做过滤:
- 允许访问内网网段
- 禁止访问其他所有(即外网)
- 这样 VPN 用户只能通内网,不能上互联网。
二、可直接复制的完整配置(MSR810-EI V7)
1. 基础配置(L2TP + 地址池 + 用户)
bash
运行
# 开启 L2TP
l2tp enable
# 配置地址池(给VPN用户)
dhcp server ip-pool L2TP_POOL
gateway-list 192.168.1.1 # VPN网关(VT接口IP)
network 192.168.1.0 mask 255.255.255.0
dns-list 192.168.1.1 # 内网DNS
quit
# 虚拟模板接口(L2TP用)
interface Virtual-Template 1
ip address 192.168.1.1 255.255.255.0
ppp authentication-mode chap pap
remote address pool L2TP_POOL
quit
# L2TP 组配置
l2tp-group 1
allow l2tp virtual-template 1
tunnel authentication
tunnel password cipher Admin@123 # 隧道密码
quit
# 本地用户(VPN拨号账号)
local-user vpnuser class network
password cipher Admin@123
service-type ppp
authorization-attribute user-role network-operator
quit
2. 核心:ACL 限制仅内网(关键)
bash
运行
# 高级ACL 3000:允许内网,禁止外网
acl advanced 3000
# 允许访问内网(替换成你的内网段)
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255
rule 20 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.0.0 0.15.255.255
rule 30 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
# 禁止所有其他(即禁止外网)
rule 100 deny ip
quit
3. 在 VT 接口应用 ACL(生效)
bash
运行
interface Virtual-Template 1
# 入方向过滤:VPN用户发过来的流量
traffic-filter inbound acl 3000
quit
4. 放通 L2TP 协议(外网可拨号)
bash
运行
acl advanced 3001
rule 10 permit udp destination-port eq 1701 # L2TP
rule 20 permit udp destination-port eq 500 # IKE
rule 30 permit udp destination-port eq 4500 # NAT-T
quit
# 在外网口(如Dialer1/GigabitEthernet0/0)应用
interface Dialer1
traffic-filter inbound acl 3001
quit
5. 保存
bash
运行
save
三、效果说明
- 员工拨号成功后:
- ✅ 能 ping / 访问 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 所有内网
- ❌ 不能上外网(ping 8.8.8.8、百度等全部不通)
- 内网用户不受影响,正常上网。
四、常见问题
Q1:我内网不是 192.168/172/10,怎么改?
把 ACL 里的
destination 换成你真实内网网段即可:bash
运行
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.0 0.0.0.255
rule 20 permit ip source 192.168.1.0 0.0.0.255 destination 10.20.30.0 0.0.0.255
Q2:想让部分 VPN 用户能上外网,部分不能?
- 建两个地址池、两个 VT、两个 L2TP 组
- 一个 VT 绑 ACL 禁外网,一个不绑
- 不同用户分到不同组。
Q3:MSR810-EI 性能够吗?
- 足够。L2TP + ACL 是基础功能,810-EI 完全支持,不挑版本。
五、最简总结
MSR810-EI 支持 L2TP VPN 仅访问内网。配置 = L2TP 基础 + 地址池 + ACL 允许内网 + VT 接口流量过滤
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论