EdgeMax VPN L2TP Server

在实际环境中，经常会遇到出差在外，或者在家办公，想访问公司某些服务器资源，或者在国内想访问国外某些资源，此时需要用到远程接入 VPN，远程接入有 PPTP,L2TP,OPENVPN 等，此案例讲解 L2TP

案例拓扑

此案例中使用一台 ER5 接入互联网，ER5 下挂一台服务器，远端有一台 PC 机器来远程 VPN 接入网络，并且可以访问服务器资源；ER5 eth0 地址 A.A.A.A，eth1 地址 10.10.100.1，服务器地址 10.10.100.101.

实现目的

远程 PC 可以 VPN 连接 ER5,可以访问内部服务器资源，并且公网地址从 ER5 出去，还可以访问 ER5 路由器。

我们将 ER5 路由器当成 L2TPVPN 服务器来为远程拨号接入分配地址和与预享密钥

ER5 配置如下：

配置路由器接口：

配置 NAT

通过命令行配置 L2TP VPN

配置 VPN 应用于 eth0 口，配置允许所有网段通过 nat，配置 nat 穿越

set vpn ipsec ipsec-interfaces interface eth0set vpn ipsec nat-networks allowed-network 0.0.0.0/0set vpn ipsec nat-traversal enable

配置 L2TP 验证模式为本地验证，配置本地验证的用户名和密码

set vpn l2tp remote-access authentication local-users username ubnt password ubntset vpn l2tp remote-access authentication mode local

配置远程 PC 连接 VPN 后获取的 IP 地址和

set vpn l2tp remote-access client-ip-pool start 10.10.100.10set vpn l2tp remote-access client-ip-pool stop 10.10.100.20set vpn l2tp remote-access dns-servers server-1 10.10.100.1set vpn l2tp remote-access dns-servers server-2 8.8.8.8

配置 L2TP 的加密的方式和密钥及 IKE 的存活时间

set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secretset vpn l2tp remote-access ipsec-settings authentication pre-shared-secret ubntset vpn l2tp remote-access ipsec-settings ike-lifetime 3600

配置 L2TP 本地和对端公网 IP 地址

set vpn l2tp remote-access outside-address A.A.A.A（公网地址）
set vpn l2tp remote-access outside-nexthop A.A.A.B

ER 路由器的 VPN 配置已经配置好了，接下来需要对客户端进行配置

新建一个 VPN 连接

更改客户端 VPN 网卡的验证属性

在连接的时候输入配置的用户名和密码分别是 ubnt，ubnt

此时点击确定就可以连接上 VPN，我们可以看到 VPN 网卡已经获取到 10.10.100.0 网段的地址

然后 ping10.10.100.1 和 10.10.100.101 都可以 ping 通

此时如果在百度里面输入 IP 就可以看到公网 IP 地址已经更改为路由器的公网 IP 地址

并且 PC 机可以通过 web 方式访问路由器

此时通过 SSH 方式登录到 ER5 上面可以查看到拨入 VPN 的客户端的 IP 地址和相关的信息