簡述海外臺站在RouterOS上配置L2TP VPN服務(wù)器的方法與步驟

李東杰

(國家新聞出版廣電總局無線電管理局七二三臺,050011)

?

簡述海外臺站在RouterOS上配置L2TP VPN服務(wù)器的方法與步驟

李東杰

(國家新聞出版廣電總局無線電管理局七二三臺,050011)

摘要：本文通過利用路由器式VPN技術(shù)，逐步闡述了如何在RouterOS上配置海外臺站L2TP VPN服務(wù)器的方法與步驟，這使海外臺站在Internet網(wǎng)絡(luò)上建立了一條以遠(yuǎn)程訪問協(xié)議為基礎(chǔ)的安全便捷可靠的私有的數(shù)據(jù)傳輸隧道，為涉外辦公人員通過私有通道訪問單位內(nèi)網(wǎng)，實現(xiàn)資源共享，提供了安全、高效、便利的遠(yuǎn)程辦公解決方案。

關(guān)鍵詞：L2TP;RouterOS;遠(yuǎn)程訪問;路由器式;VPN技術(shù)

因海外臺站移動辦公的需要，急需在Internet公共網(wǎng)絡(luò)上開辟一條安全、可靠、便捷的數(shù)據(jù)傳輸隧道，即建立一條以遠(yuǎn)程訪問協(xié)議為基礎(chǔ)的私有通道，我們決定利用海外臺站現(xiàn)有的RouterBOARD 750路由器的便利條件，采用路由器式VPN（虛擬專用網(wǎng)絡(luò)）技術(shù)來實現(xiàn)對臺站局域網(wǎng)及服務(wù)器的訪問。這樣就可以讓外網(wǎng)用戶通過Internet公網(wǎng)訪問臺站內(nèi)部局域網(wǎng)的共享資源，為出行在外的員工檢索臺站內(nèi)部資料及外部人員對臺站服務(wù)器進(jìn)行代管等應(yīng)用提供了良好條件。VPN的隧道協(xié)議主要有PPTP、L2TP和IPSec這三種，其中PPTP與L2TP為二層隧道協(xié)議，IPSec為三層隧道協(xié)議,這次我們使用的是L2TP協(xié)議。L2TP協(xié)議是一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，其功能和PPTP協(xié)議大致類似，不同之處在于L2TP協(xié)議要求面向數(shù)據(jù)包的點對點連接，而PPTP協(xié)議要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)；L2TP協(xié)議使用多隧道，而PPTP使用單一隧道；L2TP協(xié)議可提供包頭壓縮、隧道驗證等，而PPTP協(xié)議則不支持。我們現(xiàn)在開始簡單地介紹一下遠(yuǎn)程用戶安全訪問臺站內(nèi)部資源的情況下如何在RouterOS上配置海外臺站的L2TP VPN服務(wù)器。

我們先利用Winbox客戶端軟件（配置管理RouterOS系統(tǒng)的軟件）登錄配置管理界面，用其對配置L2TP VPN服務(wù)器進(jìn)行操作，具體配置步驟如下：

1　創(chuàng)建客戶端撥入網(wǎng)段IP地址池

該地址池主要用于給撥入臺站的用戶分配IP地址，因此該地址池的網(wǎng)段不能與RouterOS配置中的任何一個網(wǎng)段相同。

在Winbox配置界面里，選擇點擊IP →再點擊Pool →在彈出的IP Pool設(shè)置框里的Pools設(shè)置欄中，點擊“+”號→在彈出的New IP Pool 設(shè)置框里，Name欄中輸入如vpn l2tppool的新建名稱；Addresses欄中輸入如192.168.10.11-192.168.10.99的新建地址網(wǎng)段；Next Pool 欄下拉菜單里選擇none（默認(rèn)）→點擊OK，則創(chuàng)建客戶端撥入網(wǎng)段地址池完成。

2　創(chuàng)建配置L2TP VPN服務(wù)器Profile模板

在Winbox配置界面中，選擇點擊PPP →在彈出的PPP設(shè)置框里選擇點擊Profiles 項→在Profiles設(shè)置欄里，點擊“+”號→在彈出的New PPP Profile設(shè)置框里的General設(shè)置欄中，Name欄中輸入如vpn l2tp-profile1的新建名稱；Local Address欄中輸入一個與第一步在同一網(wǎng)段的 IP地址，如192.168.10.10；Remote Address 欄下拉菜單里選擇第一步所創(chuàng)建的IP地址池，即vpn l2tp-pool；DNS Server欄中默認(rèn)即可→點擊OK，則創(chuàng)建配置L2TP VPN服務(wù)器Profile模板基本完成。

3　啟用配置L2TP Server服務(wù)

在Winbox配置界面中，選擇點擊PPP →在彈出的PPP設(shè)置框里的Interface設(shè)置欄中，選擇點擊L2TP Server項→在彈出的PPTP Server設(shè)置框里點擊勾選上Enable；Max MTU欄與Max MRU欄均設(shè)置成1460；Default Profile欄下拉菜單里選擇vpn l2tp-profile1；在Authentication（身份驗證）設(shè)置項里，分別點擊勾選上chap、mschap1、mschap2等三種認(rèn)證方式，其余的設(shè)置項不進(jìn)行修改，默認(rèn)即可→點擊Apply →點擊OK?；氐絼偛诺腜PP設(shè)置框里，在Interface設(shè)置欄中，點擊“+”號下拉菜單，在選項框里選擇點擊L2TP Server Binding項→在彈出的New Interface設(shè)置框里的General設(shè)置欄中，Name欄中輸入如vpn l2tp-in1的新建端口名稱；其它項默認(rèn)→點擊OK，則配置L2TP Server服務(wù)基本完成。

4　創(chuàng)建客戶端L2TP VPN撥號用戶

創(chuàng)建用戶用于提供給遠(yuǎn)程用戶撥入，即建立L2TP虛擬專用網(wǎng)絡(luò)的用戶登錄名和密碼。

在Winbox配置界面中，選擇點擊PPP →在彈出的PPP設(shè)置框里的Secrets設(shè)置欄中，點擊“+”號→在彈出的New PPP Secret設(shè)置框里，Name欄中輸入創(chuàng)建的如l2tp user的用戶登錄名；Password欄中輸入登錄時所用的密碼，如l2tp123；Service欄下拉菜單里選擇l2tp；Profile欄下拉菜單里選擇第二步所創(chuàng)建的Profile，即vpn l2tp-profile1；也可以在Remote Address欄中為遠(yuǎn)程用戶分配固定的IP地址，如192.168.10.66→點擊OK，則創(chuàng)建客戶端L2TP VPN撥號用戶基本完成。

5　依據(jù)VPN地址池段設(shè)置NAT上網(wǎng)規(guī)則

在Winbox配置界面中，選擇點擊IP →再點擊firewall→在彈出的firewall設(shè)置框里，選擇點擊NAT項→在NAT設(shè)置欄里，點擊“+”號→在彈出的New NAT Rule設(shè)置框里的General設(shè)置欄中，Chain欄下拉菜單里選擇srcnat；Src. Address（源地址）配置為VPN的虛擬IP段，如192.168.10.0/24；Dst. Address（目標(biāo)地址）配置為內(nèi)網(wǎng)的IP地址段，如內(nèi)網(wǎng)為192.168.1.0/24→ 再在New NAT Rule設(shè)置框里，點擊Action項，其Action欄下拉菜單里選擇masquerade（自動偽裝）→點擊OK，則設(shè)置NAT上網(wǎng)規(guī)則完成。（可通過點擊Service Ports項,查看L2TP服務(wù)器端口是否開啟）

6　配置L2TP VPN客戶端，即創(chuàng)建VPN客戶端撥號器

因本論文重點講述的是在RouterOS上快速配置L2TP VPN服務(wù)器的方法步驟，至于VPN遠(yuǎn)程用戶客戶端的創(chuàng)建方法在這里我們就不在介紹了。（較特殊，需修改客戶端注冊表值）

至此，我們在RouterOS上配置海外臺站L2TP VPN服務(wù)器的方法與步驟基本完成了。

7　小結(jié)

本文通過對在RouterOS上配置海外臺站L2TP VPN服務(wù)器的方法與步驟的學(xué)習(xí)，使我們加深了對路由器式VPN技術(shù)的了解與認(rèn)知，同時對VPN技術(shù)里的L2TP協(xié)議與L2TP配置有了更深刻的認(rèn)識與學(xué)習(xí)，為我們以后更好地理解和運(yùn)用以遠(yuǎn)程訪問協(xié)議為基礎(chǔ)的VPN技術(shù)提供了重要的參考與借鑒價值。

參考文獻(xiàn)

[1] 系統(tǒng)運(yùn)維網(wǎng)：《RouterOS 配置L2TP VPN服務(wù)器》;2014年11月

[2] 劍次狼：《ROS下的L2TP配置》;新浪博客;2012年9月

[3]iESAP：《ROS5.20快速設(shè)置VPN(PPTP/l2TP)》;工作日志;2016年1月

Method and procedure of configuring VPN L2TP server on RouterOS

Li Dongjie
(State Press and Publication Administration of radio, radio and television, seven two three,050011)

Abstract：In this paper,by using the technology of VPN router,gradually elaborated how in Routeros configuration of the overseas stations L2TP VPN server methods and steps of the overseas stations on the Internet established a remote access protocol for private security on the basis of the convenient and reliable data transmission tunnel,for the foreign office staff through a private channel access network, realize resource sharing,provides a safe,efficient and convenient remote office solutions.

Keywords：L2TP; RouterOS;remote access;router;VPN Technology