山石网科Hillstone防火墙L2TP over ***详细配置步骤(官方最新版)
时间:2022-12-30 18:00:01
1. 需求分析
- 通过L2tp over ***(***不要做太多多)远程终端用户访问企业内部服务器资源,保护通信安全。
2. L2tp over ***配置说明
2.1 软硬件信息
| 硬件平台 | 软件版本 |
| SG-6000-C1200W | SG-6000-M-3-5.5R8P5-v6 |
| 拨号端PC | Windows 10 专业版 |
2.2 组网拓扑
正在上传…重新上传取消
2.3 环境说明
- PC(Windows 10)的地址为100.0.0.9/24;
- 防火墙外网出口接口E0/1地址为120.0.0.9/24,内网接口E0/6为110.0.0.9/24;
- 内网服务器地址110.0.0.10/24。
2.4 配置步骤
2.4.1 防火墙基本上网配置(略)
2.4.2 新建P1提议
正在上传…重新上传取消
2.4.3 新建对端列表(一阶段)
正在上传…重新上传取消
正在上传…重新上传取消
2.4.4 新建P2提议
正在上传…重新上传取消
注:应启用阶段二的建议 lifesize 选项和设置值为 250000 与 WIN7 系统一致!此外,同时支持 XP、WIN7 需要添加平台拨入 WIN7 支持的 AES 和 SHA 和 XP 配置支持 DES 和 MD5 加密认证算法。
2.4.5 新建IKE 列表(二阶段)
正在上传…重新上传取消
2.4.6 在L2tp 引用配置页面***隧道
正在上传…重新上传取消
正在上传…重新上传取消
正在上传…重新上传取消
- L2tp 高级配置->PPP认证建议选择any(如果选择其他,则需要与终端合作PPP认证设置一致)。
正在上传…重新上传取消
2.4.7 新登录用户
正在上传…重新上传取消
2.5 客户端拨入及注意事项
注:win8 和 win10 默认启用客户端***加密,连接 L2tp over***不需要修改卷表。Win7 默认是禁用***加密,连接 L2tp over ***注册表需要修改并重启。
2.5.1 Windows 10 客户端配置
(1)控制面板->网络与共享中心->设置新的连接或网络。
正在上传…重新上传取消
(2)连接到工作区->否则,创建新的连接->使用我的Internet连接()->域名或地址及连接名。
(3)返回桌面右键单击右下角
打开网络和图标Internet'设置->L2TP->选择已建立的L2TP连接。
(4)高级选项->编辑->输入以下数据并保存。
- PC访问防火墙内网服务器地址http://110.0.0.10:80。
正在上传…重新上传取消
2.5.2 Windows 7 客户端配置
1、创建一个L2TP连接。
1)控制面板-网络与共享中心;
进入网络和共享中心界面后,点击设置新的连接或网络;
3)选择连接选项下面点击连接到工作区-下一步, 使用我的 Internet连接(L2TP)。
正在上传…重新上传取消
正在上传…重新上传取消
4)输入 L2TP 的域名或 IP 地址,输入 L2TP的用户名和密码,点击连接。
正在上传…重新上传取消
2、确认注册表参数,默认 WIN7 禁用 ***加密,需要启用。
1)单击“开始”,单击“运行”,键入“regedit单击确定弹出注册表编辑窗口;
2)在左侧注册表项目中逐步点击:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters;
3)为 Parameters 参 数 添 加 SWORD 值,单击 Parameters 确定名称为项Prohibit***,数据类型为REG_DWORD”、值为 0,然后单击确定,重启计算机生效。
正在上传…重新上传取消
4)查看 *** policy agent 服务是否启动。
正在上传…重新上传取消
3、调整 L2TP参数。
1)控制面板-网络和 internet 点击,点击连接到网络 L2TP右键选择查看连接属性进行连接;
正在上传…重新上传取消
2)选择安全属性页面,L2TP 类型选择使用 *** 的第 2 层隧道协议(L2tp/***)数据加密选择可选加密(无加密可连接);
3)在允许这些协议选项中勾选未加密密码(PAP)质询握手验证协议(CHAP)”;
4)“属性”->“安全”->高级设置勾选使用预共享密钥进行身份认证 pre-share key,是***隧道配置预共享密钥:
正在上传…重新上传取消
2.5.3 手机配置(安卓)
许多用户需要安卓或苹果手机 L2TP over *** 手机配置。Android端拨号设置(型号太多,例如)
在安卓手机中设置>无线与网络>【L2TP】>【添加 L2TP 网络】
点击设置,选择 L2TP,添加 L2TP 网络。
2、类型选择 L2TP/*** PSK 。
正在上传…重新上传取消
名称,服务器地址,*** 预共享密钥配置保存。
正在上传…重新上传取消
4、点击相应 L2TP,填写用户名密码。
2.5.4 手机配置(苹果)
1、打开设置->通用->L2TP。点击添加 L2TP 配置。
正在上传…重新上传取消
2.修改类型为 L2TP。
按要求填写、描述、服务器地址、帐户密码和预共享密钥,并开始发送所有流量。
正在上传…重新上传取消
3、选择相应 L2TP 点击链接。
2.5.5 Ubuntu客户端配置
注:注意高级配置 Ubuntu PPP 在设置中,不建议检查相应的设置 PPP 所有其他协议都与防火墙对应。
Setting--network--新建L2TP。
配置防火墙 L2TP 对外的网关 IP,L2TP 设置用户帐户密码 PPP,只需选择与防火墙对应的协议,如:chap 或者 PAP,其他关闭,无其他配置,配置后点击连接。
正在上传…重新上传取消
防火墙密钥(例):
isakmp proposal L2TP_1_p1 authentication pre-share group 2 hash sha encryption 3des lifetime 86400 exit *** proposal L2TP_1_p2 protocol esp group nopfs encryption 3des hash sha lifetime 28800Ubuntu 密钥(例):
还需要勾选 UDP 封装。
点击连接即可。
3. 补充说明
- L2TP ***配置可参考《L2TP 配置案例_WebUI》。
- 如果不能成功拨入,消除客户端侧问题后,需要防火墙L2TP服务端进行debug可根据故障调试《StoneOS Debug(抓包)故障调试手册抓包操作。
? 上图显示异常,详细图文内容!
