1. L2TP简介:
L2TP作为一种快速部署的VPN服务,可以应用在很多场景中:
- 异地的分支办公室连接总部网络:分支办公室路由器作为L2TP客户端,拨入总部的L2TP服务,向自己的局域网提供透明接入(如果条件允许,推荐使用ipsec点到点连接实现这类需求);
- 员工在家或出差时接入公司网络访问内部资源:员工个人电脑作为L2TP客户端,拨入公司网络后访问内部资源,可避免直接将公司内部的服务暴露在公网,安全性更高(本场景的替代方案有 SSL VPN、OpenVPN)。
2. L2TP方案由服务端和各类客户端组成:
2.1 服务端(即LNS)
LNS需要配置两个地方:L2TP参数配置、用户管理。服务配置涉及到的重要参数有IP地址池配置(用来分配给L2TP客户端),预共享密钥(如果使用PSK方式进行服务协商),认证协议,加密方式(建议开启并使用ipsec进行加密,不过一般的L2TP服务器都预置了加密方式,无法简单地手动开启或者关闭)。
- 开启服务,并配置地址池、预共享密钥、认证方式
- 用户管理
- 如果L2TP服务器有防火墙功能,需要再添加两条策略:
- 在WAN口允许L2TP服务端口的访问;
- 在l2tp虚拟接口允许来自L2TP客户端的访问。
2.2 客户端
2.2.1 Windows
- 设置
- 拨号并测试(SSH登录对端服务器 192.168.3.4)
2.2.2 Linux
这个得吐槽一下,Ubuntu居然不带L2TP客户端。
2.2.3 手机
- 配置并拨号
- 连接测试
2.2.4 路由器作为客户端
路由器作为L2TP客户端的时候,可以为整个内网提供透明代理,和单客户端不同的是,它需要为目标网段添加静态路由,这样局域网内的电脑在访问目标网络时才能找到正确出口。
- 路由器作为客户端,添加服务器并拨号连接;
- 为目标网段添加静态路由,网关为l2tp服务器的地址;
- 路由器下面的PC无需任何设置,即可直接访问目标网络(SSH连接对端服务器)。
2.2.5 服务器查看在线用户信息
