SECPATH F1000-905-AI 设置IPSEC和windows远程用户连接
- 0关注
- 0收藏,49浏览
F1000-905-AI:SSL VPN 与 L2TP over IPSEC可共存同时部署,两套 VPN 互相独立、端口不冲突(SSL 默认 TCP443;L2TP UDP500/4500/1701),下面分防火墙 CLI 配置、放行安全策略、Windows 客户端配置、NAT 环境注册表优化四部分。
组网前提:防火墙UNTRUST 为公网口(有公网 IP)、TRUST 为内网业务域
一、防火墙完整配置(V7 系统,现有 SSL 不动,新增 L2TP)
1、全局基础(IKE+IPSEC 预共享密钥,Windows 原生用预共享密钥)
plaintext
system-view
#1.IKE配置(L2TP依赖IKE协商IPSEC)
ike keychain L2TP-PSK
pre-shared-key simple VPN@2026# 【自定义预共享密钥,客户端一致】
ike profile L2TP-PROFILE
keychain L2TP-PSK
proposal default
#2.IPSEC策略模板(远程接入模板)
ipsec proposal L2TP-PROP
esp encryption-algorithm aes-256
esp authentication-algorithm sha2-256
ipsec policy-template L2TP-TEMP 1 isakmp
proposal L2TP-PROP
remote-addr any
ike-profile L2TP-PROFILE
ipsec policy L2TP-POL 1 isakmp template L2TP-TEMP
#3.绑定公网UNTRUST接口(替换为你的外网接口如G1/0/0)
interface GigabitEthernet 1/0/0
ipsec apply policy L2TP-POL
2、L2TP + 虚拟模板 + 地址池(分配客户端内网 IP)
plaintext
#创建客户端地址池(不能和内网业务网段重叠)
ip pool L2TP-POOL 10.20.1.2 10.20.1.100 gateway 10.20.1.1 mask 255.255.255.0
#虚拟模板VT(LNS网关地址,TRUST域)
interface Virtual-Template mode ppp
ip address 10.20.1.1 255.255.255.0
remote address pool L2TP-POOL
ppp authentication-mode chap 【Windows优先CHAP认证】
#开启L2TP服务、LNS模式
l2tp enable
l2tp-group default lns
virtual-template Virtual-Template
tunnel password simple L2TP@123 隧道密钥(可选,Windows不用填)
undo tunnel authentication 关闭隧道密码校验(Windows原生无需隧道密码)
3、创建本地 VPN 拨号账号(和 SSL 账号分开 / 共用均可)
plaintext
local-user l2tpuser class manage
password simple User@123456
service-type ppp 【L2TP必须PPP权限,SSL是SSL-VPN权限互不干扰】
4、放行安全策略(关键!不通基本都是策略拦截)
plaintext
#1.放行IPSEC/L2TP协议端口 UNTRUST→LOCAL
security-policy
rule name L2TP-LOCAL
source-zone untrust
destination-zone local
service udp destination-port eq 500
service udp destination-port eq 4500
service udp destination-port eq 1701
action permit
#2.放行VPN客户端访问内网TRUST资源
rule name L2TP-TO-TRUST
source-zone any
destination-zone trust
action permit
5、可选:路由(客户端网段 10.20.1.0/24,内网回程路由已存在不用配)
plaintext
ip route-static 10.20.1.0 255.255.255.0 Virtual-Template
二、Windows 客户端 L2TP/IPSEC 配置(Win10/Win11 通用)
新建 VPN 连接
设置→网络和 Internet→VPN→添加 VPN 连接
VPN 提供商:Windows (内置)
连接名称:自定义公司 L2TP
服务器地址:防火墙公网 IP / 域名
VPN 类型:使用预共享密钥的 L2TP/IPsec
预共享密钥:VPN@2026#(和防火墙 IKE 预共享密钥一致)
用户名:l2tpuser 密码:User@123456
保存
高级安全设置
更改适配器选项→右键刚建 VPN→属性→安全
VPN 类型:L2TP/IPSec
数据加密:需要加密
允许协议:勾选 CHAP
确定后直接连接即可
三、客户端在路由器 NAT 后面连不上(高频故障,改注册表)
绝大部分家用路由 NAT 环境 Windows 默认无法拨号,执行:
1.Win+R 输入regedit打开注册表
plaintext
路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
新建DWORD(32位):AssumeUDPEncapsulationContextOnSendRule,值=2
2. 重启电脑后重试连接
四、日常查看命令
plaintext
display l2tp session
display ipsec sa
display ip pool used
精简总结
SSL、L2TP 完全共存无冲突,不用修改现有 SSL 配置;
配置核心:IKE 预共享密钥统一 + VT 虚拟接口 + 地址池 + 放行 500/4500/1701 端口;
Windows NAT 环境必改注册表数值 2,否则拨号失败。
一、防火墙端配置(CLI 命令行)
首先确保外网口(如 G1/0/1)和内网口(如 G1/0/2)已划分到正确的安全域(Untrust 和 Trust),并配置好默认路由指向外网网关。
最关键的一步是放行 L2TP 和 IPSec 协议,否则客户端无法发起连接:
1<H3C> system-view
2# 放行 IPSec 和 L2TP 相关协议到外网口所在的安全域(通常是 Untrust)
3[H3C] firewall zone untrust
4[H3C-zone-Untrust] service ESP
5[H3C-zone-Untrust] service AH
6[H3C-zone-Untrust] service UDP destination-port 500
7[H3C-zone-Untrust] service UDP destination-port 4500
8[H3C-zone-Untrust] service UDP destination-port 1701
9[H3C-zone-Untrust] quit1# 配置 IKE 提议(第一阶段协商参数)
2[H3C] ike proposal 10
3[H3C-ike-proposal-10] encryption-algorithm aes-256
4[H3C-ike-proposal-10] quit
5
6# 配置 IKE 对等体,并开启 NAT 穿越(适应各种网络环境)
7[H3C] ike peer L2TP-PEER
8[H3C-ike-peer-L2TP-PEER] pre-shared-key simple 你的预共享密钥
9[H3C-ike-peer-L2TP-PEER] ike-proposal 10
10[H3C-ike-peer-L2TP-PEER] nat traversal
11[H3C-ike-peer-L2TP-PEER] quit
12
13# 配置 IPSec 安全提议(第二阶段加密参数)
14[H3C] ipsec proposal L2TP-PROP
15[H3C-ipsec-proposal-L2TP-PROP] esp encryption-algorithm aes-256
16[H3C-ipsec-proposal-L2TP-PROP] quit
17
18# 配置 IPSec 策略模板(L2TP 不需要配置具体的 ACL)
19[H3C] ipsec policy-template L2TP-TEMP 10
20[H3C-ipsec-policy-template-L2TP-TEMP-10] ike-peer L2TP-PEER
21[H3C-ipsec-policy-template-L2TP-TEMP-10] proposal L2TP-PROP
22[H3C-ipsec-policy-template-L2TP-TEMP-10] quit
23
24# 生成最终的 IPSec 策略并应用到外网接口(如 G1/0/1)
25[H3C] ipsec policy L2TP-POLICY 10 isakmp template L2TP-TEMP
26[H3C] interface GigabitEthernet 1/0/1
27[H3C-GigabitEthernet1/0/1] ipsec policy L2TP-POLICY
28[H3C-GigabitEthernet1/0/1] quit1# 开启 L2TP 功能
2[H3C] l2tp enable
3
4# 创建地址池,用于给远程拨入的 Windows 客户端分配虚拟 IP
5[H3C] local address pool vpnpool 192.168.100.1 192.168.100.50
6
7# 创建虚拟模板接口,配置客户端获取的 IP 和认证方式
8[H3C] interface Virtual-Template 1
9[H3C-Virtual-Template1] ip address 192.168.100.1 255.255.255.0
10[H3C-Virtual-Template1] remote address pool vpnpool
11[H3C-Virtual-Template1] ppp authentication-mode chap
12[H3C-Virtual-Template1] quit
13
14# 创建 L2TP 组并关联虚拟模板
15[H3C] l2tp-group 1 mode lns
16[H3C-l2tp-lns-1] allow l2tp virtual-template 1
17[H3C-l2tp-lns-1] undo tunnel authentication
18[H3C-l2tp-lns-1] quit
19
20# 创建本地拨号用户(用户名:vpnuser,密码:123456)
21[H3C] local-user vpnuser class network
22[H3C-luser-network-vpnuser] password simple 123456
23[H3C-luser-network-vpnuser] service-type ppp
24[H3C-luser-network-vpnuser] quit最后,必须配置安全策略允许 L2TP 拨入的用户访问内网资源:
1# 放行从 VPN 虚拟接口(Local域)到内网(Trust域)的流量
2[H3C] zone-pair security source local destination trust
3[H3C-zone-pair-Local-Trust] packet-filter 3001
4[H3C-zone-pair-Local-Trust] quit
5
6# 创建 ACL 3001,允许 VPN 地址池网段访问任意内网资源
7[H3C] acl advanced 3001
8[H3C-acl-ipv4-adv-3001] rule permit ip source 192.168.100.0 0.0.0.255 destination any
9[H3C-acl-ipv4-adv-3001] quit二、Windows 客户端配置
- 打开 设置 -> 网络和 Internet -> VPN -> 添加 VPN 连接。
- 按照以下参数填写:
- VPN 提供商:选择
Windows (内置) - 连接名称:自定义(如
公司VPN) - 服务器名称或地址:填写防火墙外网口的公网 IP 地址
- VPN 类型:下拉选择
使用 IPsec 的第 2 层隧道协议 (L2TP/IPSec) - 登录类型:选择
用户名和密码 - 用户名/密码:填写防火墙上创建的
vpnuser和123456 - 预共享密钥:填写你在防火墙
ike peer中设置的你的预共享密钥
- VPN 提供商:选择
- 点击“保存”。
- 在 VPN 列表中点击刚刚创建的连接,点击“连接”。
192.168.100.x 网段的 IP。此时,你就可以正常访问防火墙内网(Trust域)的服务器资源了。暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论