L2TP / IPsec是一種常見的×××類型，它將L2TP（一種不安全的隧道協議）包含在使用IPsec傳輸模式構建的安全通道內。從pfSense 2.2-RELEASE開始支持L2TP / IPsec。 本文將介紹如何配置服務器和設置客戶端。

成都創新互聯主營吉首網站建設的網絡公司,主營網站建設方案,App定制開發,吉首h5重慶小程序開發搭建,吉首網站營銷推廣歡迎吉首等地區企業咨詢

L2TP設置

配置 L2TP服務器

· 導航到××× > L2TP

· 選擇啟用L2TP服務器

· 選擇WAN接口

· 將Server Address （服務器地址）設置為未使用的專用子網IP，如192.168.32.1   注意:這不是公共IP地址或L2TP服務的“監聽”IP，它是一個本地IP地址，用作客戶端上的“網關”

· 將 Remote Address Range（遠程地址范圍）設置為未使用的專用子網，如192.168.32.128

· 將Subnet Mask（子網掩碼）設置為客戶端地址范圍的適當值，例如25

· 將Number of L2TP Users （L2TP用戶數）設置為預期的L2TP用戶的高并發數，例如8個

· 把Secret（密碼）選項留空

· 設置Authentication Type （認證類型）為CHAP

· 設置L2TP DNS服務器或留空

· 如果需要，設置RADIUS選項

添加 L2TP用戶

如果未使用RADIUS，請將L2TP用戶添加到pfSense。

· 導航到××× > L2TP, Users（用戶）選項卡

· 單擊 “+”添加新用戶

· 填寫 Username（用戶名）, Password/Confirmation（密碼和確認密碼）

· 如果需要，在所選擇的子網中設置靜態IP address （IP地址）

· 單擊保存

· 根據需要重復添加更多用戶

IPsec設置

設置好L2TP服務器后，我們來進行IPsec的設置。 以下設置已經過測試并有效，但是其他類似的設置也可能會起作用。

Mobile Clients Tab（移動客戶端）

· 導航到××× > IPsec, Mobile Clients（移動客戶端）選項卡

· Enable IPsec Mobile Client Support（啟用IPSec移動客戶端支持）

· 將User Authentication （用戶身份驗證）設置為本地數據庫

· 不要選中Provide a virtual IP address to clients（為客戶端提供虛擬IP地址）

·  不要選中Provide a list of accessible networks to clients（提供可訪問的網絡列表給客戶端）

· 單擊Save（保存）

Phase 1

· 單擊Tunnels（隧道）選項卡

· 設置 Enable IPsec（啟用IPsec）

· 單擊Save（保存）

· 單擊Create Phase1（創建Phase1）按鈕，或編輯現有的移動IPsec Phase 1

· 如果沒有Phase 1,并且沒有出現創建Phase1按鈕，請返回到移動客戶端選項卡，然后單擊它。

· 設置 Key Exchange version （密鑰交換版本）為 1KEv1

· 填寫Description（描述說明）

· 設置Authentication method （認證方法）為Mutual PSK

· 設置Negotiation Mode（談判模式）為 Main

· 設置 My Identifier（我的標識符）為 My IP address

· 設置Encryption algorithm （加密算法）為 AES 256

· 設置 Hash algorithm（哈希算法）為 SHA1

· 設置 DH key group（DH密鑰組）為14 (2048 bit)

· 注意:IOS和其他平臺可能與DH key group  2 配合使用

· 設置Lifetime（有效期） 為 28800

· 不要選中 Disable Rekey（禁用預授密鑰）

· 不要選中Disable Reauth（禁用預認證 ）

· 設置 NAT Traversal（NAT穿透）為 Auto

· 設置 Enable DPD（啟用失效對等體檢測）, 設置10秒和5次重試

· 單擊 Save（保存）

Phase 2

· 單擊 “+”顯示Mobile IPsec Phase 2列表

· 單擊“+”添加新的 Phase 2條目，或單擊 “e”編輯已有條目

· 設置 Mode（模式）為 Transport

· 填寫Description（描述說明）

· 設置Protocol（協議） 為 ESP

· 設置 Encryption algorithms（加密算法）為AES 128

· 設置 Hash algorithms（哈希算法） 為SHA1

· 設置 PFS Key Group（密鑰組）為off

· 設置 Lifetime（有效期）為 3600

· 單擊 Save（保存）

Pre-Shared Key（預共享密鑰）

IPsec隧道已配置完成，現在必須以特殊的方式配置預共享密鑰，這對所有客戶端都是常見的。

· 導航到 ××× > IPsec, Pre-Shared Keys選項卡

· 單擊 “+” 添加新的PSK

· 設置Identifier（標識符）為 allusers

· 注意： “allusers”名稱是pfSense用于配置通配符PSK的特殊關鍵字，這對于L2TP / IPsec來說是必需的。 不要為此PSK使用任何其他標識符!

· 設置Secret Type （加密類型）為PSK

· 輸入 Pre-Shared Key（預共享密鑰）,如aaabbbccc –可以比這個更長一些，那將更隨機、更安全！

· 單擊Save（保存）

· 單擊Apply Changes（應用更改）

Firewall Rules and NAT（防火墻規則和NAT）

從客戶端主機通過IPsec傳輸流量以建立L2TP隧道，并且在L2TP內部將實際的隧道×××流量傳遞到跨×××的系統，必須要設置防火墻規則。

IPsec Rules（IPsec規則）

· 導航到Firewall > Rules, IPsec選項卡

· 查看當前規則。 如果有一個“允許全部”樣式規則，則不需要另外添加。 可以繼續下一個任務。

· 單擊 “+”添加新規則

· 設置 Protocol （協議）為any，設置 Source（源）和 Destination （目標）為any

注意： 這不必通過所有流量，但至少必須通過L2TP（UDP端口1701）到防火墻的WAN IP地址

· 單擊Save（保存）

· 單擊Apply Changes（應用更改）

L2TP Rules（L2TP規則）

· 導航到 Firewall > Rules, L2TP ×××選項卡

· 查看當前規則。 如果有一個“允許全部”樣式規則，則不需要另外添加。 可以繼續下一個任務。

· 單擊 “+”添加新規則

· 設置 Protocol （協議）為any，設置 Source（源）和 Destination （目標）為any

注意：這不必傳遞所有流量，更嚴格的規則是可以限制客戶端可以去的地方

· 單擊Save（保存）

· 單擊Apply Changes（應用更改）

Outbound NAT（出站NAT）

如果客戶端必須通過×××，然后再返回到Internet，則很有可能需要出站NAT。

· 導航到Firewall > NAT, Outbound 選項卡

· 檢查規則，看看它們是否適用于L2TP客戶端。 在自動或混合模式下，L2TP子網應列在自動規則部分。

· 如果啟用手動出站NAT，并且不存在相應規則，則添加規則來覆蓋L2TP客戶端。

DNS Configuration（DNS配置）

如果DNS服務器提供給客戶端，并且如果使用未綁定DNS解析器，則為L2TP客戶端選擇的子網必須添加到它的訪問列表。

· 導航到 Services > DNS Resolver, Access Lists（訪問列表） 選項卡

· 單擊“+”添加新的訪問列表

· 輸入 Access List Name（訪問列表名稱）,如××× Users

· 設置Action（動作）為 Allow（允許）

· 單擊 “+”添加Networks（網絡）

· 在“網絡”框中輸入×××客戶端子網，例如。192.168.32.128

· 選擇正確的CIDR值，例如： 25

· 單擊Save（保存）

· 單擊Apply Changes（應用更改）

Client Setup（客戶端設置）

Windows

現在我來創建客戶端×××連接。 根據正在使用的Windows的版本，有幾種方法來添加這樣的連接。 你可以根據需要來進行調整。

· 在客戶端電腦上打開網絡和共享中心

· 單擊設置新的連接或網絡

· 選擇連接到工作區

· 單擊下一步

· 如果沒有就創建一個新的連接

· 單擊下一步

· 單擊使用我的Internet連接(×××)

· 在Internet地址欄輸入IP地址或主機名

· 輸入目標名稱以標識連接

· 單擊創建

連接已創建，但有幾個默認值還必須進行修改才能正確使用。 例如，類型默認為自動，如果存在PPTP連接，則會鎖定到PPTP連接，這將是非常糟糕的。 所以一定要先修改部分默認：

· 在Windows中的網絡連接/適配器設置中，找到剛才創建的連接

· 在連接上單擊右鍵

· 單擊屬性

單擊安全選項

· 設置×××類型為使用IPsec（L2TP / IPsec）的2層隧道協議 IPsec (L2TP/IPsec)

· 單擊高級設置

· 選擇使用預共享的密鑰作身份驗證

· 輸入密鑰，例如： aaabbbccc

· 單擊確認

· 設置數據加密為：需要加密（如果服務器拒絕將斷開連接）

· 設置身份驗證/允許使用這些協議為質詢握手身份驗證協議 (CHAP)（H）–以匹配L2TP中的設置

· 單擊確認

Try it Out（試試看）

經過上面的設置，現在應該可以連接到×××了。

Troubleshooting（故障排查）

Firewall traffic blocked outbound（防火墻流量阻塞了出站）

如果防火墻日志顯示L2TP上的流量阻塞“out”，則添加一個浮動防火墻規則來解決該問題發生：

· 導航到 Firewall > Rules, Floating（浮動）選項卡

· 單擊 “+”添加新規則

· 設置Action（動作） 為 Pass（通過）

· 設置 Quick（快速）

· 接口選擇為L2TP ×××

· 設置 Direction（方向）為 Out

· 設置Protocol （協議）為 TCP

· 根據需要設置 Source/Destination （源和目標），或設置為any

· 高級選項：

· 設置TCP Flags（TCP標識） 為 Any flags

· 設置State Type （狀態類型）為Sloppy State

Precautions（注意事項）

如果客戶端在NAT后面，Windows客戶端將不能連接到服務器。可以考慮通過IKEv2來實現×××連接（如果你通過路由上網，而不是直接分配外網IP上網，將不能使用L2TP / IPsec類型的×××）。可以參考這篇文章：http://fxn2025.blog.51cto.com/24757/1983419。

原文地址：https://doc.pfsense.org/index.php/L2TP/IPsec

2017年5月31日

另外有需要云服務器可以了解下創新互聯cdcxhl.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業上云的綜合解決方案，具有“安全穩定、簡單易用、服務可用性高、性價比高”等特點與優勢，專為企業上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

名稱欄目：pfSenseL2TP和IPsec的設置-創新互聯
文章路徑：http://www.js-pz168.com/article44/cohiee.html

成都網站建設公司_創新互聯，為您提供網頁設計公司、ChatGPT、動態網站、企業建站、網站建設、品牌網站設計

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯